Configuración de NXLog y Logstash para archivo Netlogon.log

En la entrada anterior explicaba cómo habilitar el debug log del servicio Netlogon para poder ver los enventos de logon usando NTLM en los controladores de dominio. Para analizar estos logs de forma más fácil podemos enviarlos a ELK usando NXLog.

NXLog es un forwarder de logs multiplataforma, no necesita Java y más liviano que el Logstash.

Los archivos de configuración del NXLog y Logstash para enviar los eventos de netlogon.log a ELK los puedes decargar desde aquí.

La instalación de ELK es bastante sencilla, yo usé la guía de Digital Ocean.

Crontab para eliminar índices viejos de Elasticsearch

Estamos probando un pequeño entorno de ELK en el laboratorio y no tenemos mucho espacio en el servidor, por lo que necesitamos borrar los índices viejos de Elasticsearch frecuentmente.

Buscando en Google vi lo que está usando la gente es Curator, hecho tambien por Elasticsearch.

Instalarlo es muy fácil y las instrucciones están en el mismo enlace de arriba. Sin embargo, siguiendo los ejemplos de la web tuve problemas a la hora de programar la tarea periódica en cron porque el simbolo de porcentaje en crontab tiene un significado especial.

Así que hoy os comparto la entrada de crontab que estoy utilizando para eliminar los índices viejos todos los días a las 00:00 horas.

0 0 * * * /bin/curator --host 127.0.0.1 --logfile /var/log/curator delete indices --prefix logstash --older-than 30 --time-unit days --timestring `echo '%Y.%m.%d'`