CentOS8 logstashをインストールしてsshアクセスログをElasticsearch+Kibanaで可視化する

CentOS8 logstashをインストールしてsshアクセスログをElasticsearch+Kibanaで可視化する

CentOS8にlogstashをインストールしてsshのアクセうログをlasticsearch+Kibanaで可視化するまでの手順を記述してます。

環境

  • OS CentOS 8.1.1911 (Core)
  • Elasticsearch 7.7.0
  • kibana 7.7.0

※CentOs8にElasticsearchをインストールする手順はこちら
※CentOS8にkibanaをインストールする手順はこちら

logstashインストール

Elasticsearchの開発元であるElastic社が提供するオープンソースのデータ収集ツールであるlogstashをインストールします。

起動と自動起動を有効にします。

logstash設定

Logstashの パイプライン は「input」と「output」、そして「filter」の3つから構成されます。

/etc/logstash/conf.d/に設定ファイルを作成します。
ここでは「local-ssh-events.conf」という名前で作成します。

「local-ssh-events.conf」を「input」と「output」、「filter」の3つで構成して編集します。

Logstashが「/var/log/secure」を読み取れるように設定します。

実行します。

Elasticsearchのindexは、http://プライベートIP:9200/_cat/indices?v で確認できます

kibana設定

kibana側でログを確認できるように設定します。

画面右下にある「歯車マーク」- > [Index patterns]  を選択します。

Index pattern : ssh_auth-*
と入力して「Next step」をクリックします。

次に
Time Filter field name : @timestamp
と入力して「Create Index pattern」 をクリックします。

ダッシュボードを確認するとlogが可視化されていることが確認できます。