纵横ELK:爬取Kibana数据实现资源监控

最新推荐文章于 2024-05-11 10:44:31 发布
最新推荐文章于 2024-05-11 10:44:31 发布
阅读量432 收藏 4
点赞数 4
文章标签: elk 运维开发 网络 安全 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82738161/article/details/135949270
版权

前言

很多大型企业都会使用ELK或者EFK来进行日志存储,在运维管理过程中自然就催生了实时监控日志或索引体量的需求,如果不进行资源监控和预报警的话,一旦ES的积累到一个阈值就会自动切换成只读,工程师不仅面临加班的困扰还影响了应用方的正常使用。

应用方在使用ES的时候不会一直使用同一个索引,它们很有可能在创建不同索引时使用序号或者日期作为索引的后缀,以便区分。我们可以在给应用方创建账号时强制要求该账号使用预分配索引开头,这样既便于管理,也是一种关于数据安全的权限区分。

但是,虽然Kibana提供了逐个显示索引信息的索引级命令,但是想要以聚合的方式自动化地获取这些统一格式开头的索引的总存储大小,Kibana并没有给出太方便的命令。所以才有了如下探索。

尝试爬虫直接爬取Kibana

直接尝试爬虫来爬取Kibana的页面不失为一种简单又高效的好办法,毕竟Kibana的 Index Management 页面已经清晰的展示了数据,就等着我们爬取了,而且爬虫获取数据不会受到内部网关的限制。

如上是一个简易爬虫尝试。但是事实上并没有那么轻松,因为它会受到ES的ESP机制的阻拦。由于时间有限,笔者今天没有进行进一步尝试,如果你有好的绕过方法,欢迎与我交流。爬取到的信息如下

利用Python和Burp编写脚本获取数据

经过尝试,我们可以利用Burp抓取访问Kibana的关键数据包,并进行重放的来随时获取想要的ES集群数据。通过Python自动化实现这一过程,再加上一个简易的前端,那么应用方便可以随时监测自己的数据使用情况了。

首先抓取能够获得目标数据的关键包,并将其重放 intruder

修改一下body中的参数,即可获得目标索引的聚合数据。尝试重放,显然是成功了。

我们使用Python来重新构造这个数据包

# 将数据转换为 JSON 格式
json_data = json.dumps(data_to_send)

url = 'http://ip:5601/api/index_management/indices/reload'
headers = {
    'Host': 'ip:5601',
    'Content-Length': '32',
    'kbn-version': 'xxx',
    'x-kbn-context': 'xxx',
    'User-Agent': 'xxx',
    'kbn-system-request': 'true',
    'Content-Type': 'application/json',# 发送数据为json
    'Accept': '*/*',# 接受任何类型的返回数据
    'Origin': 'http://ip:5601',
    'Referer': 'http://ip:5601/app/management/data/index_management/indices',
    'Accept-Encoding': 'gzip, deflate',
    'Accept-Language': 'zh-CN,zh;q=0.9',
    'Cookie': 'xxx',
    'Connection': 'close',
}
body = json_data
ret = requests.post(url=url, headers=headers, data=body)

# 将 ret 内容保存到 output.txt 文件
save_to_txt(ret.text, "xxx.txt")

用Requests发送到目标服务器的Kibana,然后再将返回结果进行处理

# 读取txt文件
with open('burp1.txt', 'r') as file:
    # 跳过开头的无关信息行,直到遇到JSON数据
    for line in file:
        if line.strip().startswith('{'):
            break

    # 将文件内容加载为JSON数组 #如果文件为空就会出现报错
    data = json.loads(line)

# 提取所有"size"项的数据
sizes = [item.get('size') for item in data if 'size' in item]

# 输出结果
#print(sizes)

# 转换为以GB为单位的值并相加
total_size_gb = sum(convert_to_gb(size) for size in sizes)

# 将total_size_gb转换为字符串,小数点后面的舍去
total_size_str = str(int(total_size_gb))

# 输出结果
print(total_size_str+"GB")

就能输出所有以 dsmm* 开头的索引的大小之和了。在这个过程中舍弃掉了大小以B和Kb为单位的索引,而将Mb和Gb为单位的索引进行了算数相加。通过这个脚本能够实现自动化监测任意集群和任意索引名的占用空间大小。

