The Elastic Stack (προηγουμένως γνωστό ως ELK Stack) είναι μια ισχυρή λύση για κεντρική καταγραφή. Είναι μια συλλογή λογισμικού ανοιχτού κώδικα που αναπτύχθηκε από την Elastic. Επιτρέπει στους διαχειριστές να αναζητούν, να αναλύουν και να οπτικοποιούν αρχεία καταγραφής που παράγονται από οποιαδήποτε πηγή σε οποιαδήποτε μορφή. Είναι μια πρακτική γνωστή ως κεντρική καταγραφή. Η κεντρική καταγραφή μπορεί να είναι πολύ χρήσιμη κατά την προσπάθεια εντοπισμού προβλημάτων με διακομιστές και εφαρμογές, καθώς επιτρέπει την αναζήτηση σε όλα τα αρχεία καταγραφής από ένα μόνο μέρος. Μπορεί επίσης να βοηθήσει στον εντοπισμό προβλημάτων σε πολλούς διακομιστές συσχετίζοντας τα αρχεία καταγραφής σε μια συγκεκριμένη χρονική στιγμή.
In this guide, check out how to install Elastic Stack on Ubuntu 18.04. First, follow our tutorial to easily install your Ubuntu server on CloudSigma.
The Elastic Stack on Ubuntu
Το Elastic Stack αποτελείται από τα ακόλουθα στοιχεία:
- Elasticsearch: A distributed RESTful search engine. It stores all the data collected.
- Logstash: The data processing piece of the Elastic Stack. It sends incoming data to Elasticsearch.
- Kibana: A web interface, offering search, and log visualization features.
- Beats: A lightweight, single-purpose data transmitter. It can send data from numerous machines to Logstash or Elasticsearch.
Θα πρέπει να εγκαταστήσετε χειροκίνητα κάθε στοιχείο του stack.
Προαπαιτούμενα
Πριν προχωρήσετε στην εγκατάσταση του the Elastic Stack, πρέπει να πληρούνται αρκετές απαιτήσεις συστήματος:
- Hardware requirements:
- CPU: 2 CPUs (accessible from a non-root sudo user)
- RAM: 4GB
- OpenJDK 11 (the latest Java LTS release). To install this, take a look at our tutorial on how to set up Java on Ubuntu 18.04.
- Nginx with proper configurations. You can follow our guide to install Nginx on Ubuntu 18.04 to set it up.
Note that the amount of storage depends on the number of logs to be collected and stored. Besides, the Elastic Stack also deals with valuable information about the server. To keep the data transmission secure, we strongly recommend configuring a TLS/SSL certificate. Follow this tutorial to acquire a free SSL certificate on your Nginx server.
Εκτός από έναν κρυπτογραφημένο διακομιστή, θα είναι επίσης απαραίτητα τα ακόλουθα βήματα:
- Ένα FQDN (πλήρως αναγνωρισμένο όνομα τομέα). Σε αυτόν τον οδηγό, θα είναι το <domain>.
- Και οι δύο εγγραφές DNS των ακόλουθων τομέων κατευθύνουν στον διακομιστή.
- Μια εγγραφή A με το <domain> να δείχνει στη δημόσια IP του διακομιστή.
- Μια εγγραφή A με το www.<domain> να δείχνει στη δημόσια IP του διακομιστή.
Εγκατάσταση του Elastic Stack
-
Διαμόρφωση του Elastic repo
Τα στοιχεία του Elastic Stack δεν είναι διαθέσιμα απευθείας από το επίσημο αποθετήριο του Ubuntu. Ευτυχώς, το Ubuntu επιτρέπει σε αποθετήρια 3ων κατασκευαστών να εγκαθιστούν πακέτα. Για τον σκοπό μας, θα προσθέσουμε το αποθετήριο πακέτων της Elastic. Το αποθετήριο προσφέρει όλες τις τελευταίες ενημερώσεις πακέτων όλων των πακέτων Elastic. Όλα τα πακέτα Elastic είναι υπογεγραμμένα με το κλειδί υπογραφής Elasticsearch για την αποτροπή πλαστογράφησης πακέτων. Αρχικά, προσθέστε το κλειδί στο keyring του Ubuntu:
|
1 |
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - |
Στη συνέχεια, προσθέστε τη λίστα πηγών Elastic στον κατάλογο “sources.list.d”. Είναι ο αποκλειστικός κατάλογος που χρησιμοποιεί το APT για την αναζήτηση νέων πηγών:
|
1 |
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list |
Τέλος, ενημερώστε την προσωρινή μνήμη (cache) του APT:
|
1 |
sudo apt update |
Σύμφωνα με την επίσημη τεκμηρίωση, συνιστάται η εγκατάσταση καθενός από τα στοιχεία με τη σειρά που παρουσιάζεται σε αυτόν τον οδηγό. Αυτό διασφαλίζει ότι τα στοιχεία από τα οποία εξαρτάται κάθε προϊόν βρίσκονται στη σωστή θέση.
