Lou's lab - elk_stack https://louslab.be/ 2026-04-23T03:10:33+00:00 Lou's lab https://louslab.be/ https://louslab.be/lib/exe/fetch.php?media=wiki:dokuwiki.svg text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) belangrijke_concepten https://louslab.be/doku.php?id=elk_stack:belangrijke_concepten&rev=1731780894&do=diff belangrijke_concepten elk_stack context dit document beschrijft enkele belangrijke_concepten van ELK stack veld (field) * kleinste data eenheid in ELK * volledig aanpasbaar, vb: auteur, datum, samenvatting, ... * elk veld heeft 1 data type: string, number, date, boolean, geolocation, text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) configuratie https://louslab.be/doku.php?id=elk_stack:configuratie&rev=1731780894&do=diff ELK stack configuratie elk_stack context dit document beschrijft de initiele configuratie van ELK Stack initialisatie * open de kibana website * Add Data to Kibana>Add log data: System Logs * download en installeer Filebeat meer info voeg hier linken toe naar verdere uitleg text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elasticsearch_configuratie https://louslab.be/doku.php?id=elk_stack:elasticsearch_configuratie&rev=1731780894&do=diff elasticsearch_configuratie elk_stack context dit document beschrijft de configuratie van Elasticsearch, net na de installatie, dus. configuratie * open /etc/elasticsearch/elasticsearch.yml' * #cluster.name: my-application * uncomment en wijzig naar de naam van jouw cluster text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elasticsearch_installatie https://louslab.be/doku.php?id=elk_stack:elasticsearch_installatie&rev=1731780894&do=diff elasticsearch_installatie elk_stack context dit document beschrijft de installatie van Elasticsearch installatie * voeg ELK stack repository toe * installeer elasticsearch * YUM: sudo yum install elasticsearch * APT: sudo apt-get install elasticsearch * activeer de service @boot: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elasticsearch https://louslab.be/doku.php?id=elk_stack:elasticsearch&rev=1731780894&do=diff Elaticsearch elk_stack context dit document beschrijft werking van Elasticsearch, de zoekmotor van ELK stack interactie * open Kibana > Dev Tools je komt nu in de console waar je quries in JSON formaat kunt intypen. Hiermee bevraag je dus Elasticsearch. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elk_stack_installatie_op_docker https://louslab.be/doku.php?id=elk_stack:elk_stack_installatie_op_docker&rev=1731780894&do=diff ELK Stack installatie op Docker elk_stack context dit document beschrijft de installatie van ELK stack op Docker systeemvereisten * Docker * MEM: minimaal 4Gig voor Docker (docker info|grep -i mem) * virtual memory mapping stappenplan * download de image: docker pull sebp/elk text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elk_stack_installatie https://louslab.be/doku.php?id=elk_stack:elk_stack_installatie&rev=1731780894&do=diff ELK Stack installatie elk_stack context dit document beschrijft de installatie van ELK stack op Linux systeemvereisten * CPU: minimaal 2vCPU * MEM: minimaal 4Gig * recente Java versie repository * voeg de ELK stack repository toe voor je distro. elasticsearch * installeer text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) elk_stack https://louslab.be/doku.php?id=elk_stack:elk_stack&rev=1731780894&do=diff elk_stack elk_stack text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) filebeat_installatie https://louslab.be/doku.php?id=elk_stack:filebeat_installatie&rev=1731780894&do=diff Filebeat installatie elk_stack context dit document beschrijft de installatie van Filebeat YUM * installeer filebeat: sudo yum install filebeat Zie: ELK stack repository voor de repository settings. configuratie ... * open /etc/filebeat/filebeat.yml * voeg volgende lijn toe aan section text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) filebeat_loglocatie_toevoegen https://louslab.be/doku.php?id=elk_stack:filebeat_loglocatie_toevoegen&rev=1731780894&do=diff filebeat loglocatie toevoegen elk_stack context dit document beschrijft hoe je een loglocatie toevoegt in filebeat. algemeen * open /etc/filebeat/filebeat.yml * voeg toe: - type: log paths: - <pad/naar/logBestand> * herstart filebeat service: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) filebeat_logstash_configuratie https://louslab.be/doku.php?id=elk_stack:filebeat_logstash_configuratie&rev=1731780894&do=diff filebeat Logstash configuratie elk_stack context dit document beschrijft hoe je filebeat configureert om logs naar Logstash te sturen. Logstash * bevat al ondersteuning om beats als input te gebruiken * /etc/logstash/logstash-sample.conf bevat een voorbeeldje: # Sample Logstash configuration for creating a simple # Beats -> Logstash -> Elasticsearch pipeline. input { beats { port => 5044 } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "%{[@… text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) filebeat_modules