Bonjour à tous !
Je suis nouveau sur le forum, mais ai l'habitude de lire les articles de developpez.com
Du coup, je fais appel à vous puisque je rencontre un problème dans la visualisation de mes logs DNS sur ma pile ELK.
Voici mon problème :
Je possède une VM Windows Server 2012R2 avec nxlog d'installer dessus. Le fichier de configuration est le suivant :
Et le message de succès lorsque j'exécute nxlog.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33 define ROOT C:\Program Files (x86)\nxlog define CERTDIR %ROOT%\cert Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension _json> Module xm_json </Extension> <Input dnslog> Module im_file File "C:\\dns-log.log" InputType LineBased Exec $Message = $raw_event; SavePos TRUE </Input> <Output out> Module om_ssl Host IP_DU_SERVEUR_LOGSTASH Port PORT_DU_SERVEUR_LOGSTASH CAFile %CERTDIR%\logstash-forwarder.crt Exec $EventReceivedTime = integer($EventReceivedTime) / 1000000; to_json(); </Output> <Route 1> Path dnslog => out </Route>
Ma pile ELK (Elasticsearch / Logstash / Kibana) est exécuté sur une debian. Les fichiers de configuration pour Logstash sont :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10 input { tcp { codec =>line { charset => CP1252 } port => PORT_DU_SERVEUR_LOGSTASH ssl_verify => false ssl_enable => true ssl_cert => "/etc/pki/tls/certs/logstash-forwarder.crt" ssl_key => "/etc/pki/tls/private/logstash-forwarder.key" type => "nxlog" }
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7 filter { if [type] == "nxlog" { grok { match => [ "message", "(?<date_n_time_us>%{DATE_US} %{TIME} (?:AM|PM))%{SPACE}%{WORD:dns_thread_id}%{SPACE}%{WORD:dns_context}%{SPACE}%{WORD:dns_internal_packet_identifier}%{SPACE}%{WORD:dns_protocol}%{SPACE}%{WORD:dns_direction}%{SPACE}%{IP:dns_ip}%{SPACE}%{WORD:dns_xid}%{SPACE}(?<dns_query_type>(?:Q|R Q))%{SPACE}[%{NUMBER:dns_flags_hex}%{SPACE}%{WORD:dns_flags_chars}%{SPACE}%{WORD:dns_response_code}]%{SPACE}%{WORD:dns_question_type}%{SPACE}%{GREEDYDATA:dns_question_name}" ] } } }Problème : Je n'arrive pas à visualiser mes logs DNS sur Kibana. Ni par ailleurs, configurer un dashboard. Je ne suis pas non plus sûr de mes fichiers de configuration pour Logstash, en particulier la section "filter" et "output".
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12 output { elasticsearch { hosts => ["localhost:9200"] sniffing => true manage_template => false index => "%{[@metadata][nxlog]}-%{+YYYY.MM.dd}" document_type => "%{[@metadata][type]}" } stdout { codec => rubydebug } }
En revanche, lorsque je tape la commande ngrep -d INTERFACE -W byline -t sur ma debian, j'ai des requêtes qui semble provenir de mon WS, et donc mes logs sont bien reçus. Mais il doit y avoir des soucis au niveau de la pile ELK.
Pourriez-vous m'aider ?
Merci beaucoup pour votre temps !
Partager