总结

从安全的角度来说,ES没有对重放数据包进行检测。但从运维的角度来说,开发一些小工具来辅助运维,能达到一个不错的效果。

欢迎关注我的公众号“闪客未来”解锁更多内容

proxy2024
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat kibana elasticsearch 日志监控
GNNUXXL的专栏
08-01 1033
ELK 日志安装部署
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
利用PhantomJS 自动截图Kibana ,python发送网站运营日报
不懂
10-19 218
如题,先来张最终效果运营日报 下面介绍下实现过程 【前期准备】 kibana配置视图,并做好条件过滤视图,这里就是做介绍,可以参考博文, 视图做好后生成一个短链接,这里我们生成的是 http://10.0.0.110:5601/goto/4d641c075d7cbf2c7d70a82b16436769 1、安装配置PhantomJS # yum -y install gcc...
kibana可视化:监控服务器CPU、网络、磁盘、内存指标
qq_33240556的博客
05-11 497
要在Kibana监控服务器的CPU、网络、磁盘和内存指标,你需要首先确保这些数据已经被正确地收集并发送到了Elasticsearch中。通常,这是通过Elastic Stack的一部分——Metricbeat来完成的。Metricbeat可以从服务器上收集系统和应用程序的指标,并将这些数据发送到Elasticsearch存储和分析。
kibana可视化:搭建mysql性能、执行效率监控平台
最新发布
qq_33240556的博客
05-11 305
搭建一个基于Kibana的MySQL性能和执行效率监控平台,主要涉及到数据收集、索引配置、可视化仪表板创建和警报设置。
Kibana监控
zheng199172的博客
01-02 1861
Kibana监控的服务信息日志很多,这里举例主要监控的是nginx服务。 在首页点击发现、下拉列表当中选中itpnginx,这样日志筛选出来的都是nginx的日志。 除此之外还有其他的监控服务,可根据需求进行选择     状态码   大部分的日志信息结尾处都有此数字为Http状态码 根据状态码可判断此条日志是否有问题(可配合筛选器一起使用) 如...
kibana监控
RAXCL的博客
10-24 641
如果部署的是集群,但是只在主节点部署 Metricbeat 测试,必须要在es的host那里写入所有节点,写单节点就怎么也打不开。配置 modules.d/logstash.yml 文件(略)重启 metricbeat (logstash的那台机器)创建一些 key: ES_HOST 及 ES_PWD。Metricbeat:轻量级指标收集(采用)配置 metricbeat.yml (重点)待定:启动失败,推测logstash没启动。启动 logstash-xpack 模块。启动 metricbeat。
kibana的安装和监控
05-23 185
1.1:kibana搭建 kibana只需要在一台机器安装即可 1):解压 tar -zxvf kibana-5.5.2-linux-x86_64.tar.gz -C /home/angel/servers/ 2):修改kibana中的config/ kibana.yml 文件 Vim /home/angel/servers/kibana-5.5.2-linux-x86_64...
elk:elasticsearch+logstash+kibana
07-14
ELK(Elasticsearch, Logstash, Kibana)是一个流行的开源日志分析和可视化解决方案,广泛用于收集、解析、存储和展示各种日志数据。这个压缩包包含了ELK堆栈的主要组件,版本为7.6.1,适用于Linux x86_64架构。 **...
kibana-backup-simple:用于Kibana保存的对象的简单备份还原
05-19
Kibana保存对象的简单备份:配置,索引模式,仪表板,保存的搜索等。 使用python3和很棒的库。 用法 备份/还原默认名称空间 kibana-backup.py backup [--kibana-url KIBANA_URL] [--user USER] [--password ...
kibana插件
11-13
kibana插件 作为大数据搜索的前台显示插件。
ELK:Elasticsearch Logstash和Kibana教程
05-17
5. **数据可视化**:Kibana作为用户界面,将Elasticsearch中的数据转化为易于理解的图形,用于监控、故障排查和业务洞察。 在实际应用中,ELK Stack能够帮助用户实现以下目标: - **日志管理**:统一收集、存储和...
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
kibana可视化:实现分布式微服务日志监控
qq_33240556的博客
05-11 348
通过上述步骤,你可以有效地利用 Kibana实现分布式微服务环境下的日志监控,提高问题定位和解决效率。关键是保持日志的结构化、充分利用Elastic Stack的工具集,并定制适合你微服务架构需求的可视化和警报策略。
Kibana 7.11常用监控设置
热门推荐
Jack魏
03-15 5万+
Kibana11常用监控设置1.系统指标 1.系统指标 # 下载 curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-7.11.1-x86_64.rpm # 2.安装 sudo rpm -vi metricbeat-7.11.1-x86_64.rpm # 3.修改配置 vim /etc/metricbeat/metricbeat.yml # 4.开启 sudo metricbeat modules
Elasticsearch集群部署 head监控插件 Kibana部署 Nginx反向代理 Logstash部署
2301_76529529的博客
11-27 1081
I can resist anything except temptation.
ELK日志分析平台(三)— kibana数据可视化、kibana监控、采集日志插件filebeat
qq_43114229的博客
05-24 2301
[root@foundation50 network-scripts]# cd /mnt/pub/docs/elk/7.6/ [root@foundation50 7.6]# scp kibana-7.6.1-x86_64.rpm server4: 将安装包拷贝到server4上 [root@server4 ~]# rpm -ivh kibana-7.6.1-x86_64.rpm 安装
elk(elasticsearch+logstash+kibana)搭建日志监控平台
who_I_am__的博客
11-05 4808
基于 ELK(Elasticsearch、Logstash、Kibana)技术栈搭建了一个日志监控平台。
kibana如何删除数据
08-18
要在Kibana中删除数据,您可以按照以下步骤进行操作: 1. 打开Kibana控制台。您可以通过浏览器访问Kibana的URL来打开控制台。 2. 在左侧导航栏中,选择您想要删除数据的索引模式。索引模式是用于搜索和分析数据的模式。 3. 在索引模式页面上,选择"Discover"(发现)选项卡。这将打开数据发现页面,显示当前索引模式中的数据。 4. 使用过滤器或搜索功能来定位您想要删除的特定数据。 5. 选择要删除的数据。您可以单击每个文档前面的复选框,或者选择整个结果集。 6. 在顶部工具栏中,点击"Delete"(删除)按钮。这将显示一个确认对话框。 7. 在确认对话框中,确认您要删除的数据,并点击"Delete"(删除)按钮。 8. Kibana将开始删除选定的数据。这可能需要一些时间,具体取决于数据量和服务器性能。 请注意,删除数据是一个不可逆的操作,请确保您真正想要删除的是正确的数据。此外,删除操作只会从可视化界面中删除数据,而不会从底层数据存储中删除数据。如果需要彻底从存储中删除数据,请参考Elasticsearch文档中的相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值