ELK Stack on maailma populaarseim palgihalduse platvorm. See on avatud lähtekoodiga toodete kogu, sealhulgas Elasticsearch, Logstash ja Kibana. Kõiki neid kolme toodet töötab välja, haldab ja hooldab Elastic.
ELK Stack on võimas ja avatud lähtekoodiga platvorm, mis suudab hallata suurt hulka logitud andmeid. Sisendilogi pärineb tavaliselt graafilisest veebiliidest (GUI).
- Elasticsearch on JSON-põhine otsingu- ja analüüsimootor, mis on mõeldud horisontaalse mastaapsuse ja lihtsama haldamise jaoks.
- Logstash on serveripoolne andmetöötlusliides, mis on võimeline korraga koguma andmeid mitmest allikast. Seejärel teisendab see selle ja saadab seejärel andmed teie soovitud salve. See on avatud lähtekoodiga rakendus.
- Kibanat kasutatakse teie andmete visualiseerimiseks ja elastses virnas navigeerimiseks. See on ka avatud lähtekoodiga tööriist.
Installige ja konfigureerige ELK Stack Ubuntu
Selles õpetuses hakkame kasutama filebeat logiandmete saatmiseks Logstashi. Beats on kergekaaluline andmeedastaja ja kõigepealt peaksime agenti serveritesse installima.
Samm 1) Java 8 installimine
ElasticSearch toetab Java 8 ja 9, kuid probleem on selles, et Logstash ühildub ainult Java 8-ga. Java 9 ei ole veel toetatud. Seetõttu kavatseme installida Oracle Java 8.
Käivitage terminal ja lisage Oracle Java 8 hoidla, millele järgneb süsteemivärskendus ja tegelik install.
sudo add-apt-hoidla ppa: webupd8team / java
sudo apt-get värskendus
sudo apt install oracle-java8-set-default
Pöörake tähelepanu terminalile. Jätkamiseks peate nõustuma litsentsilepingu akendega ja valima jah. Pärast installimise lõppu saate Java-versiooni kontrollida järgmiste käskude abil:
.sudo java -versioon
sudo kaja $ JAVA_HOME
Samm 2) Elasticsearchi installimine ja konfigureerimine
Alustame sellest wget käsk laadida alla Elasticsearch, millele järgneb avalik allkirjastamisvõti:
sudo wget -qO - https: // artefaktid.elastne.co / GPG-KEY-elasticsearch | sudo apt-võti lisada -
Teiseks installige pakett apt-transport-https (seda vajab Debiani põhine distros).
sudo apt-get install apt-transport-https
Lisage hoidla:
kaja "deb https: // artefaktid.elastne.kaas / pakendid / 6.x / apt stabiilne main "| sudo tee -a / etc / apt / sources.nimekirja.d / elastne-6.x.nimekirja
Uuendage repo-loendit ja installige pakett:
sudo apt-get värskendus
sudo apt-get install elasticsearch
Muutkem „elasticsearchi.yml ”fail:
sudo vim / etc / elasticsearch / elasticsearch.yml
Kommenteerimata „võrk.host ”ja„ http.sadam ”. Lisada tuleks järgmine konfiguratsioon:
võrku.host: localhost http.sadam: 9200
Järgmisena salvestage ja sulgege fail.
Veendumaks, et ElasticSearch töötab tõrgeteta, lubage see käivitamisel ja käivitage ElasticSearch.
sudo systemctl lubab elasticsearchi.teenus
sudo systemctl käivitage elasticsearch.teenus
Kontrollige installimist:
sudo curl -XGET 'localhost: 9200 /?ilus "
Samm 3) Kibana installimine
Alustame Kibana installimist kohe ja muudame Kibana seadeid:
sudo apt-get install kibana
sudo vim / etc / kibana / kibana.yml
Järgmiste ridade kommenteerimine:
server.port: 5601 server.host: "localhost" elasticsearch.URL: "http: // localhost: 9200"
Salvestage ja väljuge failist.
