elk日志分析搭建使用记录

Posted 2022-04-19 煜铭2011

 0x00 介绍

1.elk背景介绍

Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前，Elasticsearch 是一个免费及开放（free and open）的项目。

同时，Elastic 公司也拥有 Logstash 及 Kibana 开源项目。这个三个项目组合在一起，就形成了 ELK 软件栈，他们三个共同形成了一个强大的生态圈。

简单地说，Logstash 负责数据的采集，处理丰富数据，数据转换等。

Kibana 负责数据展示，分析，管理，监督及应用。

Elasticsearch 处于最核心的位置，它可以帮我们对数据进行快速地搜索及分析。

0x01 部署架构

0x02 安装部署

请见：elk日志分析搭建使用记录（二）

0x03 配置使用

1.登录地址-账号密码

我们在安装elasticsearch的时候，得到了用户名为elastic的用户，密码是C_4NQ7GMQR1*****

我们使用这个账号密码登录到系统

2.安全功能-用户角色管理

创建用户

我们在业务场景使用的情况下，往往需要创建多个用户，以便多个业务方使用，同时避免elastic的密码丢失导致无法登录系统问题。

账号密码：sec/Sec*****

 

 

创建角色

3.添加数据进行搜索

1.添加数据

简单进行搜索。

2.创建可视化仪表盘

 

4. Elastic 代理策略

Fleet Elastic 代理的集中管理，主要是统一分发策略，收集日志、性能、系统数据使用。 策略可以理解为一类功能的组合，而集成可以理解为一组策略。通过添加集成，进而为 Elastic 代理添加各种功能。

添加集成

 

 

 删除集成

5. 安全

新增安全规则

 

添加威胁情报

这里的api token需要注册登录otx.alienvault.com 来获取，如下所示：

6.其他功能

许可证查看

 

0x04 问题解决

请见：elk日志分析搭建使用记录（四））

0x05 参考文档

请见：elk日志分析搭建使用记录（五）