【digiLogs 勇者指南】03.節點主控台監控應用

上一篇【digiLogs 勇者指南】02.權限控管之基礎，講述權限相關的應用情景，今天我們要來與各位介紹如何在digiLogs（以下簡稱 dgL）上，透過節點主控台監控主機、服務與報表節點。

進入後，預設畫面即為節點主控台主畫面。如果跳轉到其他畫面後想返回主控台，只需點選畫面左上方的 digiLogs 圖示即可。

為了透過 MetricsBeats 收錄 Log 資訊到 dgL 系統，使用主機節點系統監控功能前，需先與 dgL的系統管理員確認環境內是否已安裝 MetricsBeats。

或是也可以在 digiLogs 系統中進入『 Log 查詢 > Log 查詢』，查找 MetricsBeats 生成的 Index（預設為 dgl-metrics），並設定搜尋欄位顯示 host.name 和 host.ip 兩個欄位，以分別對應 hostname 和 IP，來確認已可以監控的端點。

主機節點要設定檔案日誌路徑前，需先設定能夠登入目標主機的使用者帳號密碼；進入『系統組態 > Setting』，使用關鍵字搜尋『Read_File』，方可找到ReadFile帳號密碼預先設定好 READ_FILE_USERNAME 與 READ_FILE_PASSWORD 後更新(密碼可進行 ENC加密)。

接下來要設定發送dgL的信箱，進入『digiLogs > 系統組態 > Setting』後，在關鍵字查詢中輸入 " SERVICE_MAIL "，找到並修改下圖中的 SERVICE_MAIL 設定。

這邊提醒dgL 允許配置兩組 SMTP，分別為主要的 SMTP 名稱 SERVICE_MAIL 和備用的 SMTP 名稱 SERVICE_SECONDARY_MAIL。

如果不想使用公司的 SMTP，也可以使用 Gmail 信箱。將SERVICE_MAIL_USERNAME 和 SERVICE_MAIL_FROM 修改為Gmail 帳號，並將 SERVICE_MAIL_PASSWORD 設為該 Gmail 帳號的密碼（可使用 ENC 更新密碼，更新後 dgL 會將其加密）。

1.透過各項設定實現主機節點監控

完成以上的前置動作後，我們就可以進入節點主控台，點擊右上角的『編輯』進入編輯模式，點擊『新增』，選擇『新增主機』，輸入各項必填資訊後按下『確認』。

滑鼠雙擊方才建立的主機節點，進入到『設定日誌檔案路徑』頁面，點選『+設定 檔案路徑』，才可進行下面資料列的輸入。

檔案路徑中填入Log檔案位置，目錄名稱可自行設定輸入，如果需要開放下載就勾選下載，最後選擇可查閱的可授權角色。

再點擊到『設定系統監控』頁面中，查看『報表連結』中是否有篩選器，沒問題後按下『儲存系統監控』。

沒有要再編輯節點後，我們點選節點主控台下方的儲存，關閉編輯模式。

在非節點編輯模式下，雙擊方才建立的主機節點，於『ReadFile』中選擇目錄並選擇設定好的檔案路徑(此處選擇 目錄名稱 為dgrlog)，進行查詢，查看是否存在該台主機的檔案資訊。

前面我們確認已安裝MetricsBeats，就可以來看dgL_metrics Index的 host.name 、host.ip 與查看的主機是否相符，點入主機節點選擇『系統監控』就能看到下圖。 

2.建立主機節點監控

此處會示範藉由設定不同的告警設定進行監控主機多方面狀態，在dgL告警中有多種監測方式並且能夠按照指定格式能夠寄送多種通知，分別為Agent-based 以及Agentless，按照是否有啟用Agent進行告警規則分級，Agnet-based可按照各式的Beats收錄進digiLgos的資訊可對應不同的告警類型；Agentless可對應IP、API、SNMP與Syslog不同的告警類型。

先進入節點主控台，點擊右上角的『編輯』進入編輯模式，找到欲監控的主機節點，雙點擊後進入『設定告警』頁籤。

進入告警畫面後，點選『+建立』，即可依各項目輸入必填條件，下方將示範三個範例。

【範例一：建立 IP 告警，確認主機是否有持續提供服務】

在告警規則選擇『Agentless』，告警類型選擇『IP』，並填入主機 IP 位置以及相關資訊，此處主機 IP 填入 10.20.30.156。按下『下一步』進入『編輯寄送通知』，在編輯寄送通知畫面中選擇告警通知寄送方式。

【範例二：建立Metrics告警，藉由Metrics匯入進入的資料監控主機的各項系統資訊，確認是否產生異常】

在告警規則這邊選擇『Agent-based』 並且告警類型選擇『System Metics』，偵測項目選擇『CPU』，此處須注意主機名稱及主機IP需與dgl_metics此Index上的NodeName 與 IP 一致，輸入主機名稱、主機IP與選擇預算子 填入偵測%數與偵測間隔後，按下編輯寄件通知 告警通知寄送方式。

【範例三：對EvenLog設定Keyword類型告警進而監控WindowsServer上短期登入異常狀況】

告警規則選擇『Agent-based』並且告警類型選擇『KeyWord』，Index/Alias Name選擇『eventlog相關Index』、選擇偵測的 Log欄位，填入欲偵測的值 ，選擇運算子方式，填入 Threshold ，此處Threshold 填入大於0 times， 並於 Duration 填入 600，按下下一步進入編輯寄送通知

選擇Email告警與Line告警(若要設定LineToken可於Google搜尋LineToken申請方式)，確認完畢後按下『建立』；此處設定即為 當eventlog在三分鐘內收到超過三次的登入錯誤，即透過Email與賴機器人發送告警通知。

3.觸警測試

讓dgL接收有告警設定Keyword告警的Log資訊，先進入節點主控台查看編輯旁的『節點主燈號』，確認是否有觸警紀錄，點擊後選擇『歷程與復歸』。

進入歷程與復歸畫面，選擇任意告警歷程點選『偵測明細』。

於動作處點選『展開』查看告警條件是否與設定相同，確認完後，按下『追蹤查詢』。

進入『追蹤查詢』畫面 可以看到在偵測區間中觸發的Log紀錄，對任意Log紀錄後方動作按下『查詢上下文』能夠查詢到該筆紀錄且能夠按下『匯出』下載紀錄到電腦中，查看Email是否有收到digiLogs寄送的告警通知。

4.建立服務節點

進入節點主控台，點擊『編輯』進入編輯模式後，點擊『新增』，選擇『新增服務』，輸入各項必填資訊於 Index/Alias 選擇想要監控的資料來源後按下『確認』。

按下『儲存服務資訊』，並離開『設定服務資訊』，並按下節點主控台的『儲存』。

雙擊方才建立的主機節點，並調整『起訖日期』後按下『搜尋』。

5.建立報表節點

進入節點主控台，點擊『編輯』進入編輯模式後，點擊『新增』，選擇『新增報表』，選擇想要監控的報表來源後按下『確認』。

就可以透過節點主控台中，快速查閱報表。

根據上述說明可以得知，dgL 節點主控台可新增和管理主機、服務及報表三種類型的節點。此外，還能對主機和服務進行各種告警設定，方便使用者使用。

以上是關於 digiLogs v3.2.8版本節點主控台應用說明，希望能夠對您有所幫助，謝謝。