In diesem Artikel haben wir die notwendigen Schritte zum Installieren und Konfigurieren von ELK Stack auf Ubuntu 20.04 LTS erklärt. Bevor Sie mit diesem Tutorial fortfahren, vergewissern Sie sich, dass Sie als Benutzer mit sudo angemeldet sind Privilegien. Alle Befehle in diesem Tutorial sollten als Nicht-Root-Benutzer ausgeführt werden.
ELK, derzeit bekannt als Elastic Stack, ist das Akronym für Open-Source-Projekte bestehend aus
- Elasticsearch ist eine Suchmaschine, die eine verteilte, mandantenfähige Volltextsuchmaschine und schemafreie JSON-Dokumente über verteilten Sharding-Speicher bereitstellt.
- Logstash ist eine kostenlose und offene serverseitige Datenverarbeitungskomponente, die Daten sammelt, parst und transformiert, bevor sie an andere Quellen, einschließlich Elasticsearch, gesendet werden.
- Kibana ist eine kostenlose und offene Benutzeroberfläche, mit der Sie Elasticsearch-Daten erkunden und visualisieren können. Beats sind leichtgewichtige Transportagenten, die Anwendungsdaten sammeln und an Elasticsearch oder eine andere Plattform senden.
Es ist eine Open-Source- und eine der beliebtesten Protokollverwaltungsplattformen, die Prozesse sammelt und Daten aus mehreren Datenquellen visualisiert. Es wird hauptsächlich zur Protokollanalyse in IT-Umgebungen verwendet. Für einen Systemadministrator ist es sehr hilfreich, große Datenmengen zu durchsuchen und zu analysieren, um jederzeit Entscheidungen in Echtzeit treffen zu können.
Installieren Sie den ELK-Stack auf Ubuntu 20.04
Schritt 1. Bevor Sie mit der Installation eines Pakets auf Ihrem Ubuntu-Server beginnen, empfehlen wir immer, sicherzustellen, dass alle Systempakete aktualisiert sind.
sudo apt update sudo apt upgrade sudo apt install wget apt-transport-https curl gnupg2
Schritt 2. Installieren Sie Java.
Elasticsearch ist eine Java-Komponente und erfordert die Installation von Java. Wenn Sie Java nicht installiert haben, installieren Sie es, indem Sie ein Terminalfenster öffnen und Folgendes eingeben:
sudo apt install openjdk-11-jdk
Sobald alle Pakete installiert sind, überprüfen Sie die installierte Version von Java mit dem folgenden Befehl:
java -version
Schritt 3. Installieren Sie Elasticsearch.
Führen Sie den folgenden Befehl aus, um den öffentlichen GPG-Schlüssel von Elasticsearch in APT zu importieren:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Fügen Sie als Nächstes die Elastic-Quellliste zu sources.list.d hinzu Verzeichnis, wo APT nach neuen Quellen sucht:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Installieren Sie dann Elasticsearch mit diesem Befehl:
sudo apt update sudo apt install elasticsearch
Starten und aktivieren Sie jetzt die Elasticsearch-Dienste:
sudo systemctl start elasticsearch sudo systemctl enable elasticsearch
Schritt 4. Installieren Sie Kibana.
Führen Sie die folgenden Befehle aus, um Kibana-Dienste zu installieren, zu starten und zu aktivieren:
sudo apt install kibana sudo systemctl start kibana sudo systemctl enable kibana
Kibana bietet eine Webschnittstelle, die mit einem Reverse-Proxy gesichert werden kann. Kibana kommuniziert über Port 5601:
http://localhost:5601/status
Schritt 5. Installieren Sie Logstash.
Logstash ist die beliebteste Protokollanalyseplattform und ist dafür verantwortlich, Daten aus verschiedenen Quellen zu aggregieren, zu verarbeiten und über die Pipeline zu senden, um normalerweise direkt in Elasticsearch indiziert zu werden. Führen Sie die folgenden Befehle aus, um die Dienste zu installieren, zu starten und zu aktivieren:
sudo apt install logstash sudo systemctl start logstash sudo systemctl enable logstash
Das sollte Logstash installieren und einsatzbereit machen. Die Standardkonfiguration von Logstash befindet sich in /etc/logstash/conf.d:
sudo nano /etc/logstash/conf.d/02-beats-input.conf
Fügen Sie die folgende Datei hinzu:
input {
beats {
port => 5044
}
} Erstellen Sie dann eine Datei, um die Ausgabe an Elasticsearch zu definieren:
sudo nano /etc/logstash/conf.d/30-elasticsearch-output.conf
Fügen Sie die folgende Datei hinzu:
output {
if [@metadata][pipeline] {
elasticsearch {
hosts => ["localhost:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
pipeline => "%{[@metadata][pipeline]}"
}
} else {
elasticsearch {
hosts => ["localhost:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
}
}
} Stellen Sie sicher, dass die Konfigurationen in Ordnung sind, indem Sie die folgenden Validierungsbefehle ausführen:
sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
Schritt 6. Installieren Sie Filebeat.
Filebeat wird verwendet, um Protokolle zum Parsen an Logstash oder Elasticsearch zu senden. Führen Sie die folgenden Befehle aus, um die Filebeat-Dienste zu installieren, zu starten und zu aktivieren:
sudo apt install filebeat sudo systemctl start filebeat sudo systemctl enable filebeat
Folgen Sie nach der Installation dem nachstehenden Link, um Filebeat für die Datenerfassung zu konfigurieren:
sudo nano /etc/filebeat/filebeat.yml
Fügen Sie die folgende Datei hinzu:
# Configure what output to use when sending the data collected by the beat.# ---------------------------- Elasticsearch Output ---------------------------- #output.elasticsearch: # Array of hosts to connect to. # hosts: ["localhost:9200"] # Protocol - either `http` (default) or `https`. #protocol: "https" # Authentication credentials - either API key or username/password. #api_key: "id:api_key" #username: "elastic" #password: "linuxtips890" # ------------------------------ Logstash Output ------------------------------- output.logstash: # The Logstash hosts hosts: ["localhost:5044"] # Optional SSL. By default is off. # List of root certificates for HTTPS server verificationsWenn Sie fertig sind, führen Sie die folgenden Befehle aus, um Filebeat-Module und Parsing-Prozesse zu aktivieren:
sudo filebeat modules enable system sudo filebeat setup --pipelines --modules system
Filebeat-Vorlage laden:
sudo filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
Integrieren Sie außerdem Filebeat in Kibana:
sudo filebeat setup -E output.logstash.enabled=false -E output.elasticsearch.hosts=['localhost:9200'] -E setup.kibana.host=localhost:5601
Starten Sie schließlich alle Komponentendienste neu:
sudo systemctl restart elasticsearch sudo systemctl restart kibana sudo systemctl restart logstash sudo systemctl restart filebeat
Schritt 7. Greifen Sie auf die Kibana-Weboberfläche zu.
Sie erreichen es über die URL http://your-server-ip:5601 . Sie sollten das Kibana-Dashboard auf dem folgenden Bildschirm sehen:
Das ist alles, was Sie tun müssen, um ELK auf Ubuntu 20.04 LTS Focal Fossa zu installieren. Ich hoffe, Sie finden diesen schnellen Tipp hilfreich. Weitere Informationen zu ELK Stack finden Sie in der offiziellen Wissensdatenbank. Wenn Sie Fragen oder Anregungen haben, können Sie unten einen Kommentar hinterlassen.