Logstash-보안 및 모니터링

이 장에서는 Logstash의 보안 및 모니터링 측면에 대해 설명합니다.

모니터링

Logstash는 프로덕션 환경에서 서버와 서비스를 모니터링하는 데 매우 유용한 도구입니다. 프로덕션 환경의 애플리케이션은 액세스 로그, 오류 로그 등과 같은 다양한 종류의 로그 데이터를 생성합니다. Logstash는 필터 플러그인을 사용하여 오류, 액세스 또는 기타 이벤트의 수를 계산하거나 분석 할 수 있습니다. 이 분석 및 계산은 서로 다른 서버 및 해당 서비스를 모니터링하는 데 사용할 수 있습니다.

Logstash는 다음과 같은 플러그인을 제공합니다. HTTP Poller웹 사이트 상태 모니터링을 모니터링합니다. 여기에서 우리는mysite 로컬 Apache Tomcat 서버에서 호스팅됩니다.

logstash.conf

이 구성 파일에서 http_poller 플러그인은 간격 설정에 지정된 시간 간격 후에 플러그인에 지정된 사이트에 도달하는 데 사용됩니다. 마지막으로 사이트의 상태를 표준 출력에 기록합니다.

input {
   http_poller {
      urls => {
         site => "http://localhost:8080/mysite"
      }
      request_timeout => 20
      interval => 30
      metadata_target => "http_poller_metadata"
   }
}
output {
   if [http_poller_metadata][code] == 200 {
      stdout {
         codec => line{format => "%{http_poller_metadata[response_message]}"}
      }
   }
   if [http_poller_metadata][code] != 200 {
      stdout {
         codec => line{format => "down"}
      }
   }
}

logstash 실행

다음 명령으로 Logstash를 실행할 수 있습니다.

>logstash –f logstash.conf

stdout

사이트가 작동 중이면 출력은 다음과 같습니다.

Ok

다음을 사용하여 사이트를 중지하는 경우 Manager App Tomcat의 출력은 다음과 같이 변경됩니다.

down

보안

Logstash는 외부 시스템과의 보안 통신을위한 다양한 기능을 제공하고 인증 메커니즘을 지원합니다. 모든 Logstash 플러그인은 HTTP 연결을 통한 인증 및 암호화를 지원합니다.

HTTP 프로토콜을 통한 보안

Elasticsearch 플러그인과 같이 Logstash에서 제공하는 다양한 플러그인에는 인증 목적으로 사용자 및 비밀번호와 같은 설정이 있습니다.

elasticsearch {
   user => <username>
   password => <password>
}

다른 인증은 PKI (public key infrastructure)Elasticsearch 용. 개발자는 PKI 인증을 활성화하기 위해 Elasticsearch 출력 플러그인에서 두 가지 설정을 정의해야합니다.

elasticsearch {
   keystore => <string_value>
   keystore_password => <password>
}

HTTPS 프로토콜에서 개발자는 SSL / TLS에 대해 기관의 인증서를 사용할 수 있습니다.

elasticsearch {
   ssl => true
   cacert => <path to .pem file>
}

전송 프로토콜을 통한 보안

Elasticsearch에서 전송 프로토콜을 사용하려면 사용자가 전송할 프로토콜 설정을 설정해야합니다. 이렇게하면 JSON 개체의 마샬링을 방지하고 효율성을 높일 수 있습니다.

기본 인증은 Elasticsearch 출력 프로토콜의 http 프로토콜에서 수행되는 것과 동일합니다.

elasticsearch {
   protocol => “transport”
   user => <username>
   password => <password>
}

PKI 인증은 Elasticsearch 출력 프로토콜의 다른 설정과 함께 SSL 세트가 true 여야합니다.

elasticsearch {
   protocol => “transport”
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
}

마지막으로 SSL 보안은 통신에서 다른 보안 방법보다 더 많은 설정이 필요합니다.

elasticsearch {
   ssl => true
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
   truststore => 
      
        truststore_password => <password> } 
      

Logstash의 기타 보안 이점

Logstash는 입력 시스템 소스를 사용하여 서비스 거부 공격과 같은 공격을 방지 할 수 있습니다. 로그를 모니터링하고 해당 로그의 다양한 이벤트를 분석하면 시스템 관리자가 수신 연결 및 오류의 변화를 확인할 수 있습니다. 이러한 분석은 공격이 서버에서 발생하는지 또는 발생할 것인지 확인하는 데 도움이 될 수 있습니다.

다음과 같은 Elasticsearch Company의 다른 제품 x-packfilebeat Logstash와 안전하게 통신하는 몇 가지 기능을 제공합니다.