Come installare ELK Stack su CentOS 7

In questo tutorial, ti mostreremo come installare ELK Stack su CentOS 7. Per chi non lo sapesse, ELK Stack è una popolare piattaforma di gestione dei log open source. Viene utilizzato come gestione centralizzata per l'archiviazione, l'analisi e la visualizzazione dei registri. La gestione centralizzata semplifica lo studio dei registri e l'identificazione di eventuali problemi per un numero qualsiasi di server.

Questo articolo presuppone che tu abbia almeno una conoscenza di base di Linux, sappia come usare la shell e, soprattutto, che ospiti il ​​tuo sito sul tuo VPS. L'installazione è abbastanza semplice e presuppone che tu sono in esecuzione nell'account root, in caso contrario potrebbe essere necessario aggiungere 'sudo ' ai comandi per ottenere i privilegi di root. Ti mostrerò l'installazione passo passo di ELK Stack (Elasticsearch, Logstash e Kibana) sul server CentOS 7.

Prerequisiti

• Un server che esegue uno dei seguenti sistemi operativi:CentOS 7.
• Si consiglia di utilizzare una nuova installazione del sistema operativo per prevenire potenziali problemi.
• Accesso SSH al server (o semplicemente apri Terminal se sei su un desktop).
• Un non-root sudo user o accedere all'root user . Ti consigliamo di agire come non-root sudo user , tuttavia, poiché puoi danneggiare il tuo sistema se non stai attento quando agisci come root.

Installa ELK Stack su CentOS 7

Passaggio 1. Innanzitutto, iniziamo assicurandoci che il tuo sistema sia aggiornato.

yum clean allium -y update

Passaggio 2. Installazione di Java.

Hai bisogno di un Java Runtime Environment (JRE) perché Elasticsearch è scritto in linguaggio di programmazione Java, puoi installare il pacchetto OpenJDK che include JRE:

yum install java-1.8.0-openjdk.x86_64

Verifica la versione Java:

[[email protected] ~]# java -versionopenjdk versione "1.8.0_131"OpenJDK Runtime Environment (build 1.8.0_131-b12)OpenJDK 64-Bit Server VM (build 25.131-b12, modalità mista)

Passaggio 3. Installazione di Elasticsearch.

Elasticsearch può essere installato con un gestore di pacchetti aggiungendo il repository di pacchetti di Elastic:

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.0.0.rpm

Quindi installa il pacchetto RPM che hai appena scaricato:

rpm -ivh elasticsearch-5.0.0.rpm

Avvia e abilita il servizio:

systemctl abilita elasticsearchsystemctl avvia elasticsearch

Ora esegui il seguente comando dal terminale per verificare se Elasticsearch funziona correttamente:

curl -X OTTIENI http://localhost:9200

Dovresti ottenere il seguente output:

{"name" :"idroot.us","cluster_name" :"elasticsearch","cluster_uuid" :"k27ZZFJPTaOtwg6_pyzEiw","version" :{"number" :"5.5.0","build_hash" :" 2cfe0df","build_date" :"2017-05-29T16:05:51.443Z","build_snapshot" :false,"lucene_version" :"6.5.1"},"tagline" :"Sai, per la ricerca"}

Passaggio 4. Installazione di Kibana.

Installare Kibana è molto semplice, puoi installarlo facilmente usando un pacchetto RPM:

wget https://artifacts.elastic.co/downloads/kibana/kibana-5.5.0-x86_64.rpm

Ora esegui semplicemente il seguente comando in modo da poter avviare il servizio Kibana:

systemctl daemon-reloadsystemctl avvia kibana

Kibana è ora installato e funzionante sul nostro sistema. Per controllare la pagina web, apri il browser web e vai all'URL menzionato di seguito (usa l'indirizzo IP per il tuo host ELK):

http://localhost:5601

Passaggio 5. Configura lo stack ELK.

Per prima cosa, dobbiamo creare un certificato SSL. Questo certificato verrà utilizzato per proteggere la comunicazione tra i client logstash e filebeat. Prima di creare un certificato SSL, faremo un immissione dell'indirizzo IP del nostro server in openssl.cnf :

nano /etc/ssl/openssl.cnf

Cerca una sezione con 'subjectAltName' e aggiungici l'IP del tuo server:

subjectAltName =IP:10.20.30.100

Ora cambia la directory in /etc/ssl e crea un certificato SSL:

cd /etc/sslopenssl req -x509 -days 365 -batch -nodes -newkey rsa:2048 -keyout logstash-forwarder.key -out logstash_frwrd.crt

Passaggio 6. Configura Logstash.

Ora creeremo un file di configurazione per logstash nella cartella '/etc/logstash/conf.d ':

[[email protected] ~]# nano /etc/logstash/conf.d/logstash.conf# input sectioninput { beats { port => 5044 ssl => true ssl_certificate => "/etc/ssl/logstash_frwrd. crt" ssl_key => "/etc/ssl/logstash-forwarder.key" congestion_threshold => "40" }}

La sezione successiva, ad esempio "sezione filtro", analizzerà i log prima di inviarli a Elasticsearch:

# Filter sectionfilter {if [type] =="syslog" { grok { match => { "message" => "%{SYSLOGLINE}" } } date {match => [ "timestamp", "MMM d HH :mm:ss", "MMM gg HH:mm:ss" ]} }}

L'ultima sezione è "sezione di output" e definisce la posizione per l'archiviazione dei log:

# output sectionoutput { elasticsearch { hosts => localhost index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" }stdout { codec => rubydebug }}

Ora salva il file ed esci. Ora avvia il servizio logstash e abilitalo all'avvio:

systemctl avvia logstashsystemctl abilita logstash

Passaggio 7. Installazione di Filebeat sui client.

Ora per poter comunicare con lo stack ELK, Filebeat deve essere installato su tutte le macchine client:

$ nano /etc/yum.repos.d/filebeat.repo[beats]name=Elastic Beats Repositorybaseurl=https://packages.elastic.co/beats/yum/el/$basearchenabled=1gpgkey=https:/ /packages.elastic.co/GPG-KEY-elasticsearchgpgcheck=1

Ora installa filebeat usando il seguente comando:

yum install filebeat

Dopo aver installato il filebeat, copia il certificato SSL dal server dello stack ELK in '/etc/ssl '. Successivamente apporteremo modifiche al file di configurazione di filebeat per connettere il client al server ELK:

nano /etc/filebeat/filebeat.yml

Apporta le seguenti modifiche al file:

systemctl riavvia filebeatsystemctl abilita filebeat

http://tuo-indirizzo-ip:5601/