Logstash 5.5连接ES+KI因为X-pack的原因,不像之前的无信任连接,因此增加了一个安全认证的过程。因为没时间,csdn不支持截图,凑合看。
特别提示:在配置规则之前,一定要创建一个默认索引,建议用"*",不要用.kibana,是个坑。
如果用.kibana配置规则的话,一般在logstash日志中会报“[logstash.outputs.elasticsearch] retrying failed action with response code: 403”。
介质
logstash-5.5.2.tar.gz
安装步骤:
tar zxf logstash-5.5.2.tar.gz -C /opt/elk/
配置:
1,点击management-->Roles-->Create Role
输入规则名称"syslog_audit_rule"
保存。
2,点击management-->Roles-->Users-->Ceate User
创建syslog_audit用户,其余输入相应的配置,保证不留空,保存。
3,在/opt/elk/logstash/config/syslog_audit.conf文件中,增加用户名和密码。
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
index => "syslog_audit-%{+yyyy-MM-dd}"
user => "syslog_audit"
password => "changeme"
}
stdout { codec => rubydebug }
}
其他monitor配置,官网有相应配置。