Lokien tutkiminen -harjoitus 1

Tässä moduulissa harjoitellaan lokien tutkimista. Käynnistä alla oleva labra ja tee vaiheet perässä. Vastaa sitten kysymyksiin.

Olemme lisänneet ELKiin valmiita lokilähteitä, mutta näistä pitää vielä luoda data view. Aloita siirtymällä Analytics -> Discover ja kibana tarjoaa sinulle vaihtoehdon luoda Data view. Paina Create data view.

Valitaan logstash-auth joka sisältää SSH lokia. Luo data view seuraavanlaisialla arvoilla.

ELK stackin termit

ELK-stackin "index" on termi, jota käytetään kuvaamaan tietokannan osaa, johon kerätty data tallennetaan ja indeksoidaan. Indeksejä käytetään datan järjestämiseen, tallentamiseen ja nopeaan hakemiseen.

"Data view" (tietonäkymä) on käsite, joka viittaa tapaan esittää ja tarkastella dataa tietyn näkökulman tai tarpeen perusteella. Se voi sisältää tietyt tiedot tietokannasta tai muusta datalähteestä jäsenneltynä ja esitettynä halutulla tavalla. Data view voi olla eräänlainen "näkymä" tai "raportti", joka tarjoaa käyttäjille tietyn näkökulman dataan ilman, että itse dataa muokataan.

Jatka sitten siirtymällä Analytics -> Discover ja pääset näkemään lisätyt lokit.

Vasemmalla reunalla on lokilähteestä parsitut field arvot, joita klikkailemalla ja käyttämällä pystyt esimerkiksi filtteröimään haluttuja tapahtumia tai tiedonjyviä lokista. Oikealla yläkulmassa voit valita tapahtumanajan ja toki myös klikkailemalla vesiputousta, voit tarkentaa aikaleimoja. Vastaa seuraavaksi alla oleviin kysymyksiin.

Vinkki: Ole tarkkana aika rangen kanssa

Kun tutkit lokeja ja tarkennat aikoja, niin muista olla tarkkana, ettet jätä lokeja näkemättä, jotka ovat tapahtuneet määrittämäsi ajan ulkopuolella!