-
Εγκατάσταση και διαμόρφωση του Elasticsearch
Μόλις διαμορφωθεί το Elastic repo, το APT είναι έτοιμο να κατεβάσει και να εγκαταστήσει όλα τα πακέτα Elastic. Εκτελέστε την ακόλουθη εντολή για να εγκαταστήσετε το Elasticsearch:
|
1 |
sudo apt install elasticsearch |
Τώρα μπορείτε να ρυθμίσετε το Elasticsearch. Το αρχείο “elasticsearch.yml” παρέχει επιλογές ρύθμισης παραμέτρων σχετικά με συμπλέγματα (clusters), κόμβους (nodes), διαδρομές, δίκτυα, μνήμη, πύλη (gateway) και άλλα. Τα περισσότερα από αυτά είναι προ-ρυθμισμένα στο αρχείο. Στη συνέχεια, ανοίξτε το αρχείο ρυθμίσεων του Elasticsearch με έναν επεξεργαστή κειμένου της επιλογής σας:
|
1 |
sudo vim /etc/elasticsearch/elasticsearch.yml |
Το Elasticsearch ακούει στη θύρα 9200 από οπουδήποτε. Συνιστούμε να περιορίσετε την εξωτερική πρόσβαση στο Elasticsearch για να αποτρέψετε τρίτους από το να διαβάσουν τα δεδομένα ή να τερματίσουν τη λειτουργία των συμπλεγμάτων Elasticsearch χρησιμοποιώντας το REST API του. Για να περιορίσετε την πρόσβαση στο Elasticsearch και να ενισχύσετε την ασφάλειά του, αφαιρέστε το σχόλιο από την ακόλουθη γραμμή και αντικαταστήστε την τιμή της:
|
1 |
network.host: localhost |
Εάν το Elasticsearch πρόκειται να ακούει σε μια συγκεκριμένη διεύθυνση IP, αντικαταστήστε το “localhost” με τη διεύθυνση IP προορισμού. Αυτή είναι η ελάχιστη απαίτηση ρύθμισης παραμέτρων πριν από την εκτέλεση του Elasticsearch. Αποθηκεύστε και κλείστε το αρχείο ρυθμίσεων. Στη συνέχεια, εκκινήστε την υπηρεσία Elasticsearch. Μπορεί να χρειαστούν μερικές στιγμές για να ξεκινήσει το Elasticsearch:
|
1 |
sudo systemctl start elasticsearch |
Μετά από αυτό, πρέπει να βεβαιωθείτε ότι το Elasticsearch ξεκινά κάθε φορά που εκκινείται ο διακομιστής:
|
1 |
sudo systemctl enable elasticsearch |
Η ακόλουθη εντολή θα επαληθεύσει εάν η υπηρεσία Elasticsearch εκτελείται. Το μόνο που απαιτείται είναι η αποστολή ενός αιτήματος HTTP:
|
1 |
curl -X GET "localhost:9200" |
Η απάντηση θα μοιάζει κάπως έτσι. Θα είναι μια απάντηση που θα δείχνει κάποιες βασικές πληροφορίες για τον τοπικό κόμβο.
