Az ELK Stack a világ legnépszerűbb naplókezelő platformja. Ez egy nyílt forráskódú termékek gyűjteménye, beleértve az Elasticsearch, a Logstash és a Kibana termékeket. Mindhárom terméket az Elastic fejlesztette, kezeli és tartja karban.
Az ELK Stack egy erőteljes és nyílt forráskódú platform, amely hatalmas mennyiségű naplózott adat kezelésére képes. A bemeneti napló általában grafikus webes felületről (GUI) származik.
- Az Elasticsearch egy JSON-alapú keresési és elemzési motor, amelyet horizontális méretezhetőségre és egyszerűbb kezelésre szánnak.
- A Logstash egy szerveroldali adatfeldolgozó felület, amely képes több forrásból egyszerre adatokat gyűjteni. Ezután átalakítja, majd elküldi az adatokat a kívánt tárhelyre. Ez egy nyílt forráskódú alkalmazás.
- A Kibana az adatok vizualizálására és az elasztikus veremben történő navigálásra szolgál. Ez egy nyílt forráskódú eszköz is.
Telepítse és konfigurálja az ELK Stack alkalmazást az Ubuntun
Ebben az oktatóanyagban használni fogjuk filebeat hogy naplóadatokat küldjön a Logstash-nak. A Beats könnyű adatszállítók, és először is telepítenünk kell az ügynököt a szerverekre.
1. lépés: A Java 8 telepítése
Az ElasticSearch támogatja a Java 8 és 9 programokat, de az a baj, hogy a Logstash csak a Java 8 operációs rendszerrel kompatibilis. A Java 9 még nem támogatott. Ezért az Oracle Java 8-at fogjuk telepíteni.
Indítsa el a terminált, és vegye fel az Oracle Java 8 adattárat, majd a rendszerfrissítést és a tényleges telepítést.
sudo add-apt-repository ppa: webupd8team / java
sudo apt-get frissítés
sudo apt install oracle-java8-set-default
Ügyeljen a terminálra. El kell fogadnia a licencszerződés ablakát, és a folytatáshoz ki kell választania az „igen” lehetőséget. A telepítés befejezése után a következő parancsokkal ellenőrizheti a java verzióját:
.sudo java -verzió
sudo echo $ JAVA_HOME
2. lépés: Az Elasticsearch telepítése és konfigurálása
Kezdjük azzal wget parancs az Elasticsearch letöltésére, amelyet nyilvános aláíró kulcs követ:
sudo wget -qO - https: // műtermékek.rugalmas.co / GPG-KEY-elasticsearch | sudo apt-key add -
Másodszor telepítse az apt-transport-https csomagot (a Debian alapú disztribúcióknak erre van szüksége).
sudo apt-get install apt-transport-https
Adja hozzá az adattárat:
echo "deb https: // műtárgyak.rugalmas.társ / csomagok / 6.x / apt stabil main "| sudo tee -a / etc / apt / sources.lista.d / rugalmas-6.x.lista
Frissítse a repo listát és telepítse a csomagot:
sudo apt-get frissítés
sudo apt-get install elasticsearch
Módosítsuk a „rugalmas keresést.yml ”fájl:
sudo vim / etc / elasticsearch / elasticsearch.yml
Megjegyzés nélküli „hálózat.gazdagép ”és„ http.kikötő". A következő konfigurációt kell hozzáadni:
hálózat.host: localhost http.port: 9200
Ezután mentse el és zárja be a fájlt.
Annak érdekében, hogy az ElasticSearch zökkenőmentesen működjön, engedélyezze a rendszerindításkor és indítsa el az ElasticSearch alkalmazást.
sudo systemctl engedélyezi az elasticsearch alkalmazást.szolgáltatás
sudo systemctl start elasticsearch.szolgáltatás
Telepítés ellenőrzése:
sudo curl -XGET 'localhost: 9200 /?szép'
3. lépés: A Kibana telepítése
Kezdjük el most a Kibana telepítését, és módosítsuk a Kibana beállításait:
sudo apt-get install kibana
sudo vim / etc / kibana / kibana.yml
Kommentelje a következő sorokat:
szerver.port: 5601 szerver.host: "localhost" rugalmas keresés.URL: "http: // localhost: 9200"
Mentse és lépjen ki a fájlból.
