玩到一半而已,邊玩邊寫
話說雖然有玩到單一台機器 多Node。但沒時間研究多台機器的話Node要怎設
我是參考這篇 https://logz.io/blog/elk-stack-on-docker/
基本上就是先從git clone下來
1. 先進去docker-compose 修改下裡面預設的密碼
2. kibana/config/kibana.yml 這個路徑下的密碼也要調整
然後執行裡面的 docker-compose.yml (docker compose也要另外apt-get安裝)
docker-compose up -d
然後用curl或瀏覽器(如果對外防火牆已開啟) 測試是否可以連線
預設帳密 (如果沒設置的話)
elastic/changeme
修改密碼 (有鑑於以前被勒所攻擊...資安加強下)
[POST] {your_api_host}/_security/user/{var_your_account}/_password
postbody
{
"password": "你的新密碼"
}
Header需要加 Authorization : Basic Base64Encode(帳密:密碼)
Kibana很重要的基礎,要查到某個index 要先設定index pattern
假如log紀錄每次API請求,有哪些東西可以分析呢
| 每支API請求比例 | |
|
來源裝置 |
|
| IP位置、IP地區? | |
| 小時、各時段的請求數? | |
安裝Elasticsearch cluster注意事項
記憶體最少4G
如果是ubuntu 請先下指令
sudo sysctl -w vm.max_map_count=262144
查詢type欄位 group by 後 每個type有幾筆 (Terms Aggregation)
{{Elastic_Host}}/{your_index_name}/_search?size=0
{
"aggs" : {
"genres" : {
"terms" : { "field" : "type" }
}
}
}
Filebeat相關
在docker中啟動
docker run docker.elastic.co/beats/filebeat:7.6.2 setup -E setup.kibana.host=123.123.123.123:5601 -E output.elasticsearch.hosts=["123.123.123.123:9200"] -E output.elasticsearch.user= -E output.elasticsearch.password=<password>