Εγκατάσταση και ρύθμιση παραμέτρων του Kibana Dashboard
Το Kibana είναι άμεσα διαθέσιμο από το αποθετήριο της Elastic. Σημειώστε ότι θα πρέπει να εγκαταστήσετε το Kibana μόνο αφού έχετε ήδη εγκαταστήσει το Elasticsearch. Υποθέτοντας ότι το αποθετήριο είναι ήδη διαθέσιμο, το APT μπορεί να κατεβάσει και να εγκαταστήσει απευθείας το Kibana:
|
1 |
sudo apt install kibana |
Μόλις εγκατασταθεί, ενεργοποιήστε και εκκινήστε την υπηρεσία Kibana:
|
1 2 |
sudo systemctl enable kibana sudo systemctl start kibana |
Από προεπιλογή, το Kibana είναι ρυθμισμένο να ακούει μόνο στο “localhost”. Για εξωτερική πρόσβαση, απαιτείται η ρύθμιση ενός αντίστροφου διακομιστή μεσολάβησης. Εδώ, το Nginx θα είναι ο αντίστροφος διακομιστής μεσολάβησης. Χρησιμοποιήστε την εντολή openssl για τη δημιουργία ενός διαχειριστή χρήστη Kibana. Θα είναι ο λογαριασμός χρήστη για την πρόσβαση στη διεπαφή ιστού του Kibana. Εδώ, το παράδειγμα ονόματος χρήστη θα είναι “kibana_admin”. Για να διασφαλίσετε καλύτερη ασφάλεια, συνιστούμε τη χρήση ενός μη τυπικού ονόματος χρήστη. Η ακόλουθη εντολή θα δημιουργήσει έναν χρήστη διαχειριστή για το Kibana. Το όνομα χρήστη και ο κωδικός πρόσβασης θα δημιουργηθούν και θα αποθηκευτούν στο αρχείο “htpasswd.users”. Το Nginx θα πρέπει να ρυθμιστεί ώστε να χρησιμοποιεί το όνομα χρήστη και τον κωδικό πρόσβασης:
|
1 |
echo "kibana_admin:`openssl passwd -apr1`" | sudo tee -a /etc/nginx/htpasswd.users |
Εισαγάγετε και επιβεβαιώστε έναν κωδικό πρόσβασης στο μήνυμα προτροπής. Αυτός ο κωδικός πρόσβασης θα είναι σημαντικός για την πρόσβαση στη διεπαφή του Kibana. Μετά από αυτό, πρέπει να δημιουργήσετε ένα αρχείο block διακομιστή Nginx. Για επίδειξη, θα είναι το example.com. Μπορεί επίσης να είναι οποιοδήποτε άλλο περιγραφικό όνομα. Εάν υπάρχουν εγγραφές FQDN και DNS ρυθμισμένες για τον διακομιστή, το όνομα του αρχείου μπορεί επίσης να βασίζεται στο FQDN:
|
1 |
sudo vim /etc/nginx/sites-available/example.com |
Εάν υπάρχει ήδη περιεχόμενο, αφαιρέστε το και αντικαταστήστε το με τις ακόλουθες γραμμές κώδικα:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
server { listen 80; server_name example.com; auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/htpasswd.users; location / { proxy_pass http://localhost:5601; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection 'upgrade'; proxy_set_header Host $host; proxy_cache_bypass $http_upgrade; } } |
Αποθηκεύστε και κλείστε το αρχείο. Δημιουργήστε έναν συμβολικό σύνδεσμο της νέας ρύθμισης στον κατάλογο «sites-enabled». Εάν υπάρχει ήδη κάποιος σύνδεσμος με το ίδιο όνομα αρχείου, τότε αυτό το βήμα μπορεί να μην είναι απαραίτητο:
|
1 |
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/example.com |
Η ακόλουθη εντολή θα ζητήσει από το Nginx να ελέγξει αν υπάρχει κάποιο συντακτικό σφάλμα:
|
1 |
sudo nginx -t |
Εάν υπάρχει κάποιο συντακτικό πρόβλημα, βεβαιωθείτε ότι τα περιεχόμενα του αρχείου τοποθετήθηκαν σωστά. Στη συνέχεια, επανεκκινήστε την υπηρεσία Nginx:
|
1 |
sudo systemctl restart nginx |
Πείτε στο UFW να επιτρέψει τη σύνδεση στο Nginx:
|
1 |
sudo ufw allow 'Nginx Full' |
