Elastic: 分析oracle数据

对于oracle数据的分析，我们可以写sql，也可以使用ES来处理分析
本文主要讲解配置，默认环境已安装docker ,本示例分析的是oracle的审计日志
安装 ELK 套件
1.先修改宿主机的配置文件

切换到root用户修改配置sysctl.conf
vi /etc/sysctl.conf
在尾行添加以下内容   
vm.max_map_count=262144
并执行命令
sysctl -p

2.启动elk容器

docker run -itd -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk

3.配置logstash

vim /etc/logstash/conf.d/02-beats-input.conf

input {
  beats {
    port => 5044
  }
}

4.创建oracle配置文件 oracle.conf

input {
    jdbc {
        jdbc_validate_connection => true
        jdbc_connection_string => "jdbc:oracle:thin:@//localhost:1521/EE.oracle.docker"
        jdbc_user => "name"
        jdbc_password => "pass"
        jdbc_driver_library => "/opt/ojdbc6-11.2.0.1.0.jar"
        jdbc_driver_class => "Java::oracle.jdbc.driver.OracleDriver"
        statement => "select os_username,username,userhost,timestamp,action_name,comment_text,sessionid,returncode,priv_used,global_uid from dba_audit_trail"
       }
}
output   {
elasticsearch {
hosts => ["localhost:9200"]
index => "audit_databases_oracle-%{+YYYY.MM.dd}"
}
}

5.重启 elk
docker restart elk
6. 大约5min之后登录 localhost:9200查es 是否启动

8. 之后登录localhost:5601查看kibana是否启动
   
   9.创建索引，点击create index ，按提示创建，这会儿能看到我们logstash里面定义的索引名了
   
   10.查看结果
   

点开左侧栏，可以看到分析结果