https://louslab.be/doku.php?id=elk_stack:filebeat_modules&rev=1731780894&do=diff Filebeat modules elk_stack context dit document beschrijft Filebeat modules werking * modules breiden de werking van Filebeat uit. Een overzicht van alle beschkbare modules. * zijn beschikbaar onder /etc/filebeat/modules.d * zijn makkelijk toe te voegen ahv commando text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) grok_filter https://louslab.be/doku.php?id=elk_stack:grok_filter&rev=1731780894&do=diff grok filter elk_stack context dit document beschrijft de werking van grok. Deze filter parset raw data in een bruikbaar key/value paar zodat je deze makkelijker kunt doorzoeken werking * formaat van logboeken verschilt per toepassing * voor logboeken worden doorgestuurd naar elaticsearch, wordt die text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) heartbeat_installatie https://louslab.be/doku.php?id=elk_stack:heartbeat_installatie&rev=1731780894&do=diff heartbeat installatie elk_stack context dit document beschrijft de installatie van heartbeat, een beats utility waarmee je de beschikbaarheid van servers/services kunt monitoren. YUM * installeer heartbeat: sudo yum install heartbeat-elastic Zie: ELK stack repository voor de repository settings. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) heartbeat_werking https://louslab.be/doku.php?id=elk_stack:heartbeat_werking&rev=1731780894&do=diff Heartbeat: werking elk_stack context dit document beschrijft de werking van Heartbeat configuratie * /etc/heartbeat/heartbeat.yml * vergelijkbaar met de configuratie van Filebeat heb je ook een .reference.yml-bestand waarin alle opties netjes worden uitgelegd. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) index https://louslab.be/doku.php?id=elk_stack:index&rev=1731780894&do=diff index aanmaken elk_stack context dit document beschrijft hoe je een index aanmaakt. Indices zijn de bread 'n butter van ES. ze bevatten de events (ivv documents) met daarin de velden waarmee je aan de slag gaat in visualizations index pattern aanmaken * ga naar kibana > Management > index patterns text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) kibana_configuratie https://louslab.be/doku.php?id=elk_stack:kibana_configuratie&rev=1731780894&do=diff kibana configuratie elk_stack context dit document beschrijft de configuratie van Kibana. Net na de Kibana installatie, dus configuratie * open /etc/kibana/kibana.yml * #server.host: “localhost” * uncomment en wijzig naar de hostnaam/IP van de kibana server text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) kibana_installatie https://louslab.be/doku.php?id=elk_stack:kibana_installatie&rev=1731780894&do=diff Kibana installatie elk_stack context dit document beschrijft de installatie van Kibana installatie * voeg de ELK stack repository toe * installeer kibana * YUM: sudo yum install kibana * APT: sudo apt-get install kibana * activeer de service @boot: * YUM: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) kibana https://louslab.be/doku.php?id=elk_stack:kibana&rev=1731780894&do=diff Kibana elk_stack context dit document verzamelt info rond Kibana, het venster op de ELK stack. \\3 functies: * visualiseer je data: zoek de naald in de hooiberg * monitoring & beheer: hou je ELK stack in de gaten en beheerde verschillende componenten text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) logging_naar_syslog_uistschakelen https://louslab.be/doku.php?id=elk_stack:logging_naar_syslog_uistschakelen&rev=1731780894&do=diff logging naar syslog uitsschakelen elk_stack context Dit document beschrijft hoe je logging naar syslog uitschakelt voor de beats utilities. Bij standaardinstallatie op systemd-gebaseerde Linux wordt alle output naar syslog gestuurd. Dit vervuilt syslog mateloos. Zet dit als volgt uit: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) logstash_configuratie https://louslab.be/doku.php?id=elk_stack:logstash_configuratie&rev=1731780894&do=diff logstash_configuratie elk_stack context dit document beschrijft de configuratie van logstash, net na de installatie, dus. configuratie Pipeline voor Beats maken * cd /etc/logstash/ && cp logstash-sample.conf conf.d/beats.conf * vi /etc/logstash/conf.d/beats.conf text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) logstash_installatie https://louslab.be/doku.php?id=elk_stack:logstash_installatie&rev=1731780894&do=diff Logstash: installatie elk_stack context dit document beschrijft de installatie van Logstash vereisten * Java: Java Runtime * voeg ELK stack repository toe * jq installatie * installeer logstash: * YUM: sudo yum install logstash * APT: sudo apt-get install logstash * text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) metricbeat_installatie https://louslab.be/doku.php?id=elk_stack:metricbeat_installatie&rev=1731780894&do=diff Metribeat: installatie elk_stack context dit document beschrijft de installatie van metricbeat installatie * voeg deELK stack repository toe * installeer: sudo yum install metricbeat * start-up @boot: sudo systemctl enable metricbeat meer info * installatie * Metricbeat: werking elk_stack metricbeat beat installatie text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) metricbeat_visualizations https://louslab.be/doku.php?id=elk_stack:metricbeat_visualizations&rev=1731780894&do=diff Metricbeat visualizations elk_stack context dit document beschrijft een manier om Meticbeat visualizations te maken. types Area * goed bruikbaar om cpu usage weer te geven, onderverdeling in user, system, iowait, ... * X-axis: Date Histogram * Y-axis: max/avergate cpu.system.user text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) metricbeat_werking https://louslab.be/doku.php?id=elk_stack:metricbeat_werking&rev=1731780894&do=diff Metricbeat: werking elk_stack context dit document beschrijft de werking van Metricbeat configuratie * /etc/metricbeat/metricbeat.yml * vergelijkbaar met de configuratie van Filebeat heb je ook een .reference.yml-bestand waarin alle opties netjes worden uitgelegd. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) mutate_filter https://louslab.be/doku.php?id=elk_stack:mutate_filter&rev=1731780894&do=diff mutate filter elk_stack context dit document beschrijft de werking van de mutate filter. Deze filter laat toe om wijzigingen aan te brengen in velden voordat die verstuurd worden naar ES. convert * wijzigt het type van een veld * syntax: filter { mutate { convert => { "fieldname" => "integer" } } } text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) query https://louslab.be/doku.php?id=elk_stack:query&rev=1731780894&do=diff query elk_stack context dit document beschrijft hoe je met queries werkt in ELK stack. Deze zijn de basis voor verdere verwerking van je logdate: * queries -> visualisaties: geven je queries weer in visueel aantrekkelijk formaat * visualisties -> dashboards: geven je visualisaties weer in dashboard waarbij je in 1 oogopslag je data ziet text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) repository https://louslab.be/doku.php?id=elk_stack:repository&rev=1731780894&do=diff ELK stack repository elk_stack context dit document beschrijft hoe je de ELK stack repository toevoegt aan je distributie YUM * download en instaleer de public signing key: rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch * maak een repo-bestand touch /etc/yum.repos.d/elk.repo text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) sample_dashboards_activeren https://louslab.be/doku.php?id=elk_stack:sample_dashboards_activeren&rev=1731780894&do=diff sample dashboards activeren elk_stack context dit document beschrijft hoe je sample dashboards activeert in Kibana. beats utility Voor metricbeat, filebeat, heartbeat, ... worden dashboards meegeleverd bij installatie via yum/apt. * open /etc/<file|metric|heart>beat/<file|metric|heart>beat.yml text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) syslog_installatie https://louslab.be/doku.php?id=elk_stack:syslog_installatie&rev=1731780894&do=diff Sysmon installatie elk_stack context dit document beschrijft de installatie van Sysmon op Windows installatie * Kibana: Observability > Overview: Add integrations * filter op Beats only, zoek: Windows * kies: Windows Event Logs * volg de installatie instructies text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) visualizations https://louslab.be/doku.php?id=elk_stack:visualizations&rev=1731780894&do=diff visualizations elk_stack context dit document beschrijft hoe je visualizations aanmaakt. Dit is een manier om je verzamelde data weer te geven. stappenplan * menu > Visualize: Create Visualization * kies een type (tabel, grafiek, ...) * kies een Bron text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) werking_filebeat https://louslab.be/doku.php?id=elk_stack:werking_filebeat&rev=1731780894&do=diff werking Filebeat elk_stack context dit document beschrijft de werking van filebeat algemeen * agent die logbestanden in de gaten houdt en naar ELK stack waar ze kunnen geindexeerd worden. Ook wel: lightweight data shipper, genoemd. * bij opstarten, worden 1 of meerdere inputs gestart die in de logdirs kijken text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) werking_logstash https://louslab.be/doku.php?id=elk_stack:werking_logstash&rev=1731780894&do=diff Logstash werking elk_stack context dit document beschrijft de werking van Logstash, OpenSource data collection engine die raw logdate verwerkt en verder doorstuurd naar Elasticsearch installatie * zie: Logstash: installatie werking * dataverwerking gebeurt ahv een zgn text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) winlogbeat_installatie https://louslab.be/doku.php?id=elk_stack:winlogbeat_installatie&rev=1731780894&do=diff Winlogbeat installatie elk_stack context dit document beschrijft de installatie van Winlogbeat op Windows installatie * Kibana: Observability > Overview: Add integrations * filter op Beats only, zoek: Windows * kies: Windows Event Logs * volg de installatie instructies