БЛОГ НА HUSL


Docker+OpenSearch+Logstash трабла с netflow

Автор вопроса: Георгий Жиленко

Есть некоторая проблема: есть два docker файла в одном описаны настройки opensearch, в другом logstash, суть logstash собирать netflow и отправлять в OpenSearch но ничего не происходит. кластеры подымаются но logstash свою функцию не выполняет, ни ошибок и ничего, нужные порты слушаются tcpdump показывает что есть нетфлоу на порту. Конфиг лостеша прилагаю: Docker-compose.yml:

version: '3.7'


services:
  logstash:
    image: opensearchproject/logstash-oss-with-opensearch-output-plugin:latest #7.16.2
    container_name: logstash
    environment:
      - LS_JAVA_OPTS=-Xms256m -Xmx256m
    ports:
      - 5140:5140
      #- 2056:2056
      - 9995:9995
      - 5044:5044
    expose:
      - "9200"
    volumes:
      - /etc/OpenSearch/Logstash/conf.d:/usr/share/logstash/pipeline
      #- ./Logstash/conf.d:/usr/share/logstash/config/conf.d
      #- ./Logstash/config/logstash.yml:/usr/share/logstash/config/conf.d/logstash.yml
      #- ./Logstash/config/log4j2.properties:/usr/share/logstash/config/conf.d/log4j2.properties
      #- ./Logstash/certs:/usr/share/logstash/config/conf.d
      - /etc/OpenSearch/Logstash/geodb:/usr/share/geodb
      - /etc/OpenSearch/Logstash/certs:/usr/share/logstash/certs
    networks:
      - opensearch-net
volumes:
  logstash-data:

networks:
  opensearch-net:
    driver: bridge
    external: true

Logstash-input:

input{
    udp{
<------>port => 9995
<------>codec => netflow{
<------>    versions => [5, 9, 10]
<------>}
<------>type => "netflow"
<------>add_field => {"flow_type" => "netflow"}
    }

    udp{
<------>port => 5140
<------>codec => netflow{
<------>    versions => [5, 9, 10]
<------>}
<------>type => "netflow"
<------>add_field => {"flow_type" => "nat_log"}
    }
    file{
<------>path => "/var/log/suricata/eve.json"
<------>codec => json
<------>type => "netflow"
<------>add_field => {"flow_type" => "suricata"}
    }
    file{
<------>path => "/var/log/NVDdb/NVD.json"
<------>codec => json
<------>type => "netflow"
<------>add_field => {"flow_type" => "NVD"}
    }
}


**Logstash-output:**
output {
    opensearch {
    <-->hosts    => ["https://opensearch-node1:9200", "https://opensearch-node2:9200"]
    <-->index    => "%{[type]}-%{[flow_type]}-%{+YYYY.MM.dd}"
<------>user => ""
<------>password => ""
<------>ssl => true
<------>cacert => "/usr/share/logstash/certs/root-ca.pem"
<------>ssl_certificate_verification => false
    }
#    stdout{ codec => rubydebug }
}

Источник

Ответы (0 шт):

licensed under cc by-sa 3.0 with attribution.