Filebeat con Elasticsearch 8.x - Parte 2: Configurar alertas

Publicado el 2 de enero de 2023

« Ver todas las conferencias Contáctenos
Filebeat with Elasticsearch 8.x - Part 2: Setup Alerts

Introducción

Código en Github: Elasticsearch y Beats

Este tutorial es una continuación de Filebeat con Elasticsearch Parte 1: Instalación y protección.

En este tutorial, configuraremos alertas en Kibana y usaremos Logstash para enviarle alertas por correo electrónico.

Requisitos

Recursos de Filebeat con Elasticsearch Parte 1: Instalación y protección.

Pasos

Paso 1 - Definir las reglas [00:38]

Primero, confirme que tiene algunos intentos fallidos de SSH en su sistema o cualquier otro registro de interés que le permita crear alertas y reglas.

Paso 2: Configurar Kibana [03:30]

Ve a Kibana en el Gestión de pilas > Reglas y conectores. Si ves Crea tu primera regla, entonces omite este paso. Si ves Se requiere configuración adicional, luego continúe con este paso.

Kibana Alert Setup Configuración de alertas de Kibana

Vaya a la ventana del shell de su servidor Kibana y escriba:

/usr/share/kibana/bin/kibana-keystore add xpack.encryptedSavedObjects.encryptionKey

Cuando se le solicite, pegue un secreto que tenga al menos 32 caracteres de longitud.

Luego reinicia kibana:

systemctl restart kibana

Visita Kibana nuevamente en tu navegador y visita Gestión de pilas > Reglas y conectores. Ahora deberías poder crear tu primera regla.

Kibana Alert First Rule Primera regla de alerta de Kibana

Paso 3 - Regla de configuración [08:40]

Crearemos una regla simple que verificará cuándo un disco específico excede el 70 % de uso.

Haga clic en Crear regla y luego rellena los campos iniciales:

Name: failed ssh Check every: 1 minute Notify: On check intervals

Para el Tipo de regla, seleccionar Umbral logarítmico Luego define tu consulta como se muestra en esta imagen:

Creating rule query Creación de una consulta de reglas

Prensa ahorrar.

Pruebe la regla intentando iniciar sesión SSH varias veces.

Paso 4 - Preparar mensaje de alerta por correo electrónico - Crear conector de registro del servidor [13:13]

Queremos enviar las alertas a una ubicación diferente para que Logstash pueda enviar alertas por correo electrónico en nuestro nombre.

Haga clic en Conectores y elige Registros del servidor.

Kibana Alert Server Log Registro del servidor de alertas de Kibana

Haga clic Crear un conector y escribe algo significativo para Nombre del conector en la ventana emergente.

Establezca el Nivel A cualquier cosa que refleje lo que consideras que es la alerta. Puedes usarlo como una forma útil de indicarle a Logstash cómo filtrar y transformar los mensajes.

Si lo desea, edite el Mensaje. El Mensaje El campo es lo que se enviará por correo electrónico.

Prensa ahorrar.

Después de unos minutos, vaya a su servidor Kibana y confirme que los mensajes aparecen en /var/log/kibana.log.

Paso 5: Enviar correos electrónicos con Logstash [18:30]

Vaya a su servidor Kibana e instale Logstash con este comando:

sudo apt-get install -y logstash

Descargue este archivo logstash:Archivo Logstash para alertas por correo electrónico

Puedes colocar este archivo donde quieras. Por ahora, asumiremos que lo colocaste en /root/logstash.conf.

En la etapa de salida, complete los valores apropiados para la conexión de correo electrónico.

Para ejecutar logstash y comenzar a enviar correos electrónicos a medida que ocurren, escriba este comando:

/usr/share/logstash/bin/logstash -f /root/logstash.conf