Logstash

Logstash

Logstashはログを収集、変換、配信するために使用されます。このシステムはパイプラインとして知られています。これらのパイプラインは入力、フィルター、および出力のステージで構成されています。Logstashが侵害されたマシンで動作する際に興味深い側面が現れます。

パイプライン設定

パイプラインは**/etc/logstash/pipelines.yml**ファイルで設定されており、パイプライン設定の場所がリストされています：

# Define your pipelines here. Multiple pipelines can be defined.
# For details on multiple pipelines, refer to the documentation:
# https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html

- pipeline.id: main
path.config: "/etc/logstash/conf.d/*.conf"
- pipeline.id: example
path.config: "/usr/share/logstash/pipeline/1*.conf"
pipeline.workers: 6

このファイルは、パイプライン構成を含む**.confファイルの場所を明らかにします。Elasticsearch出力モジュールを使用する際、パイプラインにはElasticsearchの資格情報**が含まれることが一般的で、これはLogstashがElasticsearchにデータを書き込む必要があるため、しばしば広範な権限を持っています。構成パスのワイルドカードにより、Logstashは指定されたディレクトリ内のすべての一致するパイプラインを実行できます。

書き込み可能なパイプラインによる特権昇格

特権昇格を試みるには、まずLogstashサービスが実行されているユーザーを特定します。通常はlogstashユーザーです。次のいずれかの条件を満たしていることを確認してください：

• パイプライン**.confファイルに書き込みアクセスを持っているまたは**

• /etc/logstash/pipelines.ymlファイルがワイルドカードを使用しており、ターゲットフォルダーに書き込むことができる

さらに、次のいずれかの条件を満たす必要があります：

• Logstashサービスを再起動する能力または

• /etc/logstash/logstash.ymlファイルにconfig.reload.automatic: trueが設定されている

構成にワイルドカードがある場合、このワイルドカードに一致するファイルを作成することでコマンドを実行できます。例えば：

input {
exec {
command => "whoami"
interval => 120
}
}

output {
file {
path => "/tmp/output.log"
codec => rubydebug
}
}

ここで、intervalは実行頻度を秒単位で決定します。与えられた例では、whoamiコマンドが120秒ごとに実行され、その出力は**/tmp/output.log**に送られます。

/etc/logstash/logstash.ymlにconfig.reload.automatic: trueが設定されている場合、Logstashは自動的に新しいまたは変更されたパイプライン設定を検出し、再起動なしで適用します。ワイルドカードがない場合でも、既存の設定に対して変更を加えることは可能ですが、中断を避けるために注意が必要です。

References