Logstash - Keamanan dan Pemantauan
Pada bab ini, kita akan membahas aspek keamanan dan pemantauan Logstash.
Pemantauan
Logstash adalah alat yang sangat bagus untuk memantau server dan layanan di lingkungan produksi. Aplikasi dalam lingkungan produksi menghasilkan berbagai jenis data log seperti Log akses, Log Kesalahan, dll. Logstash dapat menghitung atau menganalisis jumlah kesalahan, akses, atau peristiwa lain menggunakan plugin filter. Analisis dan penghitungan ini dapat digunakan untuk memantau berbagai server dan layanan mereka.
Logstash menawarkan plugin seperti HTTP Polleruntuk memantau pemantauan status situs web. Di sini, kami memantau situs web bernamamysite dihosting di Server Apache Tomcat lokal.
logstash.conf
Dalam file konfigurasi ini, plugin http_poller digunakan untuk mencapai situs yang ditentukan dalam plugin setelah interval waktu yang ditentukan dalam pengaturan interval. Akhirnya, ini menulis status situs ke keluaran standar.
input {
http_poller {
urls => {
site => "http://localhost:8080/mysite"
}
request_timeout => 20
interval => 30
metadata_target => "http_poller_metadata"
}
}
output {
if [http_poller_metadata][code] == 200 {
stdout {
codec => line{format => "%{http_poller_metadata[response_message]}"}
}
}
if [http_poller_metadata][code] != 200 {
stdout {
codec => line{format => "down"}
}
}
}
Jalankan logstash
Kita dapat menjalankan Logstash dengan perintah berikut.
>logstash –f logstash.conf
stdout
Jika situsnya sudah habis, maka hasilnya akan -
Ok
Jika kami menghentikan situs dengan menggunakan Manager App dari Tomcat, output akan berubah menjadi -
down
Keamanan
Logstash menyediakan banyak fitur untuk komunikasi yang aman dengan sistem eksternal dan mendukung mekanisme otentikasi. Semua plugin Logstash mendukung otentikasi dan enkripsi melalui koneksi HTTP.
Keamanan dengan protokol HTTP
Ada pengaturan seperti pengguna dan kata sandi untuk tujuan otentikasi di berbagai plugin yang ditawarkan oleh Logstash seperti di plugin Elasticsearch.
elasticsearch {
user => <username>
password => <password>
}
Otentikasi lainnya adalah PKI (public key infrastructure)untuk Elasticsearch. Pengembang perlu menentukan dua pengaturan di plugin keluaran Elasticsearch untuk mengaktifkan otentikasi PKI.
elasticsearch {
keystore => <string_value>
keystore_password => <password>
}
Dalam protokol HTTPS, pengembang dapat menggunakan sertifikat otoritas untuk SSL / TLS.
elasticsearch {
ssl => true
cacert => <path to .pem file>
}
Keamanan dengan Transport Protocol
Untuk menggunakan protokol transport dengan Elasticsearch, pengguna perlu mengatur pengaturan protokol ke transport. Ini untuk menghindari un-marshalling objek JSON dan menghasilkan efisiensi yang lebih tinggi.
Otentikasi dasar sama seperti yang dilakukan di protokol http dalam protokol keluaran Elasticsearch.
elasticsearch {
protocol => “transport”
user => <username>
password => <password>
}
Otentikasi PKI juga membutuhkan set SSL menjadi true dengan pengaturan lain dalam protokol keluaran Elasticsearch -
elasticsearch {
protocol => “transport”
ssl => true
keystore => <string_value>
keystore_password => <password>
}
Terakhir, keamanan SSL membutuhkan lebih banyak pengaturan daripada metode keamanan lainnya dalam komunikasi.
elasticsearch {
ssl => true
ssl => true
keystore => <string_value>
keystore_password => <password>
truststore =>
truststore_password => <password>
}
Manfaat Keamanan Lainnya dari Logstash
Logstash dapat membantu memasukkan sumber sistem untuk mencegah serangan seperti serangan penolakan layanan. Pemantauan log dan menganalisis berbagai peristiwa di log tersebut dapat membantu administrator sistem untuk memeriksa variasi koneksi masuk dan kesalahan. Analisis ini dapat membantu untuk melihat apakah serangan itu terjadi atau akan terjadi di server.
Produk lain dari Elasticsearch Company seperti x-pack dan filebeat menyediakan beberapa fungsionalitas untuk berkomunikasi secara aman dengan Logstash.