Logstash - सुरक्षा और निगरानी

इस अध्याय में, हम लॉगस्टैश के सुरक्षा और निगरानी पहलुओं पर चर्चा करेंगे।

निगरानी

लॉगस्टैश उत्पादन वातावरण में सर्वर और सेवाओं की निगरानी के लिए एक बहुत अच्छा उपकरण है। उत्पादन वातावरण में एप्लिकेशन विभिन्न प्रकार के लॉग डेटा का उपयोग करता है जैसे प्रवेश लॉग, त्रुटि लॉग आदि। लॉगस्टैश फ़िल्टर प्लगइन्स का उपयोग करके त्रुटियों, एक्सेस या अन्य घटनाओं की संख्या की गणना या विश्लेषण कर सकता है। इस विश्लेषण और गिनती का उपयोग विभिन्न सर्वरों और उनकी सेवाओं की निगरानी के लिए किया जा सकता है।

Logstash जैसे प्लगइन्स प्रदान करता है HTTP Pollerवेबसाइट की स्थिति की निगरानी के लिए निगरानी करना। यहां, हम नाम की एक वेबसाइट की निगरानी कर रहे हैंmysite एक स्थानीय Apache Tomcat सर्वर पर होस्ट किया गया।

logstash.conf

इस विन्यास फाइल में, http_poller प्लगइन का उपयोग प्लगइन में निर्दिष्ट साइट को हिट करने के लिए किया जाता है, अंतराल सेटिंग में निर्दिष्ट समय अंतराल के बाद। अंत में, यह साइट के मानक मानक आउटपुट को लिखता है।

input {
   http_poller {
      urls => {
         site => "http://localhost:8080/mysite"
      }
      request_timeout => 20
      interval => 30
      metadata_target => "http_poller_metadata"
   }
}
output {
   if [http_poller_metadata][code] == 200 {
      stdout {
         codec => line{format => "%{http_poller_metadata[response_message]}"}
      }
   }
   if [http_poller_metadata][code] != 200 {
      stdout {
         codec => line{format => "down"}
      }
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड के साथ लॉगस्टैश चला सकते हैं।

>logstash –f logstash.conf

stdout

यदि साइट ऊपर है, तो आउटपुट होगा -

Ok

यदि हम साइट का उपयोग करके रोकते हैं Manager App Tomcat की, आउटपुट में बदल जाएगा -

down

सुरक्षा

लॉगस्टैश बाहरी सिस्टम के साथ सुरक्षित संचार के लिए बहुत सारी सुविधाएँ प्रदान करता है और प्रमाणीकरण तंत्र का समर्थन करता है। सभी लॉगस्टैश प्लगइन्स HTTP कनेक्शन पर प्रमाणीकरण और एन्क्रिप्शन का समर्थन करते हैं।

HTTP प्रोटोकॉल के साथ सुरक्षा

लॉगस्टैश द्वारा की गई विभिन्न प्लगइन्स में प्रमाणीकरण उद्देश्यों के लिए उपयोगकर्ता और पासवर्ड जैसी सेटिंग्स हैं, जैसे कि एलिस्टिक्स खोज प्लगइन।

elasticsearch {
   user => <username>
   password => <password>
}

अन्य प्रमाणीकरण है PKI (public key infrastructure)Elasticsearch के लिए। डेवलपर को PKI प्रमाणीकरण को सक्षम करने के लिए Elasticsearch आउटपुट प्लगइन में दो सेटिंग्स को परिभाषित करने की आवश्यकता है।

elasticsearch {
   keystore => <string_value>
   keystore_password => <password>
}

HTTPS प्रोटोकॉल में, एक डेवलपर SSL / TLS के लिए प्राधिकरण के प्रमाण पत्र का उपयोग कर सकता है।

elasticsearch {
   ssl => true
   cacert => <path to .pem file>
}

परिवहन प्रोटोकॉल के साथ सुरक्षा

एलिस्टिक्स खोज के साथ परिवहन प्रोटोकॉल का उपयोग करने के लिए, उपयोगकर्ताओं को परिवहन के लिए प्रोटोकॉल सेटिंग सेट करने की आवश्यकता होती है। यह JSON वस्तुओं के अन-मार्शलिंग से बचा जाता है और अधिक दक्षता की ओर ले जाता है।

बुनियादी प्रमाणीकरण वही है जो एलिटिक्स खोज आउटपुट प्रोटोकॉल में http प्रोटोकॉल में किया जाता है।

elasticsearch {
   protocol => “transport”
   user => <username>
   password => <password>
}

PKI प्रमाणीकरण को भी एलीस्टेकर्च आउटपुट प्रोटोकॉल में अन्य सेटिंग्स के साथ SSL सेट की आवश्यकता होती है -

elasticsearch {
   protocol => “transport”
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
}

अंत में, SSL सुरक्षा के लिए संचार में अन्य सुरक्षा विधियों की तुलना में अधिक सेटिंग्स की आवश्यकता होती है।

elasticsearch {
   ssl => true
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
   truststore => 
      
        truststore_password => <password> } 
      

Logstash से अन्य सुरक्षा लाभ

लॉगस्टाश इनपुट सिस्टम स्रोतों को सेवा हमलों से इनकार करने से रोकने में मदद कर सकता है। लॉग की निगरानी और उन लॉग में विभिन्न घटनाओं का विश्लेषण सिस्टम प्रशासकों को आने वाले कनेक्शन और त्रुटियों में भिन्नता की जांच करने में मदद कर सकता है। ये विश्लेषण यह देखने में मदद कर सकते हैं कि क्या सर्वर पर हमला हो रहा है या होने वाला है।

एलीस्टेकर्च कंपनी के अन्य उत्पाद जैसे कि x-pack तथा filebeat लॉगस्टैश के साथ सुरक्षित रूप से संवाद करने के लिए कुछ कार्यक्षमता प्रदान करता है।