Forward Syslog ke Logstash/ELK (Elasticsearch) Secara Langsung Dengan Mudah,

Hai all, wah udah lama nih ayies gak update artikel. Hari ini saya lagi dapat hidayah dan akan update 2 artikel sekaligus :D.

Kamu mungkin sudah tahu kan syslog ?(Maksa harus tahu… hehehe) yup log-log dari syslog bisa kamu lempar langsung ke Logstash lho. Wait, kenapa harus logstash kenapa gak langsung ke Elastic Search saja? Hmmm… dengan melempar terlebih dahulu log kamu ke logstash maka kamu bs “merapihkan” log2 yang masih “kasar” dan “berantakan” dahulu dilogstash dan diparsing agar rapih sebelum dilempar langsung ke Elastic Search. Itulah fungsinya logstash 🙂

Nah cara simplenya katakanlah kamu memiliki device atau perangkat yang memiliki syslog dan ingin dilempar dengan cara kerja syslog -> logstash -> elasticsearch kemudian ending nya divisualisasikan melalui dashboard Kibana 🙂

Caranya?

Buka/Edit/Tambahkan configurasi simple berikut di logstash kamu.

/etc/logstash/conf.d/syslog.conf

 

 input {
  udp {
    port => 5000
    type => "syslog"
  }
}

output {
  elasticsearch {
    hosts => ["https://ayies.com:9200"]
    user => "elastic"
    password => "xxx123xxx"
    ssl => true
    ssl_certificate_verification => true
    cacert => "/etc/logstash/elastic-certificates.pem"
    index => "syslog-%{+YYYY.MM.dd}"
    ilm_enabled => true
    ilm_rollover_alias => "syslog"
  }
  stdout { codec => rubydebug }
}

Disini ayies pakai port 5000 UDP yah. Buat yang mau pakai port  TCP tinggal ubah udp menjadi utp.

Kemudian restart service. Pastikan service berjalan baik.

Forward Syslog ke Logstash

Pastikan Juga port sudah terbind. Untuk tcp gunakan perintah ss -tlpn  untuk port cek tcp atau netstat -tulpn untuk port udp.

Forward Syslog ke Logstash

Oke langkah terakhir set perangkat/device kamu agar melempar syslog ke port 5000 udp yang sudah kamu set. Contoh sample pada device palo alto seperti ini dimenu Syslog:

Untuk syslog perangkat kamu mungkin berbeda tapi intinya adalah sama. Arahkan ke port yang sudah kamu set. Simpan lalu Cek di Kibana/ELK di menu management > index management untuk memastikan data index sudah tercreate sesuai yang kamu inginkan. Jika ada artinya syslog sudah berhasil diterima oleh logstash.

VOILA selesai !

Jangan lupa juga kemenu index pattern untuk buat pattern nya agar kamu bisa tampilkan di menu Discover juga.

Sekian!


0 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *