TOC

So installieren Sie Elasticsearch 1.7, Logstash 1.5 und Kibana 4.1 (ELK Stack) unter Ubuntu 14.04

Einführung

In diesem Tutorial werden wir die Installation des Elasticsearch ELK-Stacks unter Ubuntu 14.04 - Elasticsearch 1.7.3, Logstash 1.5.4 und Kibana 4.1.1 - durchgehen. Wir zeigen Ihnen auch, wie Sie es konfigurieren, um die Syslogs Ihrer Systeme an einem zentralen Ort zu erfassen und zu visualisieren. Logstash ist ein Open Source-Tool zum Sammeln, Parsen und Speichern von Protokollen für die zukünftige Verwendung. Kibana ist eine Webschnittstelle, mit der die von Logstash indizierten Protokolle durchsucht und angezeigt werden können. Beide Tools basieren auf Elasticsearch.

Die zentrale Protokollierung kann sehr nützlich sein, wenn Sie versuchen, Probleme mit Ihren Servern oder Anwendungen zu identifizieren, da Sie alle Ihre Protokolle an einem einzigen Ort durchsuchen können. Dies ist auch deshalb nützlich, weil Sie Probleme identifizieren können, die sich über mehrere Server erstrecken, indem Sie deren Protokolle während eines bestimmten Zeitraums korrelieren.

Es ist möglich, Logstash zum Sammeln von Protokollen aller Art zu verwenden. Wir beschränken den Umfang dieses Lernprogramms jedoch auf das Sammeln von Syslogs.

Unser Ziel

Das Lernprogramm hat zum Ziel, Logstash so einzurichten, dass Syslogs mehrerer Server erfasst werden, und Kibana so einzurichten, dass die erfassten Protokolle angezeigt werden.

Unser Logstash / Kibana-Setup besteht aus vier Hauptkomponenten:

  • * Logstash *: Die Serverkomponente von Logstash, die eingehende Protokolle verarbeitet

  • * Elasticsearch *: Speichert alle Protokolle

  • * Kibana *: Weboberfläche zum Durchsuchen und Visualisieren von Protokollen, die über Nginx weitergeleitet werden

  • * Logstash Forwarder *: Auf Servern installiert, die ihre Protokolle an Logstash senden, dient Logstash Forwarder als Protokollweiterleitungs-Agent, der das Netzwerkprotokoll lumberjack für die Kommunikation mit Logstash verwendet

image: https://assets.digitalocean.com/articles/elk/elk-infrastructure-logstashforwarder.png [ELK Infrastructure]

Wir werden die ersten drei Komponenten auf einem einzigen Server installieren, den wir als unseren * Logstash-Server * bezeichnen. Der Logstash Forwarder wird auf allen Client-Servern installiert, für die wir Protokolle erfassen möchten, die wir zusammen als unsere * Client-Server * bezeichnen.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie root-Zugriff auf ein Ubuntu 14.04 VPS. Anweisungen zum Einrichten finden Sie hier (Schritte 3 und 4): Initial Server Setup with Ubuntu 14.04 .

Wenn Sie lieber CentOS verwenden möchten, lesen Sie dieses Tutorial: https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-4-on-centos-7 [ So installieren Sie ELK unter CentOS 7].

Die Menge an CPU, RAM und Speicher, die Ihr Logstash-Server benötigt, hängt von der Menge an Protokollen ab, die Sie sammeln möchten. In diesem Tutorial verwenden wir einen VPS mit den folgenden Spezifikationen für unseren Logstash-Server:

  • Betriebssystem: Ubuntu 14.04

  • RAM: 4 GB

  • CPU: 2

Zusätzlich zu Ihrem Logstash-Server benötigen Sie einige andere Server, von denen Sie Protokolle erfassen.

Beginnen wir mit der Einrichtung unseres Logstash-Servers!

Installieren Sie Java 8

Elasticsearch und Logstash benötigen Java, das werden wir jetzt installieren. Wir werden eine neuere Version von Oracle Java 8 installieren, da dies von Elasticsearch empfohlen wird. Es sollte jedoch gut mit OpenJDK funktionieren, wenn Sie sich für diesen Weg entscheiden.

Fügen Sie den Oracle Java PPA zu apt hinzu:

sudo add-apt-repository -y ppa:webupd8team/java

Aktualisieren Sie Ihre apt-Paketdatenbank:

sudo apt-get update

Installieren Sie die neueste stabile Version von Oracle Java 8 mit diesem Befehl (und akzeptieren Sie die Lizenzvereinbarung, die angezeigt wird):

sudo apt-get -y install oracle-java8-installer

Nachdem Java 8 installiert ist, installieren wir ElasticSearch.

