Advanced ELK Stack for Log Management and Centralization

• 了解基本的ELK Stack架構和組件
• 具備使用Kibana和Logstash進行日誌攝取和視覺化的經驗
• 熟悉Linux命令行和基本腳本編寫

目標受眾

• 系統管理員
• 基礎設施工程師
• 需要進階日誌集中化功能的技術團隊

Elastic Stack (ELK) 是一個強大的平台，用於從多個來源即時搜尋、分析和可視化日誌數據。

這是一個由講師指導的培訓（線上或線下），旨在為中級 IT 專業人員提供深入的 ELK 知識，以管理分散式日誌數據、自動化警報並創建高級可視化和儀表板。

在培訓結束時，參與者將能夠：

• 配置從多個來源（包括數據庫）的高級數據攝取和解析流程。
• 為不同的團隊或使用案例創建自定義的 Kibana 儀表板。
• 實現電子郵件通知和基於條件的警報。
• 使用正則表達式提高日誌搜尋的精度。
• 管理用戶角色和訪問權限，確保日誌環境的安全性。
• 與 Elasticsearch REST API 互動，實現自動化和集成。

課程形式

• 互動式講座和討論。
• 大量練習和實踐。
• 在實時實驗環境中進行實踐操作。

課程定制選項

• 如需定制本課程的培訓，請聯繫我們安排。

簡介

• Elastic Stack (ELK) 的概述

模組 1: ELK 架構與現有環境審查

• 審查 Altor CB 的當前架構
• ELK 架構: Elasticsearch, Logstash, Kibana, Beats
• Ingest node 與 Logstash 的比較
• 本地安裝的可擴展性和性能考慮
• 管理最佳實踐

模組 2: Beats – 分散式監控 (2 小時)

• Filebeat, Auditbeat, Winlogbeat 和 Packetbeat 的配置與使用
• 使用 SSL 進行安全傳輸
• 預配置模組與自定義輸入的比較
• 與 Logstash 和 Ingest Pipelines 的整合

模組 3: 從應用程式和 Databases 解析與接收日誌 (4 小時)

• 從應用程式接收自定義日誌
• 使用 Logstash 進行數據解析與轉換
• 使用過濾器: grok, dissect, kv, mutate, date
• Database 連接 (Oracle, PostgreSQL, SQL Server) 使用 JDBC 輸入插件
• 實際案例: 錯誤日誌、審計追蹤、追蹤、慢查詢

模組 4: 高級搜索與正則表達式 (2 小時)

• Kibana 中的高級搜索語法
• 使用正則表達式 (regex)
• 過濾器與 OR/AND 組合
• 嵌套字段與數組
• 保存可重用的查詢與過濾器

模組 5: Kibana 中的自定義儀表板與可視化 (3 小時)

• 可視化類型: 柱狀圖、折線圖、地圖、表格
• 聚合與指標
• 動態過濾器、控件與鑽取功能
• 儀表板分享
• 練習: 從數據庫和系統日誌創建儀表板

模組 6: 警報與 Email 通知 (3 小時)

• Watcher 及其替代方案介紹 (ElastAlert, Kibana Alerts)
• 創建自定義條件與觸發器
• Email 輸出配置
• 練習: 在 Windows 或數據庫日誌中檢測到關鍵事件時發送警報

模組 7: 用戶與權限 Management (2 小時)

• X-Pack 及免費選項介紹
• 創建用戶與角色
• Access 控制 (索引、儀表板、查詢)
• 練習: 定義審計與操作角色

模組 8: Elasticsearch REST API (3 小時)

• Elasticsearch RESTful API 的基礎
• GET / POST 查詢
• 手動與自動索引
• 使用工具如 curl 和 Postman
• 練習: 搜索、插入、刪除與更新文檔

總結與下一步