Engedélyezze indításkor, és indítsa el a Kibana szolgáltatást:
sudo systemctl engedélyezi a kibanát.szolgáltatás
sudo systemctl start kibana.szolgáltatás
4. lépés: Az Nginx beállítása fordított proxyként a Kibana számára
A hasonló sorokban telepítsük az Nginx-et, állítsuk be és indítsuk el a szolgáltatást. Használja egyesével a következő parancsokat:
sudo apt-get install nginx apache2-utils
Virtuális gazdagép konfigurálása:
sudo vim / etc / nginx / sites-available / elk
Adja hozzá a következő konfigurációt a fájlhoz:
szerver hallgat 80; szerver_neve jávorszarvas.fosslinux.com; auth_basic "Korlátozott hozzáférés"; auth_basic_user_file / etc / nginx /.elkusersecret; hely / proxy_pass http: // localhost: 5601; proxy_http_version 1.1; proxy_set_header Frissítés $ http_upgrade; proxy_set_header Kapcsolat 'upgrade'; proxy_set_header Host $ host; proxy_cache_bypass $ http_upgrade;
Hozzon létre felhasználói és jelszó fájlt a böngésző hitelesítéséhez:
sudo htpasswd -c / etc / nginx /.elkusersecret elkusr
Írja be a jelszót, és ismételje meg. Ellenőrizze az Nginx konfigurációit:
sudo nginx -t
Engedélyezze az Nginx-et a rendszer indításakor, és indítsa újra a szolgáltatást:
sudo systemctl engedélyezze az nginx-et.szolgáltatás
sudo systemctl indítsa újra az nginx fájlt.szolgáltatás
5. lépés: A Logstash telepítése és konfigurálása
A Logstash telepítése:
sudo apt-get install logstash
Itt fogunk létrehozni egy SSL tanúsítványkulcsot a naplóátvitel biztonságos biztosításához a fájlverés kliensből. Az SSL-tanúsítvány létrehozása előtt módosítsa a „hosts” fájlt.
sudo vim / etc / hosts
Adja hozzá a következő sort a fájlhoz. Ne felejtse el megváltoztatni az IP-címet és a kiszolgáló nevét.
172.31.31.158 elk-server elk-server
Ha kész, mentse el és lépjen ki a fájlból.
Most váltson könyvtárat Logstash-re.
sudo cd / etc / logstash /
Hozzon létre egy mappát az SSL számára:
sudo mkdir ssl
SSL-tanúsítvány létrehozása. Az elk-szervert állítsa a kiszolgáló nevére az alábbi paranccsal.
sudo openssl req -subj '/ CN = elk-server /' -x509 -days 3650 -batch -node -newkey rsa: 2048 -keyout ssl / logstash-forwarder.kulcs -out ssl / logstash-forwarder.katódsugárcső
Hozzon létre következő fájlokat az “/ etc / logstash / conf fájlon belül.d ”.
sudo cd / etc / logstash / conf.d /
hozzon létre egy filebeat-input fájlt a vim használatával.
sudo vim filebeat-input.konf
Adja hozzá a következő sorokat.
input beats port => 5443 type => syslog ssl => true ssl_certificate => "/ etc / logstash / ssl / logstash-forwarder.crt "ssl_key =>" / etc / logstash / ssl / logstash-forwarder.kulcs"
Mentse és zárja be a fájlt, és hozzon létre egy új konfigurációs fájlt.
sudo vim syslog-filter.konf
Adja hozzá a következő tartalmat.
szűrő if [type] == "syslog" grok match => "message" => "% SYSLOGTIMESTAMP: syslog_timestamp% SYSLOGHOST: syslog_hostname% DATA: syslog_program (?: \ [% POSINT: syslog_pid \])?:% GREEDYDATA: syslog_message " add_field => [" kapott_at ","% @ timestamp "] add_field => [" kapott_from ","% host "] dátum match => [" syslog_timestamp " , "MMM dHH: mm: ss", "MMM dd HH: mm: ss"]
Mentse és lépjen ki a fájlból. Teremt rugalmas keresés Kimeneti fájl.
sudo vim output-elasticsearch.konf
Adja hozzá a következő sorokat.
