Advanced ELK Stack for Log Management and Centralization

• 了解基本的ELK Stack架构和组件
• 具备使用Kibana和Logstash进行日志摄取和视觉化的经验
• 熟悉Linux命令行和基本脚本编写

目标受众

• 系统管理员
• 基础设施工程师
• 需要进阶日志集中化功能的技术团队

Elastic Stack (ELK) 是一个强大的平台，用于从多个来源实时搜索、分析和可视化日志数据。

本次由讲师主导的培训（线上或线下）面向中级IT专业人员，旨在帮助他们深化ELK专业知识，以管理分布式日志数据、自动化警报并创建高级可视化和仪表板。

培训结束后，参与者将能够：

• 配置从多个来源（包括数据库）的高级数据摄取和解析流程。
• 为不同团队或用例创建定制的Kibana仪表板。
• 实现电子邮件通知和基于条件的警报。
• 使用正则表达式提高日志搜索的精确度。
• 管理用户角色和访问权限，确保日志环境的安全。
• 与Elasticsearch REST API 交互，实现自动化和集成。

课程形式

• 互动式讲座和讨论。
• 大量练习和实践。
• 在实时实验室环境中进行实际操作。

课程定制选项

• 如需为本课程定制培训，请联系我们进行安排。

介绍

• Elastic Stack (ELK) 概述

模块 1: ELK 架构与现有环境评估

• Altor CB 当前架构评估
• ELK 架构: Elasticsearch, Logstash, Kibana, Beats
• Ingest 节点与 Logstash 对比
• 本地安装的可扩展性和性能考虑
• 管理最佳实践

模块 2: Beats – 分布式监控 (2 小时)

• Filebeat、Auditbeat、Winlogbeat 和 Packetbeat 的配置与使用
• 使用 SSL 进行安全传输
• 预配置模块与自定义输入
• 与 Logstash 和 Ingest Pipelines 的集成

模块 3: 从应用程序和 Database 解析与摄取日志 (4 小时)

• 从应用程序摄取自定义日志
• 使用 Logstash 进行数据解析和转换
• 过滤器使用: grok、dissect、kv、mutate、date
• Database 连接 (Oracle, PostgreSQL, SQL Server) 使用 JDBC 输入插件
• 实际案例: 错误日志、审计跟踪、跟踪、慢查询

模块 4: 高级搜索与正则表达式 (2 小时)

• Kibana 中的高级搜索语法
• 正则表达式 (regex) 的使用
• 过滤器与 OR/AND 组合
• 嵌套字段和数组
• 保存可重用的查询和过滤器

模块 5: Kibana 中的自定义仪表板和可视化 (3 小时)

• 可视化类型: 柱状图、折线图、地图、表格
• 聚合与指标
• 动态过滤器、控件和钻取功能
• 仪表板共享
• 练习: 从数据库和系统日志创建仪表板

模块 6: 警报与 Email 通知 (3 小时)

• Watcher 及其替代方案 (ElastAlert, Kibana Alerts) 介绍
• 创建自定义条件和触发器
• Email 输出配置
• 练习: 在 Windows 或数据库日志中检测到关键事件时发送警报

模块 7: 用户与权限 Management (2 小时)

• X-Pack 及免费选项介绍
• 创建用户和角色
• Access 按索引、仪表板和查询控制
• 练习: 为审计和操作定义角色

模块 8: Elasticsearch REST API (3 小时)

• Elasticsearch RESTful API 基础
• GET / POST 查询
• 手动和自动索引
• 使用 curl 和 Postman 等工具
• 练习: 搜索、插入、删除和更新文档

总结与下一步