ELK Stack – Kibana Filebeat Dashbords (Apache)

Published by Lello on

Di seguito utilizzeremo Kibana per analizzare i file di log raccolti da Filebeat ed inviati al motore Elasticsearch.

Per visualizzare correttamente i dati di Apache in Kibana, dobbiamo preventivamente modificare il file di configurazione di Apache per inserire anche il parametro %v nel LogFormat (%v = canonical ServerName of the server serving the request), in maniera da poter applicare correttamente i filtri nel caso in cui esistano VirtualHost:

LogLevel warn
LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog logs/www.anthesia.lan-access_log combined

Nel post dedicato a Filebeat e ai suoi moduli, abbiamo attivato il modulo Apache ed indicato nel file di configurazione relativo quali sono i file di log che vogliamo analizzare. Come fatto per la dashboard Syslog, andiamo nella sezione Dashboard, inseriamo nel campo di ricerca “apache” e clicchiamo sulla voce [Filebeat Apache] Access and error logs ECS:

Kibana Apache Dashboard

Le informazioni presentate sono davvero molte e di facile analisi:

  • mappa di provenienza dei visitatori (unique account)
  • Response code del server apache
  • Sistemi operativi su cui dei client 
  • Top URL by response code
  • Broser utilizzati
  • Errori del server apache con relativi dettagli

Chiaramente, le informazioni si riferiscono a tutti i server apache che inviano informazioni al nostro nodo Elasticsearch; costituiscono dunque una “collect” di TUTTI i server apache che inviano dati allo Stack. Se volessimo filtrare solo i dati di accesso (non errore) di un solo server, potremmo, nella riga del filtro posta in alto, inserire il seguente filtro:

host.hostname: xxx.anthesia.lan and log.file.path: /var/log/http/access.log

Una volta inserito il filtro e premuto il tasto invio, vedremo la dasboard aggiornarsi con i dati da noi richiesti. 

 

← ELK Stack – Kibana Filebeat Dashboards (Syslog)

ELK Stack – Kibana Filebeat Dashboards (Netflow) →