Innhold
Introduksjon
Alle logger som sendes til ELK tagges med "logowner" for å merke data med primært eierskap. Vi oppretter en Kibana instans for hver "logowner". Kibana instansen har kun tilgang til loggdata som eies av "logowner". I tillegg finnes det felles logger som alle USIT-driftere skal få tilgang til. Felles logger er tilgjengelig på https://usit-drift.logs.uio.no. Drift-kontoer skal brukes for innlogging på Kibana instansene.
Indekser
Elasticsearch indeks navn består av "logowner", "application" og "YYYY-UKENR" som for eks.:
usit-gsd-windows-iis-2016.22 usit-gid-apache-access-2016.21 usit-gsd-windows-evt-2016.21
Felles logger
Felles logger består av følgende indeksprefikser pr. idag:
zabbix-alarms rsyslog usit-gsd-windows-evt-* (Hendelselogger fra alle Windows servere i UIO og UHAD)
Kibana grensesnitt
Innstillinger
Standard konfigurasjon av en Kibana instans har ikke noen indeks pattern definert. For å få tilgang til loggdata i Elasticsearch, må man definere indeks pattern først på "Settings" fanen. Pattern navnet må minst inneholde både "logowner" og "application" som for eks. "usit-gsd-windows-evt-*" når man definerer indeks pattern.
For å få oversikt over hvilke felter en indeks inneholder, om data på disse feltene er analysert eller ikke, kan man velge "Settings->Indices" som vist under.
Det er viktig å ikke bruke et felt som er analysert når man skal opprette visualisering objekter.
Søk i Kibana
Man kan bruke felt navnene som er sett under "Settings-Indices" for å bygge avanserte søk. Søk i Kibana er "case-sensitive" og felt navnene i søket bør stemme overens med de i Elasticsearch indeksene. Hvis det er flere indeks pattern definert i Kibana instansen, bør man sørge for å velge viktig indeks pattern som vist nedenfor.
Eksempler på avanserte søk på en indeks med Windows hendelselogger:
EventID: 4625 AND LogonType: 10 AND (NOT Hostname: *cx*) for å finne feilende rdp pålogging forsøk hvor Hostname ikke inneholder "cx" EventID: 4740 AND Hostname: *dc01 for å finne låste hvilke brukerkontoer er låst hvor logonserver navn inneholder "dc01".
Søket til slutt kan lagres for senere bruk i dashboard eller for å opprette visualisering objekter.
Visualisering
Det finnes åtte forskjellige visualisering objekter. Her skal vi bruke kakediagram for å finne ut hvilke topp fem ip adresser feilende rdp pålogging forsøk kommer fra.
Dashboard
Man kan bruke visualisering objekter og søk som er lagret frafør for å opprette en dashboard eller importere dashboard som er opprettet av andre.
Import/Eksport
Det er lett å utveksle dashboard, søk og visualisering objekter med andre. De kan eksporteres i json format. Søk, visualisering og dashboard må importeres henholdsvis og det er nødvendig å endre indeks pattern navn i json filer før importering.
Vi i GID allerede har laget dashboard for apache, Windows hendelse og IIS logger. Json filene kan hentes fra git repoen, https://bitbucket.usit.uio.no/projects/ELK/repos/elk-config/browse/kibana.