ElasticsearchやKibanaの役割は以下の資料を見てください.

#93: bootcamp/Elasticsearch構築会

細かなアーキテクチャはこちらの資料を見てください.

CDSL System Architecture (1).png (69.8 kB)

準備

  1. 研究室のWi-Fiに接続してください
  2. Webブラウザ(Google Chromeなど)を起動してください
  3. ブラウザのアドレスバーに以下のURLを入力してください
    1. http://elasticsearch-edge/
    2. http://elasticsearch-edge.a910.tak-cslab.org/

Kibanaの基本操作

ワークスペースを選択してください.今回はDefaultを選んでみます.

image.png (444.9 kB)

赤枠で囲んだ Discover を選んでみます.

image.png (611.1 kB)

以下が Discover の基本ページです.赤枠で囲んだ部分は,保存されているレコード(受け取ったデータ)が表示されています.緑色で囲われた部分は,フィールドと呼ばれるレコードごとに付与された項目です.

image.png (806.0 kB)

フィールドの一覧から試しに syslog_hostname を追加してみます.

image.png (51.5 kB)

レコードが表示されていた部分にカラム(列)が追加されました.他のカラムも追加できるので試してみてください.

image.png (679.7 kB)

Elasticsearchにはインデックスとよばれる単位でデータを分けて格納できます.インデックスが syslog になっているので,別のインデックスに変えてみてください.

image.png (55.3 kB)

例えば sshに変えるとSSHのログイン履歴が表示されます.

image.png (60.8 kB)

表示するレコードの期間を指定することができます.例えば以下では最新24時間以内のレコードに絞り込みを行います.

image.png (168.0 kB)

KibanaのDashboardを見る

左端のメニューからDashboardを選択します.

image.png (495.9 kB)

一覧から Syslog Overview を選びます.これは予め作成しておいたDashboardです.

image.png (1.3 MB)

各サーバーのログをElasticsearchへ転送して格納した結果をグラフで可視化しています.右上はサーバーごとに受信したレコード数(プログラムで色分け)を示しています.右下はプログラムごとに受信したレコード数(サーバー名で色分け)を示しています.左は受け取ったレコードの重複が多いものを一覧で表示しています.