🚀 Fluent Bit ile Sistem Loglarını OpenSearch’e Yönlendirme
Linux sunucularındaki sistem loglarını gerçek zamanlı analiz edebilmek, performans izlemenin ve güvenlik takibinin temelidir. Bu rehberde, düşük kaynak tüketimiyle öne çıkan Fluent Bit aracını kurup yapılandırarak /var/log altındaki kayıtların OpenSearch kümesine güvenli şekilde aktarılmasını sağlayacağız.
📌 Bu Rehberde Neler Öğreneceksiniz?
- Fluent Bit’in kurulumu
/var/logaltındaki sistem günlüklerinin okunması- OpenSearch Output eklentisinin yapılandırılması
- Hizmetin başlatılması ve doğrulanması
- Bağlantı ve veri kontrolü için temel sorun giderme adımları
1. Fluent Bit Nedir?
Fluent Bit; sunuculardan log toplayan, işleyen ve hedef servislere ileten hafif bir log yönlendiricidir.
İşlemci dostu yapısı sayesinde küçük VPS’lerde bile sorunsuz çalışır.
2. Fluent Bit Kurulumu:
Aşağıdaki komut, Debian/Ubuntu/RHEL/CentOS tabanlı sunuculara Fluent Bit’i hızlıca kurar:
curl https://raw.githubusercontent.com/fluent/fluent-bit/master/install.sh | sh
➡️ Kurulum betiğini indirip otomatik olarak çalıştırır.
2.1 Fluent Bit Yapılandırması
2.1.1 Fluent Bit’in ana yapılandırma dosyası:
/etc/fluent-bit/fluent-bit.conf
Burada iki bölüm düzenleyeceğiz:
1. INPUT: Hangi log dosyalarını okuyacağını belirtir
2. OUTPUT: Okunan logların nereye gönderileceğini belirler
2.1.2 INPUT – Sistem Loglarını Okuma (tail)
-
Sistem günlüklerinin çoğu /var/log altında tutulur.
-
auth.log ve syslog, kimlik doğrulama, servis olayları ve sistem davranışının büyük kısmını içerir.
[INPUT]
Name tail
Path /var/log/auth.log,/var/log/syslog,/var/log/journal/*.log
- ➡️ Bu ayar, belirtilen tüm log dosyalarını satır satır okuyarak Fluent Bit’e aktarır.
3. OUTPUT – Logları OpenSearch’e Gönderme
Aşağıdaki yapılandırma, logları TLS şifrelemesi ile güvenli şekilde OpenSearch kümesine iletir:
[OUTPUT]
Name opensearch
Match *
Host tr1-opensearch.rabisu.cloud
Port 25060
HTTP_User doadmin
HTTP_Passwd SIFRENIZ
Index tr1_sistem_loglari
tls On
Suppress_Type_Name On
- ➡️ Match * tüm girişlerden gelen logları bu hedefe yönlendirir.
3.1 Hizmeti Başlatma
sudo systemctl enable fluent-bit.service
sudo systemctl start fluent-bit.service
sudo systemctl status fluent-bit.service
- ➡️ Servis sistem açılışına eklenir, başlatılır ve durumu kontrol edilir.
4. Doğrulama ve Sorun Giderme
🔎 4.1 OpenSearch Bağlantısını Test Edin
curl -u doadmin:SIFRE -X GET "https://tr1-opensearch.rabisu.cloud:25060/_cat/indices?v"
- ➡️ Kümedeki indeksleri listeler. Bağlantı çalışıyorsa çıktı gelir.
🔎 4.2 Loglar İndeksleniyor mu?
curl -u doadmin:SIFRE -X GET "https://tr1-opensearch.rabisu.cloud:25060/tr1_sistem_loglari/_search?pretty"
- ➡️ Logların hedef dizine düşüp düşmediğini gösterir.
🔎 4.3 Fluent Bit Loglarını Kontrol Edin
sudo journalctl -u fluent-bit
- ➡️ Yapılandırma veya bağlantı hatalarını görmek için en hızlı yöntem.
🔎 4.4 Yapılandırmayı Test Edin (Dry Run)
/opt/fluent-bit/bin/fluent-bit -c /etc/fluent-bit/fluent-bit.conf --dry-run
- ➡️ Konfigürasyon dosyasının sözdizimini kontrol eder.
❓ Sıkça Sorulan Sorular (SSS)
1. Bu yapılandırma neden auth.log ve syslog dosyalarını kapsıyor? Bu dosyalar kimlik doğrulama, servis durumu, kernel ve sistem davranışı hakkında en kritik verileri içerir.
2. Index adını değiştirebilir miyim? Evet. Farklı projeler, bölgeler veya servisler için ayrı index kullanabilirsiniz.
3. Loglar geç düşüyor, sebebi ne olabilir? Genelde ağ gecikmesi, kısıtlı CPU veya tail plugin’in buffer ayarları buna sebep olur.
4. Birden fazla OpenSearch kümesine yönlendirme yapılabilir mi? Evet, ekstra OUTPUT blokları ekleyebilirsiniz.
🎯 Sonuç
Bu rehber ile Fluent Bit’i kurup yapılandırarak Linux sunucunuzdaki sistem loglarını gerçek zamanlı, güvenli ve merkezi bir OpenSearch altyapısına başarıyla yönlendirdiniz. Artık sunucunuzdaki olayları tek noktadan analiz edebilir, performans trendlerini takip edebilir ve güvenlik uyarılarını daha hızlı yakalayabilirsiniz.
Bu altyapıyı hemen denemek isterseniz, Rabisu Bulut üzerinde bir sanal sunucu ve Yönetilen OpenSearch Kümesi oluşturup entegrasyonu test edebilirsiniz. 🚀