Το Kibana θα πρέπει τώρα να είναι προσβάσιμο μέσω του FQDN ή της δημόσιας διεύθυνσης IP του διακομιστή Elastic Stack. Ελέγξτε τη σελίδα κατάστασης του διακομιστή Kibana:
|
1 |
http://<server_ip>:5601/status |
Εγκατάσταση και ρύθμιση του Logstash
Παρόλο που το Beats μπορεί να στείλει απευθείας δεδομένα στη βάση δεδομένων του Elasticsearch’s, συνιστάται η χρήση του Logstash για την επεξεργασία των δεδομένων. Το Logstash μπορεί να συλλέξει τα δεδομένα και να τα μετατρέψει σε μια κοινή μορφή πριν τα εξαγάγει σε μια άλλη βάση δεδομένων. Εκτελέστε την ακόλουθη εντολή APT για να εγκαταστήσετε το Logstash:
|
1 |
sudo apt install logstash |
Μόλις ολοκληρωθεί η εγκατάσταση, ήρθε η ώρα να ρυθμίσετε το Logstash. Τα αρχεία ρυθμίσεων του Logstash είναι σε μορφή JSON. Μπορείτε να τα βρείτε όλα στον κατάλογο «/etc/logstash/conf.d». Είναι χρήσιμο να σκέφτεστε το Logstash ως έναν αγωγό (pipeline), που δέχεται δεδομένα στο ένα άκρο, τα επεξεργάζεται και τα στέλνει στον προορισμό. Ένας αγωγός Logstash απαιτεί δύο υποχρεωτικά στοιχεία – input και output με ένα προαιρετικό στοιχείο – filter. Το πρόσθετο input λαμβάνει τα δεδομένα, το πρόσθετο filter επεξεργάζεται τα δεδομένα και το πρόσθετο output εγγράφει τα δεδομένα στον προορισμό. Η ακόλουθη εντολή θα δημιουργήσει ένα αρχείο ρυθμίσεων που θα ορίσει το Logstash για είσοδο Filebeat:
|
1 |
sudo vim /etc/logstash/conf.d/02-beats-input.conf |
Εισαγάγετε την ακόλουθη ρύθμιση input . Περιγράφει μια είσοδο beats που θα ακούει στη θύρα 5044 μέσω TCP:
|
1 2 3 4 5 |
input { beats { port => 5044 } } |
Το επόμενο βήμα είναι να δημιουργήσετε ένα αρχείο ρυθμίσεων με όνομα «10-syslog-filter.conf». Θα το χρησιμοποιήσουμε για να ορίσουμε ένα φίλτρο για syslogs (αρχεία καταγραφής συστήματος):
|
1 |
sudo vim /etc/logstash/conf.d/10-syslog-filter.conf |
Εισαγάγετε τον ακόλουθο κώδικα ρύθμισης syslog . Αυτός ο κώδικας είναι διαθέσιμος απευθείας από τον Elastic guide. Αυτός ο κώδικας εξηγεί τη ρύθμιση input στο Logstash:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
είσοδος{ beats{ θύρα => 5044 κεντρικός υπολογιστής => "0.0.0.0" } } φίλτρο { αν [σύνολο αρχείων][ενότητα] == "σύστημα" { αν [σύνολο αρχείων][όνομα] == "έλεγχος ταυτότητας" { grok { αντιστοίχιση => { "μήνυμα" => ["%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: %{DATA:[system][auth][ssh][event]} %{DATA:[system][auth][ssh][method]} για (μη έγκυρο χρήστη )?%{DATA:[system][auth][user]} από %{IPORHOST:[system][auth][ssh][ip]} θύρα %{NUMBER:[system][auth][ssh][port]} ssh2(: %{GREEDYDATA:[system][auth][ssh][signature]})?", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: %{DATA:[system][auth][ssh][event]} χρήστης %{DATA:[system][auth][user]} από %{IPORHOST:[system][auth][ssh][ip]}", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sshd(?:\[%{POSINT:[system][auth][pid]}\])?: Δεν λήφθηκε συμβολοσειρά αναγνώρισης από %{IPORHOST:[system][auth][ssh][dropped_ip]}", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} sudo(?:\[%{POSINT:[system][auth][pid]}\])?: \s*%{DATA:[system][auth][user]} :( %{DATA:[system][auth][sudo][error]} ;)? TTY=%{DATA:[system][auth][sudo][tty]} ; PWD=%{DATA:[system][auth][sudo][pwd]} ; USER=%{DATA:[system][auth][sudo][user]} ; COMMAND=%{GREEDYDATA:[system][auth][sudo][command]}", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} groupadd(?:\[%{POSINT:[system][auth][pid]}\])?: new group: name=%{DATA:system.auth.groupadd.name}, GID=%{NUMBER:system.auth.groupadd.gid}", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} useradd(?:\[%{POSINT:[system][auth][pid]}\])?: new user: name=%{DATA:[system][auth][user][add][name]}, UID=%{NUMBER:[system][auth][user][add][uid]}, GID=%{NUMBER:[system][auth][user][add][gid]}, home=%{DATA:[system][auth][user][add][home]}, shell=%{DATA:[system][auth][user][add][shell]}$", "%{SYSLOGTIMESTAMP:[system][auth][timestamp]} %{SYSLOGHOST:[system][auth][hostname]} %{DATA:[system][auth][program]}(?:\[%{POSINT:[system][auth][pid]}\])?: %{GREEDYMULTILINE:[system][auth][message]}"] } pattern_definitions => { "GREEDYMULTILINE"=> "(.|\n)*" } remove_field => "message" } date { match => [ "[system][auth][timestamp]", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } geoip { source => "[system][auth][ssh][ip]" target => "[system][auth][ssh][geoip]" } } else if [fileset][name] == "syslog" { grok { match => { "message" => ["%{SYSLOGTIMESTAMP:[system][syslog][timestamp]} %{SYSLOGHOST:[system][syslog][hostname]} %{DATA:[system][syslog][program]}(?:\[%{POSINT:[system][syslog][pid]}\])?: %{GREEDYMULTILINE:[system][syslog][message]}"] } pattern_definitions => { "GREEDYMULTILINE" => "(.|\n)*" } remove_field => "message" } date { match => [ "[system][syslog][timestamp]", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } } } |
Το επόμενο αρχείο ρυθμίσεων θα αφορά την έξοδο. Ανοίξτε ένα νέο αρχείο με όνομα “30-elasticsearch-output.conf”:
|
1 |
sudo vim /etc/logstash/conf.d/30-elasticsearch-output.conf |
Εισαγάγετε τον ακόλουθο κώδικα. Αυτός ο κώδικας εξηγεί τη ρύθμιση παραμέτρων εξόδου στο Logstash:
|
1 2 3 4 5 6 7 |
output { elasticsearch { hosts => ["localhost:9200"] manage_template => false index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}" } } |
Δοκιμάστε τη ρύθμιση παραμέτρων του Logstash. Στη συνέχεια, εκτελέστε την ακόλουθη εντολή:
|
1 |
sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t |
Αν δεν υπάρχει σφάλμα, τότε το Logstash θα εμφανίσει το ακόλουθο μήνυμα επιτυχίας. Αν δεν ήταν επιτυχές, βεβαιωθείτε ότι όλα τα αρχεία ρυθμίσεων έχουν τους σωστούς κώδικες. Τέλος, εκκινήστε και ενεργοποιήστε την υπηρεσία Logstash:
|
1 2 |
sudo systemctl start logstash sudo systemctl enable logstash |
Τώρα που το Logstash εκτελείται με επιτυχία και είναι πλήρως ρυθμισμένο, ας εγκαταστήσουμε το Filebeat.
Εγκατάσταση και ρύθμιση παραμέτρων του Filebeat
Το Elastic Stack χρησιμοποιεί αποστολείς δεδομένων, γνωστούς ως «Beats», για τη συλλογή δεδομένων από διάφορες πηγές και τη μεταφορά τους στο Logstash/Elasticsearch. Ακολουθεί μια σύντομη λίστα με τα διαθέσιμα Beats από την Elastic:
- Filebeat: Συλλογή/αποστολή αρχείων καταγραφής.
- Metricbeat: Συλλογή/αποστολή μετρικών από συστήματα και υπηρεσίες.