Lubage see käivitamisel ja käivitage Kibana teenus:
sudo systemctl lubab kibana.teenus
sudo systemctl start kibana.teenus
Samm 4) Nginxi konfigureerimine Kibana pöördproksoks
Sarnastel ridadel installime Nginxi, konfigureerime selle ja käivitame teenuse. Kasutage järgmisi käske ükshaaval:
sudo apt-get install nginx apache2-utils
Konfigureerige virtuaalne host:
sudo vim / etc / nginx / sites-available / põder
Lisage faili järgmine konfiguratsioon:
server kuulama 80; serveri_nimi põder.fosslinux.com; auth_basic "Piiratud juurdepääs"; auth_basic_user_file / etc / nginx /.elkusersecret; asukoht / proxy_pass http: // localhost: 5601; puhverserveri_http_versioon 1.1; proxy_set_header Uuenda $ http_upgrade; proxy_set_header Ühendus 'upgrade'; proxy_set_header Host $ host; proxy_cache_bypass $ http_upgrade;
Looge veebibrauseri autentimiseks kasutaja- ja paroolifail:
sudo htpasswd -c / etc / nginx /.elkusersecret elkusr
Sisestage parool ja korrake. Kontrollige Nginxi konfiguratsioone:
sudo nginx -t
Luba Nginx süsteemi käivitamisel ja taaskäivitage teenus:
sudo systemctl lubab nginxi.teenus
sudo systemctl taaskäivitage nginx.teenus
Samm 5) Logstashi installimine ja konfigureerimine
Logstashi installimine:
sudo apt-get install logstash
Siin loome SSL-i sertifikaadi võtme, et turvaline logiülekanne faili beat-kliendist. Enne SSL-sertifikaadi loomist muutke faili “hosts”.
sudo vim / etc / hosts
Lisage failile järgmine rida. Muutke kindlasti IP ja serveri nimi enda nimeks.
172.31.31.158 põdraserver põdraserver
Kui olete valmis, salvestage fail ja väljuge failist.
Nüüd muutke kataloog Logstashiks.
sudo cd / etc / logstash /
Looge SSL-i jaoks kaust:
sudo mkdir ssl
Loo SSL-sertifikaat. Muutke põdraserver oma serveri nimeks allolevas käsus.
sudo openssl req -subj '/ CN = põdraserver /' -x509 -päevad 3650 -partii-sõlmed -newkey rsa: 2048 -keyout ssl / logstash-forwarder.klahv -out ssl / logstash-forwarder.krt
Looge järgmised failid kataloogis / / etc / logstash / conf.d ”.
sudo cd / etc / logstash / conf.d /
looge failimängu sisendfail, kasutades vimi.
sudo vim filebeat-sisend.konf
Lisage sellele järgmised read.
sisend beats port => 5443 type => syslog ssl => true ssl_certificate => "/ etc / logstash / ssl / logstash-forwarder.crt "ssl_key =>" / etc / logstash / ssl / logstash-forwarder.võti"
Salvestage ja sulgege fail ning looge uus konfiguratsioonifail.
sudo vim syslog-filter.konf
Lisage sellele järgmine sisu.
filter if [type] == "syslog" grok match => "message" => "% SYSLOGTIMESTAMP: syslog_timestamp% SYSLOGHOST: syslog_hostname% DATA: syslog_program (?: \ [% POSINT: syslog_pid \])?:% GREEDYDATA: syslog_message " add_field => [" vastuvõetud_at ","% @ timestamp "] add_field => [" saadud_from ","% host "] kuupäev match => [" syslog_timestamp " , "MMM d HH: mm: ss", "MMM dh HH: mm: ss"]
Salvestage ja väljuge failist. Loo elasticsearch väljundfail.
sudo vim output-elasticsearch.konf
Lisage sellele järgmised read.
