Change Index Pattern Kibana . Secara default filebeat menggunakan indeks dengan urutan waktu. Indeks diberi nama filebeat-%version-yyy.MM.dd. yang dimana yy.MM.dd merupakan tangal pada saat indeks dibuat. untuk menggunakan nama indeks yang berbeda, teman – teman harus mengatur index opsi di Output Elasticsearch.
Untuk Value teman – teman harus menyertakan nama akar indeks ditambah informasi versi dan tanggal. Teman – teman juga perlu mengkonfigurasi opsi setup.template.name dan setup.template.pattern agar sesuai dengan nama baru. Berikut contoh konfigurasi Team kami gunakan untuk Konfigurasi Custome Nama Indeks pada filebeat.
Custom Nama Index Filebeat (Change Index Pattern Kibana)
Masuk kedalam konfigurasi filebeat.yml, edit pada bagian output.elasticsearch
...
setup.ilm.enabled: false
setup.template.name: "dixmata"
setup.template.pattern: "dixmata-*"
setup.template.settings:
index.number_of_replicas: 0
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["192.168.1.11:9200"]
indices:
- index: "dixmata-suricata%{[agent.version]}-%{+yyyy.MM.dd}"
when.equals:
event.module: "suricata"
- index: "dixmata-apache%{[agent.version]}-%{+yyyy.MM.dd}"
when.equals:
event.module: "apache"
..
Lalu simpan. Karena konfigurasi diatas kita menggunakan dua buah modules maka teman – teman harus mengakfikan module yang digunakan terlebih dahulu.
Ikuti perintah ini untuk mengaktifkan modul
filebeat modules enable suricata filebeat modules enable apache
Restart service filebeatnya
systemctl restart filebeat
Buka Dashboard Kibana ELK Server dan Cek pada “Index Management”
Pada gambar diatas dapat dilihat bahwa indeks yang telah kita setup pada “filebeat.yml” tadi, sudah berganti di Indeks Managemnt, menajdi “dixmata-suricata-*” dan “dixmatas-apache-*“.
Selanjutnya buat sebuah Index Pattern, agar kita dapat menampilkan nama Index Pada Dashbord Suricata nantinya. Pada “Index Pattern” > klik “Create index pattern“. lihat contoh pada gambar dibawah
Jika sudah selasei, selajutnya mengganti Indeks pada tampilan Dashboard Suricata. Masuk ke tampilan Dashboard Suricata, dan ganti dengan indeks yang telah kita ganti namanya yaitu ke “dixmata-suricata7.15-2021.10.17“.
Klik Pada Dashboard > search “suricata” > Lalu edit Index ke “dixmata-*”
Lalu Simpan dan Berhasil . Untuk tutorial lengkapnya teman – teman dapat lihat pada Install ELKServer Ubuntu Dixmata.com
Setiap Nama index akan mewakli satu Service yang akan kita masukan ke dalam Kibana ELK Server, jadi teman – teman lebih mudah dalam mengontril Index yang masuk ke ELK Server. Perhatian dari kami, lebih hati – hati pada saat menentukan index pada saat membuat Dashboard, Jika teman – teman tidak tepat pada saat memasukan pada saat membuat virtualization/dashboar, data yang tampil akan salah juga.
Sumber
