Zásobník ELK se skládá ze sady aplikací pro načítání a správu souborů protokolu. V odvětví vývoje softwaru hrají protokolové soubory zásadní roli při identifikaci problému a řešení problému. ELK stack je sbírka různých open-source aplikačních nástrojů, jako je Elasticsearch , Kibana, a Logstash . ELK lze použít ke shromažďování, vyhledávání a vizualizaci protokolů generovaných z jakéhokoli zdroje v libovolném vzoru pomocí dotazu. V tomto článku se naučíme, jak nainstalovat a nakonfigurovat ELK stack na Ubuntu a Debianu.
Předpoklady:
- Čerstvý server Ubuntu 20.04 nebo Debian 10
- Kořenový privilegovaný účet
- Správné připojení k internetu
Nainstalujte Javu
Instalace ELK stacku vyžaduje prostředí Java. Spusťte následující příkaz a nainstalujte java na Ubuntu/Debian
$ sudo apt install openjdk-8-jdk
Ověřte instalaci kontrolou verze Java
$ java -version
Výstup:
Nainstalujte a nakonfigurujte Elasticsearch
Jakmile je Java nainstalována, nyní je čas nainstalovat a nakonfigurovat Elasticsearch. Protože balíčky Elasticsearch nejsou ve výchozím nastavení na Ubuntu/Debianu dostupné, musíme přidat úložiště elasticsearch apt. Spusťte následující příkaz pro přidání klíče úložiště GPG.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Nyní vytvořte soubor úložiště pomocí příkazu.
$ echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Po vytvoření souboru úložiště lze elasticsearch nainstalovat pomocí příkazu.
$ sudo apt update
$ sudo apt install elasticsearch
Výchozí konfigurační soubor elasticsearch se nachází na adrese /etc/elasticsearch/elasticsearch.yml . Použijte libovolný textový editor a odkomentujte řádky:
network.host: localhost
http.port: 9200
Spusťte a povolte elasticsearch
$ sudo systemctl start elasticsearch
$ sudo systemctl enable elasticsearch
Spuštěním následujícího příkazu zobrazíte stav a podrobnosti Elasticsearch
$ curl -X GET "localhost:9200"
Výstup:
Nainstalujte a nakonfigurujte Logstash
Balíček Logstash je standardně dostupný v systémech Ubuntu/Debian. Spusťte následující příkaz pro instalaci.
$ sudo apt install logstash
Spusťte a povolte službu
$ sudo systemctl start logstash
$ sudo systemctl enable logstash
Zkontrolujte službu pomocí příkazu
$ systemctl status logstash
Výchozí konfigurační adresář logstash je /etc/logstash/conf.d/ . Po dokončení instalace INPUT , FILTROVAT a VÝSTUP potrubí lze konfigurovat na základě požadovaných případů použití.
Nainstalujte a nakonfigurujte Kibana
Kibana je webový nástroj GUI používaný pro analýzu a analýzu shromážděných protokolů. Kibana je k dispozici ve výchozím úložišti Ubuntu/Debianu. Spusťte následující příkaz a nainstalujte balíček.
$ sudo apt install kibana
Chcete-li nakonfigurovat kibanu, přejděte do výchozího konfiguračního adresáře a odkomentujte následující řádky
$ sudo vim /etc/kibana/kibana.yml
server.port: 5601 server.host: "localhost" elasticsearch.hosts: ["http://localhost:9200"]
Spusťte a povolte službu
$ sudo systemctl start kibana
$ sudo systemctl enable kibana
Povolte port kibana ve firewallu
$ sudo ufw allow 5601/tcp
Nyní přejděte na řídicí panel Kibana pomocí adresy URL http://localhost:5601
Nainstalujte a nakonfigurujte filebeat
Filebeat se používá pro odesílání protokolů do elasticsearch a logstash pro analýzu. Filebeat je standardně dostupný v úložišti Ubuntu/Debian. Spusťte následující příkaz pro instalaci.
$ sudo apt install filebeat -y
Pro konfiguraci filebeat přejděte do výchozího konfiguračního adresáře a zakomentujte následující.
$ sudo vim /etc/filebeat/filebeat.yml
# output.elasticsearch: # Array of hosts to connect to . # hosts: ["localhost:9200"]
Odkomentujte následující řádek a uložte soubor
output.logstash: hosts: [“localhost:5044”]
V dalším kroku povolte systémový modul filebeat
$ sudo filebeat modules enable system
Nyní spusťte následující příkaz k načtení šablony indexu
$ sudo filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
Spusťte a povolte službu filebeat
$ sudo systemctl start filebeat
$ sudo systemctl enable filebeat
Zkontrolujte stav
$ sudo systemctl status filebeat
Závěr
V tomto článku jsem popsal, jak správně nainstalovat a nakonfigurovat zásobník ELK na Debian/Ubuntu. Také jsme se naučili, jak používat různé komponenty, jako je Kibana, Logstash a Kibana, k analýze a vizualizaci protokolů z jakéhokoli zdroje.