output elasticsearch hosts => ["localhost: 9200"] hosts => "localhost: 9200" manage_template => false index => "% [@ metadata] [beat] -% + ÉÉÉÉ.MM.dd "document_type =>"% [@ metadata] [type] "
Engedélyezzük a Logstash indítását és indítsuk el a szolgáltatást:
sudo systemctl engedélyezze a logstash-t.szolgáltatás
sudo systemctl start logstash.szolgáltatás
6. lépés: A Filebeat telepítése és beállítása az ügyfélkiszolgálókon
Kezdje a otthont ad fájl elk host bejegyzések hozzáadásához. Ügyeljen arra, hogy az IP-címet és a nevet lecserélje a sajátjára.
sudo vim / etc / hosts
172.31.31.158 jávorszerver
Mentse és lépjen ki a fájlból.
Töltse le és telepítse a nyilvános aláíró kulcsot:
sudo wget -qO - https: // műtermékek.rugalmas.co / GPG-KEY-elasticsearch | sudo apt-key add -
Telepítse az „apt-transport-https” alkalmazást, és adja hozzá a repót.
sudo apt-get install apt-transport-https
sudo echo "deb https: // műtermékek.rugalmas.társ / csomagok / 6.x / apt stabil main "| sudo tee -a / etc / apt / sources.lista.d / rugalmas-6.x.lista
Frissítse a repót és telepítse a Filebeat programot.
sudo apt-get frissítés
sudo apt-get install filebeat
Módosítsa a Filebeat konfigurációit.
sudo vim / etc / filebeat / filebeat.yml
Keresse meg a következő sort, és módosítsa az értéket „true” értékre.
engedélyezve: igaz
Itt nem módosítjuk a napló elérési útját és Filebeat továbbítja az összes naplót a „var / log” mappában
elérési utak: - / var / log / *.napló
Kommentálja a következő sorokat:
Kimenet.logstash: # A Logstash gazdagépek: ["elk-server: 5443"] ssl.igazolás_jogosultságok: ["/ etc / filebeat / logstash-forwarder.katódsugárcső"]
Megjegyzés Elasticsearch:
#Kimenet.elasticsearch: # Hostok tömbje, amelyekhez csatlakozni lehet. # gazdagép: ["localhost: 9200"]
Mentse és lépjen ki a fájlból.
Most lépjen az ELK szerverre, és szerezze be a „logstash-forwarder” alkalmazást.crt ”tartalmát
sudo cat / etc / logstash / ssl / logstash-forwarder.katódsugárcső
másolja a kimenetet, majd lépjen az Elk kliens-kiszolgálóhoz.
Hozzon létre egy tanúsítványfájlt
sudo vim / etc / filebeat / logstash-forwarder.katódsugárcső
helyezze be a másolt kimenetet, majd mentse és lépjen ki.
Engedélyezze filebeat a rendszer indításakor filebeat szolgáltatás.
sudo systemctl engedélyezi a fájlverést.szolgáltatás
sudo systemctl start fájlverés.szolgáltatás
7. lépés: Böngészés a Kibana Irányítópulton
Indítsa el kedvenc webböngészőjét, és írja be a domain nevet, majd a felhasználónevet és a jelszót.
http: // elk.fosslinux.com
Írja be a létrehozott felhasználónevet és jelszót. Látnia kell a Kibana Welcome oldalt. Kattintson a „Saját felfedezése” gombra.
A Kibana kezdőlapjára kell irányítani.
Kattintson a bal oldalon a „Felfedezés” elemre. Kattintson az „Indexminta létrehozása” elemre.
Ezután adja meg a „filebeat- *” indexmintát.
Kattintson a tovább gombra, válassza a @timestamp lehetőséget, majd kattintson az "Indexminta létrehozása" gombra.
Az indexmintát létre kell hozni.
A kiszolgáló naplóinak megtekintéséhez kattintson a „Discover” menüre.
A naplók az időbélyegző szerint jelennek meg. Kattintson bármelyik időbélyegre, hogy kibontsa, és megtekinthesse a naplófájl tartalmát és részleteit.
Ha ideértél, az azt jelenti, hogy sikeresen telepítetted és beállítottad az ELK verem fájlütemezéssel. Van bármilyen kérdése? Nyugodtan ossza meg velünk az alábbi megjegyzéseket.