- Packetbeat: Συλλογή/ανάλυση δεδομένων δικτύου.
- Winlogbeat: Συλλογή αρχείων καταγραφής συμβάντων των Windows.
- Auditbeat: Συλλογή δεδομένων του πλαισίου ελέγχου Linux και παρακολούθηση της ακεραιότητας των αρχείων.
- Heartbeat: Παρακολούθηση υπηρεσιών για τη διαθεσιμότητά τους.
Για τους σκοπούς αυτού του οδηγού, θα χρειαστούμε το Filebeat για την αποστολή τοπικών αρχείων καταγραφής στο Elastic Stack. Αρχικά, εγκαταστήστε το Filebeat:
|
1 |
sudo apt install filebeat |
Μπορείτε τώρα να ρυθμίσετε το Filebeat. Αρχικά, πρέπει να συνδεθεί στο Logstash. Θα χρησιμοποιήσουμε το παράδειγμα ρύθμισης που συνοδεύει το Filebeat. Ανοίξτε το αρχείο ρυθμίσεων σε έναν επεξεργαστή κειμένου. Σημειώστε ότι επειδή το αρχείο είναι σε μορφή YAML, η σωστή εσοχή είναι σημαντική:
|
1 |
sudo vim /etc/filebeat/filebeat.yml |
Βρείτε την ενότητα “output.elasticsearch” και σχολιάστε τις ακόλουθες γραμμές. Αυτό θα ρυθμίσει το Filebeat να στέλνει απευθείας συμβάντα στο Elasticsearch/Logstash για πρόσθετη επεξεργασία. Στη συνέχεια, μεταβείτε στην ενότητα “output.logstash.” Έπειτα, αποσχολιάστε τις γραμμές:
|
1 2 3 4 5 6 7 |
#output.elasticsearch: # Πίνακας κεντρικών υπολογιστών για σύνδεση. # hosts: ["localhost:9200"] output.logstash: # Οι κεντρικοί υπολογιστές Logstash hosts: ["localhost:5044"] |
Το Filebeat υποστηρίζει ενότητες που μπορούν να επεκτείνουν τη λειτουργικότητά του. Σε αυτόν τον οδηγό, θα χρησιμοποιήσουμε την ενότητα system που συλλέγει και αναλύει αρχεία καταγραφής που δημιουργούνται από την υπηρεσία καταγραφής συστήματος των κοινών διανομών Linux. Ενεργοποιήστε την ενότητα system του Filebeat:
|
1 |
sudo filebeat modules enable system |
Η ακόλουθη εντολή Filebeat θα εμφανίσει όλες τις ενεργοποιημένες και απενεργοποιημένες ενότητες:
|
1 |
sudo filebeat modules list |
Από προεπιλογή, το Filebeat έχει ρυθμιστεί να ακολουθεί τις προεπιλεγμένες διαδρομές για τα αρχεία καταγραφής syslog και εξουσιοδότησης. Οι παράμετροι των ενοτήτων είναι διαθέσιμες στο αρχείο ρυθμίσεων “/etc/filebeat/modules.d/system.yml”.
