2편에서 Parsing한 데이터의 정확성 및 다양한 데이터로 확장 방법 소개 1) Access log 요청 마친 시간으로 Parsing 시간을(@timestamp) 변경 2) geoip plugin 적용하여 clientip 지도에 출력 3) useragent plugin 적용 1. Parsing된 timestamp, @timestamp 확인 JSON에서는 Timezone 확인이 불가하니 Kibana를 통해 확인 필요 kibana 설정으로 인해 한국시간(UTC+9)으로 자동 변경됨 timestamp : 클라이언트 요청을 마친 시간(붉은색) @timestamp : parsing된 시간(UTC+0), JSON에서는 한국 시간(UTC+9)으로 변환 안됨(파란색) → Kibana에서 정상 표기됨 즉, access..
기존에 Dev Tools or Curl 을 통해 생성하였으나, 7.4 버전 부터 Kibana에서 wizard 형식으로 지원 1. 사전 준비 작업(인덱스 Setting/Mapping 값 확인) ES는 자동으로 인덱스 생성 및 필드 Mapping 함 자동으로 생성한 Setting 및 Mapping값으로 Template 적용 예정 (추후 settings/mapping 변경 가능) Kibana Dev Tools 를 통해 Setting 및 Mapping값 확인 # GET 인덱스 이름/_settings GET apache-access-log-2019.04.28/_settings # GET 인덱스 이름/_mapping GET apache-access-log-2019.04.28/_mapping 2. Index Temp..
1. Index Templates 수정 1) 좌측 하단 톱니바퀴 > Index Management > Index Templates > template Actions 선택 > Edit 2) Logistics SKIP 3) Index settings SKIP 4) Mappings JSON 포맷에 맞게 geoip 값 추가 5) Aliases SKIP 6) Review template 설정값 확인 > Save template 클릭
Grok Pattern을 사용하여 사용자가 원하는 데이터로 Parsing 해보자 1. 사용할 Apache Access Log 데이터 확인 # Access Log 예시 1.2.3.4 - - [28/Apr/2019:00:01:58 +0900] "GET /assets/css/reset.css HTTP/1.1" 200 1075 "https://www.example.com/login/form.do" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" 항목 설명 사용여부 1.2.3.4 IP Y - 클라이언트의 RFC 1413 신원 N - 사용자의 userid N [28/Apr/2019:00:01:58 +0900] 요청 마친 시간 Y GET..