이 글은 Untangle을 이용한 보안솔루션(방화벽,NAC) 구축, 실습을 이어서 하는 글입니다.


ELK

Elasticsearch + Logstash + Kibana

Elasticsearch : Apache의 Lucene을 바탕으로 개발한 실시간 분산 검색 엔진

Logstash : 각종 로그를 가져와 JSON형태로 만들어 Elasticsearch로 전송

Kibana : Elasticsearch에 저장된 Data를 사용자에게 DashBoard 형태로 보여주는 솔루션

<참조 : http://okky.kr/article/328309>



https://www.elastic.co/ 사이트 오픈소스 제품



위의 파일들은 https://www.elastic.co/products에서 다운 받을 수 있다.



파일들을 가상머신으로 올리는데 winSCap을 사용 할 것이다. 

사용방법은 미리 올려 두었다.  http://jmoon1601.tistory.com/57





winSCap으로 파일을 올렸다면 올린 위치로 가서 위에 빨간색으로 표시된 것 처럼 설치를 한다.


# rpm -ivh elasticsarch-2.3.4.rpm

-> i = 설치명령, v = 자세한 설치과정 보여주기, h = ###으로 설치진행상황 보여주기

# chkconfig --add elasticsearch

-> 부팅시 자동으로 실행할 수 있도록 추가하는 것

# service elasticsearch start

-> 서비스 시작




# http://localhost:9200

위와 같은 명령어를 입력하면 무언가가 뜨는 것을 알 수 있다.





# rpm -ivh kibana-4.5.3-1.x86_64.rpm

# chkconfig --add kibana

# service kibana start 


아까전에 했던 명령어 그대로 입력하면 된다.




# rpm logstash-2.3.4-1.noarch.rpm

# chkconfig --add logstash

# cd /etc/logstash/conf.d/

# gedit logstash.conf

logstash.conf에 위의 내용을 입력하고 저장한다. 굳이 gedit아니라 vim등을 이용하여 작성해도 된다.





# gedit /etc/sysconfig/logstash

이동하여 LS_USER=root으로 바꾼다.

root인 유저만 할 수 있도록 지정하는 것이다.


설정을 하고 나서

# service logstash start




# tail /var/log/messages

tail 명령어는 리눅스오류나 파일의 로그를 보고 싶을때 실시간으로 확인한다.

tail의 기능으로는 파일의 마지막 부분을 출력한다.

tail -f /var/log/messages하면 실시간으로 로그들이 찍히는대로 쭉쭉 올라온다. 




# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/logstash.conf

위와 같이 입력을 하면


Setting: Default pipeline workers : 1

Pipeline main started 라는 글과 함께

아래와 같이 나올 것이다.


안나온다면 아까 logstash/conf.d 파일을 넣을때 오타가 발생했을 경우가 크다.

그래도 안된다면 기존의 service 3개를 restart해보는 방법도 있다.








인터넷을 켜서 주소창에

http://localhost:5601을 입력하면

위의 사진처럼 나올 것이다.


여기서 이제 kibana의 다양한 기능을 통해 분석해보면 될 것이다.







+ Recent posts