väljund elasticsearch hosts => ["localhost: 9200"] hosts => "localhost: 9200" manage_template => false index => "% [@ metadata] [beat] -% + YYYY.MM.dd "document_type =>"% [@ metaandmed] [type] "
Lubame Logstashi käivitamisel ja käivitame teenuse:
sudo systemctl lubab logstashi.teenus
sudo systemctl käivitage logstash.teenus
Samm 6) Filebeati installimine ja konfigureerimine kliendiserverites
Alustage võõrustajad fail põdra peremehe kirjete lisamiseks. Asendage IP ja nimi kindlasti oma omaga.
sudo vim / etc / hosts
172.31.31.158 põdraserver
Salvestage ja väljuge failist.
Laadige alla ja installige avalik allkirjastamisvõti:
sudo wget -qO - https: // artefaktid.elastne.co / GPG-KEY-elasticsearch | sudo apt-võti lisada -
Installige „apt-transport-https“ ja lisage repo.
sudo apt-get install apt-transport-https
sudo echo "deb https: // artefaktid.elastne.kaas / pakendid / 6.x / apt stabiilne main "| sudo tee -a / etc / apt / sources.nimekirja.d / elastne-6.x.nimekirja
Uuendage repot ja installige Filebeat.
sudo apt-get värskendus
sudo apt-get install failibeat
Filebeat'i konfiguratsioonide muutmine.
sudo vim / etc / filebeat / filebeat.yml
Leidke järgmine rida ja muutke väärtuseks “true”.
lubatud: tõene
Siin me ei muuda logiteed ja Filebeat edastab kõik logid kaustas “var / log”
teed: - / var / log / *.logi
Järgmiste ridade kommenteerimine:
väljund.logstash: # Logstashi hostide hostid: ["põdraserver: 5443"] ssl.certificate_authorities: ["/ etc / filebeat / logstash-forwarder.crt "]
Kommentaar Elasticsearch:
# väljund.elasticsearch: # Massiivi hoste, millega ühendust luua. # hosts: ["localhost: 9200"]
Salvestage ja väljuge failist.
Nüüd minge ELK-i serverisse ja hankige logstash-forwarder.crt ”sisu
sudo kass / etc / logstash / ssl / logstash-forwarder.krt
kopeerige väljund ja minge siis Elki kliendiserverisse.
Looge sertifikaadifail
sudo vim / etc / filebeat / logstash-forwarder.krt
sisestage kopeeritud väljund ning salvestage ja väljuge.
Luba filebeat süsteemi käivitamisel Start filebeat teenus.
sudo systemctl lubab failirea.teenus
sudo systemctl käivitab failirea.teenus
Samm 7) Kibana juhtpaneeli sirvimine
Käivitage oma lemmikveebibrauser ja sisestage domeeninimi, millele järgneb kasutajanimi ja parool.
http: // põder.fosslinux.com
Sisestage loodud kasutajanimi ja parool. Peaksite nägema Kibana tervituslehte. Klõpsake nuppu "Avasta minu oma".
Teid tuleks suunata Kibana avalehele.
Klõpsake vasakul küljel nuppu "Avasta". Klõpsake nuppu „Loo registrimuster”.
Seejärel määrake indeksmuster “filebeat- *”.
Klõpsake nuppu Järgmine ja valige @timestamp "ja klõpsake nuppu" Loo registrimuster ".
Indeksimuster peaks olema loodud.
Serveri logide nägemiseks klõpsake menüüd „Avasta”.
Logid kuvatakse ajatempli järgi. Klõpsake suvalisel ajatemplil, et seda laiendada ja näha logifaili sisu ja selle üksikasju.
Kui jõudsite siia, tähendab see, et olete ELK-i virna failibeatiga edukalt installinud ja konfigureerinud. Mul on probleeme? Andke sellest julgelt teada allpool toodud kommentaarides.