シッパーの YML 設定を変更および有効化して、データ収集タスクを完了できます。このトピックでは、シッパーの YML 設定ファイルの準備方法と、YML 設定ファイルのパラメーターについて説明します。
前提条件
Alibaba Cloud Elasticsearch クラスターが作成され、クラスターで [自動インデックス作成] 機能が有効になっています。Elasticsearch クラスターの作成方法の詳細については、「Alibaba Cloud Elasticsearch クラスターの作成」をご参照ください。
セキュリティ上の理由から、Alibaba Cloud Elasticsearch ではデフォルトで [自動インデックス作成] 機能が無効になっています。ただし、Beats はこの機能に依存しています。シッパーのインストール時に [出力] に [elasticsearch] を選択した場合は、[自動インデックス作成] 機能を有効にする必要があります。詳細については、「YML ファイルの設定」をご参照ください。
metricbeat.modules:
- module: system
metricsets: ["diskio","network"]
diskio.include_devices: []
period: 1sFilebeat の設定
filebeat.inputs を指定して、入力データソースの検索方法または処理方法を決定できます。次の図は、単純な入力設定の例を示しています。filebeat.yml
filebeat.inputs:
- type: log
enabled:true
paths:
- /opt/test/logs/t1.log
- /opt/test/logs/t2/*
fields:
alilogtype: usercenter_serverlog- 出力シッパーをインストールする際に Shipper YML 設定 を指定した場合、 で出力部分を構成する必要はありません。構成した場合、シッパーのインストールエラーが発生します。
- 各入力データソースはハイフン(
-)で始まります。複数のハイフンを使用して、複数の入力データソースを指定できます。
| パラメーター | 説明 |
type | 入力タイプ。有効な値の例: stdin、redis、tcp、syslog。デフォルト値:log。 |
paths | 監視するログのパス。/log/nginx.log や log/* など、ファイルまたはディレクトリを指定できます。指定されたファイルまたはディレクトリは Docker にマッピングされます。重要 ディレクトリを指定する場合は、 /* など、あいまい一致のアスタリスク (*) が指定されたディレクトリに含まれていることを確認する必要があります。また、指定されたディレクトリ内のファイルのタイプが、データを収集するファイルのタイプと同じであることを確認する必要があります。 |
enabled | 設定を有効にするかどうかを指定します。有効な値:
|
fields | オプション。このパラメーターの下に、2 つのスペースでインデントしてフィールドを追加できます。たとえば、alilogtype: usercenter_serverlog と入力して、このフィールドを各出力ログに追加し、ログソースのタイプを識別します。ログが Logstash に送信される場合、このフィールドに基づいてログを分類および処理できます。 |
詳細については、オープンソースの Filebeat ドキュメントの「ログ入力」をご参照ください。
Metricbeat の設定
metricbeat.modules を指定して、metricbeat.ymlmodule を設定できます。
metricbeat.modules:
- module: system
metricsets: ["diskio","network"]
enabled: true
hosts: ["http://XX.XX.XX.XX/"]
period: 10s
fields:
dc: west
tags: ["tag"]| パラメーター | 説明 |
module | 実行するモジュールの名前。サポートされているモジュールの詳細については、「モジュール」をご参照ください。 |
metricsets | 実行するメトリックセット。メトリックセットの詳細については、「モジュール」をご参照ください。 |
enabled | 設定を有効にするかどうかを指定します。値 true は、設定が有効になることを示します。値 false は、設定が無効になることを示します。 |
period | メトリックセットを実行する頻度を指定します。システムにアクセスできない場合、Metricbeat は期間ごとにエラーを返します。 |
hosts | 情報を取得するホスト。このパラメーターはオプションです。 |
fields | メトリックセットイベントとともに送信されるフィールド。このパラメーターはオプションです。 |
tags | メトリックセットイベントとともに送信されるタグ。このパラメーターはオプションです。 |
詳細については、「オープンソースの Metricbeat ドキュメント」をご参照ください。
Heartbeat の設定
Heartbeat は、リモートサーバーに軽量な方法でインストールできます。Heartbeat を使用して、サービスのステータスを定期的にチェックし、サービスが利用可能かどうかを判断できます。Heartbeat は Metricbeat とは異なります。Heartbeat はサービスが利用可能かどうかをチェックしますが、Metricbeat はサービスが実行されているかどうかをチェックします。
heartbeat.monitors を指定して、監視するサービスを指定できます。heartbeat.yml
heartbeat.monitors:
- type: http
name: ecs_monitor
enabled: true
urls: ["http://localhost:9200"]
schedule: '@every 5s'
fields:
dc: west| パラメーター | 説明 |
type | モニタータイプ。有効な値:icmp、tcp、http。 |
name | モニター名。この値は、モニターフィールドの「エクスポートされたフィールド」に表示され、ジョブ名として使用されます。type フィールドはジョブタイプとして使用されます。 |
enabled | 設定を有効にするかどうかを指定します。値 true は、設定が有効になることを示します。値 false は、設定が無効になることを示します。 |
urls | 接続するサーバー。このパラメーターはオプションです。 |
schedule | タスクスケジュール。このパラメーターを @every 5s に設定すると、Heartbeat が開始されてから 5 秒ごとにタスクが実行されます。このパラメーターを */5 * * * * * * に設定すると、5 秒ごとにタスクが実行されます。 |
fields | オプション。出力設定部分にフィールドを追加情報として追加できます。 |
詳細については、「オープンソースの Heartbeat ドキュメント」をご参照ください。
Auditbeat の設定
service auditd status コマンドを実行して、サービスのステータスをクエリできます。Auditbeat シッパーを設定する場合は、auditbeat.yml で auditbeat.modules を指定できます。auditbeat.ymlauditbeat.yml は、モジュールと出力の 2 つの部分で構成されます。モジュールを有効にするには、auditbeat.yml に特定のパラメーターを追加する必要があります。次の設定例では、auditd モジュールと file_integrity モジュールが使用されています。
auditbeat.modules:
- module: auditd
audit_rules: |
-w /etc/passwd -p wa -k identity
-a always,exit -F arch=b32 -S open,create,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etcauditbeat.yml 設定の詳細については、「オープンソースの Auditbeat ドキュメント」をご参照ください。module 設定の詳細については、「モジュール」をご参照ください。