VMware Workstation 15/Elastic Stack

[VMware - Ubuntu] Elasticsearch(ELK) 실습하기 - 응용 (1)

YaluStar 2018. 11. 9. 00:50

[VMware - Ubuntu] Elasticsearch(ELK) 실습하기 - 응용 (1)

 

실습 환경

VMware Workstation 15 Player (FREE 버전)

Ubuntu 18.04.1 (64 Bit)

Elasticsearch-6.4.2.deb

Kibana-6.4.2-amd64.deb

Logstash-6.4.2.deb

Filebeat-6.4.2-amd64.deb


[VMware - Ubuntu] Elasticsearch(ELK) 실습하기 - 환경설정에 이어서 작업을 하시면 원활하게 진행하실 수 있습니다.


이번 실습에서는 5개의 Visualize를 작성하고 사진과 같이 Dashboard를 만들어보도록 하겠습니다.





Kibana의 Visualize 기능은 데이터를 시각화하여 보다 편리하게 볼 수 있게 합니다.

Kibana의 Visualize 메뉴를 선택합니다.

이어서 “+” 버튼을 클릭하여 새로 만들어줍니다.





이어서 Data목록에서 Metric을 선택합니다.

Metric은 데이터를 간단한 숫자로 표시하는 기능입니다.





이번 실습에서는 logstash-2015.05* Index Pattern만 사용합니다.

logstash-2015.05*을 선택합니다.





선택을 하고 나면 화면에 Count로 해서 데이터 양이 표시가 됩니다.

다운로드 양에 따라서 데이터의 차이가 있을 수 있습니다.

이어서 화면 상단의 Save 버튼을 눌러서 저장을 합니다.

Logstash-Count 이름으로 저장합니다.





다시 Kibana의 Visualize 메뉴를 선택한 후 “+” 버튼을 눌러 새로 만들기를 합니다.





이번에는 데이터 표를 만들어 보도록 하겠습니다.

Data 목록의 Data Table 항목을 선택합니다.





사용할 Index는 logstash-2015.05*을 사용합니다.





Metric이랑 비슷하게 화면이 표시가 됩니다.

여기서는 Buckets 항목에서 Splits Bows을 선택합니다.





그러면 여러 가지를 설정할 수 있는 옵션들이 나옵니다.

Aggregation : Terms

Field : clientip.keyword

Order By : metric : Count

Order : Descend

Size : 10

항목들을 설정한 후 화살표 버튼을 눌러 재생을 합니다.

재생을 하면 각 clientip을 기준으로 상위 10명의 데이터가 표시됩니다.





이어서 Save 버튼을 눌러 저장합니다.

Logstash-Top10Client 이름으로 저장합니다.





이번엔 Basic Charts 목록에서 Pie을 선택합니다.





Index는 logstash-2015.05*을 선택합니다.





처음에는 동그란 원이 한 개 표시가 되어있습니다.

Buckets 메뉴에서 Split Slices 항목을 선택합니다.





Aggregation : Terms

Field : response.keyword

Order By : metric: Count

Order : Descend

Size : 5

항목들을 설정하면 Pie가 3등분으로 나누어 집니다.





이어서 Options 메뉴를 들어갑니다.

Pie Settings에서 Donut기본적으로 체크되어 있는데 체크를 해제합니다.

그러면 Pie가 도넛 모양이었다가 가운데의 구멍이 채워집니다.





Save 버튼을 눌러 저장합니다.

Logstash-ResponseCode 이름으로 저장합니다.





4번째 Visualize는 Time Series 목록에서 Timelion을 선택합니다.

Timelion은 시간을 기준으로 데이터 양을 표시하는 기능입니다.





처음에는 빈 화면만 표시가 되지만 Timelion Expression 항목에 다음과 같이 입력을 합니다.

.es(q=response:200, q=response:404, q=response:503).label(regex=’.+:(\S+).+’,label=$1)

먼저 q=response:xxx 명령어는 인터넷 상태 코드인 200, 404, 503 이벤트의 발생 추이를 그려주는 정규식 입니다.

그리고 .label(regex=’.+:(\S+).+’,label=$1) 명령어는 복잡하게 표시되는 범례를 정규식을 이용해서 직관적인 범례로 표시할 수 있게 해주는 기능입니다.





표시가 정상적으로 출력이 되면 Save 버튼을 눌러서 저장합니다.

Logstash-Timelion 이름으로 저장합니다.





마지막 Visualize을 만들어 보도록 하겠습니다.

Data 목록의 Data Table 항목을 선택합니다.





Index는 logstash-2015.05*을 선택합니다.





이어서 Buckets의 Split Rows 항목을 설정합니다.

Aggregation : Terms

Field : url.keyword

Order By : metric: Count

Order : Descend

Size : 10

항목들을 설정한 후 재생 버튼을 눌러줍니다.

url을 기준으로 데이터들이 표시됩니다.





Save 버튼을 눌러서 저장합니다.

Logstash-Top10Url 이름으로 저장합니다.





마지막으로 Dashboard을 만들어 보겠습니다.

Kibana 메뉴 중에서 Dashboard을 선택합니다.

이어서 Create new dashboard 버튼을 클릭합니다.





영어로 작성되어 있는 텍스트 안에 “Add” 버튼을 클릭합니다.





Add Panels이란 이름을 가진 창이 나옵니다.

여기서 앞에서 만들었던 Visualize을 선택합니다.

Logstash-ResponseCode, Logstash-Count, Logstash-Timelion, Logstash-Top10Client, Logstash-Top10Url 총 5개한 번씩 클릭합니다.

한 번씩 클릭한 후 Panels을 닫아줍니다.





Dashboard 화면선택한 Visualize가 표시가 됩니다.

처음에는 크기가 다 똑같이 표시가 되는데 각 Visualize 오른쪽 아래에 마우스를 가져다 놓으면 크기를 조정할 수 있습니다.

그리고 상단에 마우스를 가져가서 클릭한 후 드래그 하면 자리를 이동할 수도 있습니다.





마지막 Save 버튼을 눌러서 저장을 합니다.

Title에 Logstash-Dashboard 이름을 입력한 후 Confirm Save 버튼을 눌러주면 끝입니다.






이상으로 [VMware - Ubuntu] Elasticsearch(ELK) 실습하기 - 응용 (1)에 대하여 알아보았습니다.

감사합니다.


반응형