开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

社区首页 >专栏 >利用elk系统记录分析所有服务器ssh登录信息

利用elk系统记录分析所有服务器ssh登录信息

作者头像

IT不难

发布于 2022-05-27 09:10:34

5870

发布于 2022-05-27 09:10:34

举报

文章被收录于专栏：IT不难技术家园IT不难技术家园

前言

前几天部署了elk日志分析系统，就想將所有服务器的登录日志统一分析。边使用边熟悉各个模块的配置

filebeat

修改docker-compose.yml

hostname:区分不同的主机 volumes:需要传输的日志文件映射到容器内

filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /log/secure
  fields:
    log_type: secure

output.logstash:
  hosts: ["49.119.119.10:5044"]
  enabled: true
  worker: 1
  compression_level: 3
  loadbalance: true

启动服务

docker-compose up -d

logstash

logstash-filebeat-secure.conf 配置

input {
  beats {
    port => 5044
  }
}

filter {
    grok {
      match => { "message" => ".*sshd\[\d+\]: %{WORD:status} .* %{USER:username} from.*%{IP:clientip}.*" }
    }
}

output {
 if ([status] == "Accepted" or [status] == "Failed") {
  elasticsearch {
   hosts => [ "es-master:9200" ]
   index => "secure-%{+YYYY.MM.dd}"
   }
  stdout {
   codec => rubydebug
  }
 }
}

kibana

管理索引和生命周期->索引模式->创建索引模式

通过Analytics->Discover查看

最终图如开头所示

还可以设置仪表盘，更直观的显示信息

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

容器镜像服务

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

容器镜像服务

评论

登录后参与评论

0 条评论

热度

最新

LV.

目录

前言
filebeat
- 修改docker-compose.yml
- filebeat.yml
- 启动服务
logstash
- logstash-filebeat-secure.conf 配置
kibana
- 管理索引和生命周期->索引模式->创建索引模式
- 通过Analytics->Discover查看
最终图如开头所示
- 还可以设置仪表盘，更直观的显示信息

相关产品与服务

容器镜像服务

容器镜像服务（Tencent Container Registry，TCR）为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例，以实现容器镜像的就近拉取，降低拉取时间，节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制，保障您的数据安全。

产品介绍产品文档