You know, for search (and analysis)
Básico
TODO
Conceito
Stack
- Elasticsearch
- Logstash
- Kibana
Quando o contexto for sobre logs, também existem os diversos Beats e o Elastic Agent, como agentes para o envio de diversos tipos de log para o ES.
O que é um index
O que é um shard
O que é um documento
Relação entre os componentes de um ILM
Troubleshoot
Check rápido da saúde do cluster via REST API:
export ENDPOINT=localhost:9200
curl -X GET "$ENDPOINT/_cluster/health?wait_for_status=yellow&timeout=50s&pretty"
curl -X GET "$ENDPOINT/_cluster/stats?human&pretty"
curl -X GET "$ENDPOINT/_cluster/pending_tasks"
curl -X GET "$ENDPOINT/_nodes"
curl -X GET "$ENDPOINT/_nodes/stats"
curl -X GET "$ENDPOINT/_cluster/settings?include_defaults=true&flat_settings=true"
Elasticsearch Interfaces
WebUI:
- kibana
- cerebro
- elasticsearch-head
- elastic-hq
Extensões SIEM
- Elasticsearch Security
- Zeek
- Wazuh
- HELK
- Dsiem
- S1EM
- Pfelk
- SIAC