对于oracle数据的分析,我们可以写sql,也可以使用ES来处理分析
本文主要讲解配置,默认环境已安装docker ,本示例分析的是oracle的审计日志
安装 ELK 套件
1.先修改宿主机的配置文件
切换到root用户修改配置sysctl.conf
vi /etc/sysctl.conf
在尾行添加以下内容
vm.max_map_count=262144
并执行命令
sysctl -p
2.启动elk容器
docker run -itd -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk
3.配置logstash
vim /etc/logstash/conf.d/02-beats-input.conf
input {
beats {
port => 5044
}
}
4.创建oracle配置文件 oracle.conf
input {
jdbc {
jdbc_validate_connection => true
jdbc_connection_string => "jdbc:oracle:thin:@//localhost:1521/EE.oracle.docker"
jdbc_user => "name"
jdbc_password => "pass"
jdbc_driver_library => "/opt/ojdbc6-11.2.0.1.0.jar"
jdbc_driver_class => "Java::oracle.jdbc.driver.OracleDriver"
statement => "select os_username,username,userhost,timestamp,action_name,comment_text,sessionid,returncode,priv_used,global_uid from dba_audit_trail"
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "audit_databases_oracle-%{+YYYY.MM.dd}"
}
}
5.重启 elk
docker restart elk
6. 大约5min之后登录 localhost:9200查es 是否启动
- 之后登录localhost:5601查看kibana是否启动
9.创建索引,点击create index ,按提示创建,这会儿能看到我们logstash里面定义的索引名了
10.查看结果
点开左侧栏,可以看到分析结果