V tomto článku vysvětlíme nezbytné kroky k instalaci a konfiguraci ELK Stack na Ubuntu 20.04 LTS. Než budete pokračovat v tomto tutoriálu, ujistěte se, že jste přihlášeni jako uživatel s sudo privilegia. Všechny příkazy v tomto tutoriálu by měly být spouštěny jako uživatel bez oprávnění root.
ELK, v současnosti známý jako Elastic Stack, je zkratka pro open source projekty zahrnující
- Elasticsearch je vyhledávač, který poskytuje distribuovaný fulltextový vyhledávač s možností více nájemců a dokumenty JSON bez schémat v distribuovaném sdíleném úložišti.
- Logstash je bezplatná a otevřená komponenta pro zpracování dat na straně serveru, která shromažďuje, analyzuje a transformuje data před jejich odesláním do jiných zdrojů, včetně Elasticsearch.
- Kibana je bezplatné a otevřené uživatelské rozhraní, které vám umožní prozkoumat a vizualizovat data Elasticsearch. Beats jsou lehcí transportní agenti, kteří shromažďují data aplikací a odesílají je do Elasticsearch nebo jiné platformy.
Jedná se o open source a jednu z nejoblíbenějších platforem pro správu protokolů, která shromažďuje procesy a vizualizuje data z více zdrojů dat. Používá se hlavně pro analýzu protokolů v prostředí IT. Pro správce systému je velmi užitečné vyhledávat a analyzovat velké množství dat, aby mohl neustále rozhodovat v reálném čase.
Nainstalujte ELK Stack na Ubuntu 20.04
Krok 1. Než začnete instalovat jakýkoli balíček na svůj server Ubuntu, vždy doporučujeme zajistit, aby byly všechny systémové balíčky aktualizovány.
sudo apt update sudo apt upgrade sudo apt install wget apt-transport-https curl gnupg2
Krok 2. Nainstalujte Javu.
Elasticsearch je komponenta Java a vyžaduje instalaci Java. Pokud nemáte nainstalovanou Javu, nainstalujte ji otevřením okna terminálu a zadáním následujícího:
sudo apt install openjdk-11-jdk
Jakmile jsou všechny balíčky nainstalovány, ověřte nainstalovanou verzi Javy pomocí následujícího příkazu:
java -version
Krok 3. Nainstalujte Elasticsearch.
Spuštěním následujícího příkazu importujte veřejný klíč GPG Elasticsearch do APT:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Dále přidejte elastický zdrojový seznam do sources.list.d adresář, kde APT bude hledat nové zdroje:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Poté nainstalujte Elasticsearch pomocí tohoto příkazu:
sudo apt update sudo apt install elasticsearch
Nyní spusťte a povolte služby Elasticsearch:
sudo systemctl start elasticsearch sudo systemctl enable elasticsearch
Krok 4. Nainstalujte Kibana.
Spuštěním níže uvedených příkazů nainstalujte, spusťte a povolte služby Kibana:
sudo apt install kibana sudo systemctl start kibana sudo systemctl enable kibana
Kibana poskytuje webové rozhraní, které lze zabezpečit pomocí reverzního proxy. Kibana komunikuje přes port 5601:
http://localhost:5601/status
Krok 5. Nainstalujte Logstash.
Logstash je nejoblíbenější platforma pro analýzu protokolů a je zodpovědná za agregaci dat z různých zdrojů, jejich zpracování a odeslání do potrubí, obvykle k přímému indexování v Elasticsearch. Spuštěním níže uvedených příkazů nainstalujte, spusťte a povolte jeho služby:
sudo apt install logstash sudo systemctl start logstash sudo systemctl enable logstash
Tím by měl být Logstash nainstalován a připraven k použití. Výchozí konfigurace Logstashe se nachází v /etc/logstash/conf.d:
sudo nano /etc/logstash/conf.d/02-beats-input.conf
Přidejte následující soubor:
input {
beats {
port => 5044
}
} Potom vytvořte soubor pro definování výstupu do Elasticsearch:
sudo nano /etc/logstash/conf.d/30-elasticsearch-output.conf
Přidejte následující soubor:
output {
if [@metadata][pipeline] {
elasticsearch {
hosts => ["localhost:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
pipeline => "%{[@metadata][pipeline]}"
}
} else {
elasticsearch {
hosts => ["localhost:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
}
}
} Ujistěte se, že jsou konfigurace v pořádku, spuštěním ověřovacích příkazů níže:
sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
Krok 6. Nainstalujte Filebeat.
Filebeat se používá k odesílání protokolů do Logstash nebo Elasticsearch k analýze. Spuštěním níže uvedených příkazů nainstalujte, spusťte a povolte služby Filebeat:
sudo apt install filebeat sudo systemctl start filebeat sudo systemctl enable filebeat
Po instalaci nakonfigurujte Filebeat pro sběr dat pomocí odkazu níže:
sudo nano /etc/filebeat/filebeat.yml
Přidejte následující soubor:
# Configure what output to use when sending the data collected by the beat.# ---------------------------- Elasticsearch Output ---------------------------- #output.elasticsearch: # Array of hosts to connect to. # hosts: ["localhost:9200"] # Protocol - either `http` (default) or `https`. #protocol: "https" # Authentication credentials - either API key or username/password. #api_key: "id:api_key" #username: "elastic" #password: "linuxtips890" # ------------------------------ Logstash Output ------------------------------- output.logstash: # The Logstash hosts hosts: ["localhost:5044"] # Optional SSL. By default is off. # List of root certificates for HTTPS server verificationsPo dokončení spusťte níže uvedené příkazy a povolte moduly Filebeat a procesy analýzy:
sudo filebeat modules enable system sudo filebeat setup --pipelines --modules system
Načíst šablonu Filebeat:
sudo filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
Také integrujte Filebeat s Kibana:
sudo filebeat setup -E output.logstash.enabled=false -E output.elasticsearch.hosts=['localhost:9200'] -E setup.kibana.host=localhost:5601
Nakonec restartujte služby všech součástí:
sudo systemctl restart elasticsearch sudo systemctl restart kibana sudo systemctl restart logstash sudo systemctl restart filebeat
Krok 7. Otevřete webové rozhraní Kibana.
Můžete k němu přistupovat pomocí adresy URL http://your-server-ip:5601 . Na následující obrazovce byste měli vidět řídicí panel Kibana:
To je vše, co potřebujete k instalaci ELK na Ubuntu 20.04 LTS Focal Fossa. Doufám, že vám tento rychlý tip pomůže. Další informace o ELK Stack naleznete v jejich oficiální znalostní databázi. Pokud máte dotazy nebo návrhy, neváhejte zanechat komentář níže.