Bonjour, je poste sur ce forum pour avoir la réponse a mon problème.
Alors voila j'ai installé le trio ELK pour centraliser les logs des mes boitiers VPN et et de mon SOnicFirewall.
Quand je lance mon kibana 4 en localhost:5601 (premier lancement) Il me propose de configurer un index pattern, or je ne sais pas comment faire, ni en quoi ca consiste précissement.
Pourriez vous me guidder sur la manipulation a faire ..? s'il vous plait
Si bessoin je peux fournnir mes config Logstash Kibana et Elasticsearch.
la première chose c'est de bien lire la doc. Ca parait futile comme ça mais on y trouve de tout, et bruler les étapes fait que l'on y comprend rien (je suis passé par la).
Déjà, commence par logstash : est-il configuré correctement pour sniffer tes logs ?
Typiquement, un index, c'est comme une base de données : il t'en faudrait autant que de logs différentes à sniffer. Dans ton cas, si tes VPN sont tous les mêmes il te faut 2 index.
Les index, tu les crées facilement avec le plugin Sense.
Donc dès que tu as créé tes indexes, lance un premier chargement et ensuite tu pourras associer un index dans Kibana (qui portera le même nom que celui que tu as créé dans Sense).
C'est pas évident au début mais si tu es curieux ça va aller vite En 1 semaine je suis passé de 0 connaissance à "je sais un peu plus me débrouiller tout seul". Et il y a pléthore de tutos sur le net
Comment lances-tu logstash avec tous ces fichiers ?
Pour ma part, je mets qu'un seul fichier .conf avec tout dedans.
Aussi, avant d'envoyer à elasticsearch les données, je te conseille de vérifier que quelque chose "entre et sort" de logstash en utilisant d'abord un stdout output plugin avec un codec rubydebug.
Et tu regardes ce que ça donne. Si là, déjà tu ne vois rien passer, pas la peine d'aller plus loin.
Donc, prépares bien tes inputs, vérifie que ça marche, puis ajoute un filtre, un autre, ... et à la fin, quand tout passe bien et le document final que tu souhaites est généré correctement, branche elasticsearch comme output.
Re-Bonjour,
Alors j'ai tout recommencé a 0 et j'ai beaucoup mieux compris grace a la documentation et a votre site également dadoonet & C_H.
Mais j'aimerai que vous me renseigner sur une erreur qui apparait dans mon /var/log/logstash/logstash.log qui m'indit ceci :
Error : The setting 'host' in plugin 'elasticsearch' ins obsolete and is no longer available. Pleas use the hosts setting instead? You can specify multiple entries separated by comma in 'host:port' format. If you have any questions about this, you are invited to visit https://discuss.elastic.co/c/logstash and ask.
Je ne conprend pas vraiment l'erreur
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.