Το επόμενο βήμα είναι να φορτώσετε το πρότυπο ευρετηρίου στο Elasticsearch. Ένα ευρετήριο Elasticsearch υποδηλώνει μια συλλογή εγγράφων που μοιράζονται παρόμοια χαρακτηριστικά. Κάθε ευρετήριο συνοδεύεται από ένα όνομα. Το όνομα είναι απαραίτητο κατά την εκτέλεση διαφόρων λειτουργιών σε αυτό. Το πρότυπο ευρετηρίου εφαρμόζεται αυτόματα κάθε φορά που δημιουργείται ένα νέο ευρετήριο. Στη συνέχεια, φορτώστε το πρότυπο:
|
1 |
sudo filebeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]' |
Το Filebeat περιέχει ένα δείγμα πίνακα ελέγχου για το Kibana από προεπιλογή. Βοηθά στην οπτικοποίηση των δεδομένων του Filebeat στο Kibana. Ωστόσο, πριν χρησιμοποιήσετε τον πίνακα ελέγχου, είναι απαραίτητο να δημιουργήσετε το μοτίβο ευρετηρίου και να φορτώσετε τους πίνακες ελέγχου στο Kibana. Κατά τη φόρτωση των πινάκων ελέγχου, το Filebeat επικοινωνεί με το Elasticsearch για πληροφορίες έκδοσης. Για τη φόρτωση των πινάκων ελέγχου, ενώ το Logstash είναι ενεργοποιημένο, απαιτείται να είναι απενεργοποιημένη η έξοδος Logstash και ενεργοποιημένη η έξοδος Elasticsearch. Η ακόλουθη εντολή θα κάνει αυτή τη δουλειά:
|
1 |
sudo filebeat setup -e -E output.logstash.enabled=false -E output.elasticsearch.hosts=['localhost:9200'] -E setup.kibana.host=localhost:5601 |
Τέλος, μπορείτε να εκκινήσετε το Filebeat:
|
1 2 |
sudo systemctl start filebeat sudo systemctl enable filebeat |
Τώρα, ήρθε η ώρα να δοκιμάσετε τη ρύθμιση του Elastic Stack. Εάν έχει ρυθμιστεί σωστά, το αποτέλεσμα θα μοιάζει κάπως έτσι:
|
1 |
curl -XGET 'http://localhost:9200/filebeat-*/_search?pretty' |
Εάν το αποτέλεσμα αναφέρει 0 συνολικά αποτελέσματα (hits), το Elasticsearch δεν φορτώνει κανένα αρχείο καταγραφής στο ευρετήριο που αναζητήσαμε. Αυτό υποδηλώνει ότι υπήρξε σφάλμα στη ρύθμιση. Εάν το αποτέλεσμα ήταν το αναμενόμενο, τότε το Elastic Stack έχει ρυθμιστεί με επιτυχία.
Επισκόπηση πινάκων ελέγχου Kibana
Τώρα, ήρθε η ώρα να εξερευνήσετε τη διεπαφή ιστού του Kibana που έχουμε ήδη εγκαταστήσει. Αρχικά, ανοίξτε τον πίνακα ελέγχου του Kibana. Θα πρέπει να βρίσκεται στο FQDN ή στη δημόσια διεύθυνση IP του διακομιστή Elastic Stack:
|
1 |
http://<server_ip>:5601 |
Εισαγάγετε τα διαπιστευτήρια σύνδεσης που δημιουργήσαμε προηγουμένως. Μόλις συνδεθείτε, ο πίνακας ελέγχου θα μοιάζει κάπως έτσι:
Από την αριστερή γραμμή πλοήγησης, επιλέξτε «Discover». Στη συνέχεια, επιλέξτε το μοτίβο «filebeat-*». Εμφανίζει όλα τα logs που συλλέχθηκαν τα τελευταία 15 λεπτά. Είναι δυνατή η αναζήτηση και η περιήγηση στα logs και η προσαρμογή του dashboard:
Από την αριστερή γραμμή πλοήγησης, μεταβείτε στο Dashboard >> Filebeat System. Εδώ, είναι διαθέσιμα όλα τα δείγματα dashboards από το system module του Filebeat.
Στο ακόλουθο παράδειγμα, παρουσιάζονται λεπτομερώς διάφορα στατιστικά στοιχεία με βάση τα μηνύματα syslog:
Μπορεί επίσης να αναφέρει ποιοι χρήστες έχουν εκτελέσει εντολές με sudo:
Τέλος, το Kibana σάς δίνει την ευκαιρία να εξερευνήσετε πολλές άλλες λειτουργίες, όπως η δημιουργία γραφημάτων και το φιλτράρισμα, οπότε μη διστάσετε να τις εξερευνήσετε μόνοι σας.
Τελικές Σκέψεις
Το Elastic Stack είναι μια ισχυρή λύση για την ανάλυση των logs του συστήματος. Έχετε υπόψη σας ότι παρόλο που οποιοδήποτε log ή ευρετηριασμένο δεδομένο μπορεί να σταλεί στο Logstash χρησιμοποιώντας Beats, γίνεται πιο χρήσιμο όταν αναλύεται και δομείται μέσω των φίλτρων του Logstash.
Καλή συνέχεια!
Σχόλια
Δεν υπάρχουν σχόλια ακόμα. Γράψτε το πρώτο.