Installieren Sie Elasticsearch

Elasticsearch kann mit einem Paketmanager installiert werden, indem die Paketquellenliste von Elastic hinzugefügt wird.

Führen Sie den folgenden Befehl aus, um den öffentlichen GPG-Schlüssel von Elasticsearch in apt zu importieren:

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Wenn Ihre Eingabeaufforderung dort nur hängt, wartet sie wahrscheinlich auf das Kennwort Ihres Benutzers (um den Befehl "+ sudo +" zu autorisieren). In diesem Fall geben Sie Ihr Passwort ein.

Erstellen Sie das Elasticsearch-Orderbuch:

echo "deb http://packages.elastic.co/elasticsearch/1.7/debian stable main" | sudo tee -a /etc/apt/sources.list.d/elasticsearch-1.7.list

Aktualisieren Sie Ihre apt-Paketdatenbank:

sudo apt-get update

Installieren Sie Elasticsearch mit diesem Befehl:

sudo apt-get -y install elasticsearch

Elasticsearch ist jetzt installiert. Bearbeiten wir die Konfiguration:

sudo vi /etc/elasticsearch/elasticsearch.yml

Sie möchten den externen Zugriff auf Ihre Elasticsearch-Instanz (Port 9200) einschränken, damit Außenstehende Ihre Daten nicht lesen oder Ihren Elasticsearch-Cluster über die HTTP-API herunterfahren können. Suchen Sie die Zeile, die "+ network.host +" angibt, entfernen Sie das Kommentarzeichen und ersetzen Sie den Wert durch "localhost".

elasticsearch.yml Auszug (aktualisiert)

network.host: localhost

Speichern und beenden Sie "+ elasticsearch.yml +".

Starten Sie jetzt Elasticsearch:

sudo service elasticsearch restart

Führen Sie dann den folgenden Befehl aus, um Elasticsearch beim Booten zu starten:

sudo update-rc.d elasticsearch defaults 95 10

Nachdem Elasticsearch nun ausgeführt wird, können Sie Kibana installieren.

Installieren Sie Kibana

Kibana kann mit einem Paketmanager installiert werden, indem die Paketquellenliste von Elastic hinzugefügt wird.

Erstellen Sie die Kibana-Quellenliste:

echo 'deb http://packages.elastic.co/kibana/4.1/debian stable main' | sudo tee /etc/apt/sources.list.d/kibana.list

Aktualisieren Sie Ihre apt-Paketdatenbank:

sudo apt-get update

Installieren Sie Kibana mit diesem Befehl:

sudo apt-get -y install kibana

Kibana ist jetzt installiert.

Öffnen Sie die Kibana-Konfigurationsdatei zum Bearbeiten:

sudo vi /opt/kibana/config/kibana.yml

Suchen Sie in der Kibana-Konfigurationsdatei die Zeile, die "+ host +" angibt, und ersetzen Sie die IP-Adresse (standardmäßig "0.0.0.0") durch "localhost":

kibana.yml Auszug (aktualisiert)

host: "localhost"

Speichern und schließen. Diese Einstellung macht es so, dass Kibana nur für den lokalen Host zugänglich ist. Dies ist in Ordnung, da wir einen Nginx-Reverse-Proxy auf demselben Server installieren, um den externen Zugriff zu ermöglichen.

Aktivieren Sie nun den Kibana-Dienst und starten Sie ihn:

sudo update-rc.d kibana defaults 96 9
sudo service kibana start

Bevor wir die Kibana-Weboberfläche verwenden können, müssen wir einen Reverse-Proxy einrichten. Machen wir das jetzt mit Nginx.

Installieren Sie Nginx

Da wir Kibana so konfiguriert haben, dass es auf "+ localhost +" lauscht, müssen wir einen Reverse-Proxy einrichten, um externen Zugriff darauf zu ermöglichen. Wir werden Nginx für diesen Zweck verwenden.

  • Hinweis: * Wenn Sie bereits eine Nginx-Instanz haben, die Sie verwenden möchten, können Sie diese auch verwenden. Stellen Sie einfach sicher, dass Kibana so konfiguriert ist, dass es von Ihrem Nginx-Server erreicht werden kann (Sie möchten wahrscheinlich den Wert "+ host " in " / opt / kibana / config / kibana.yml +" in die private IP-Adresse Ihres Kibana-Servers ändern oder Hostname). Außerdem wird empfohlen, SSL / TLS zu aktivieren.

Verwenden Sie apt, um die Nginx- und Apache2-Utils zu installieren:

sudo apt-get install nginx apache2-utils

Verwenden Sie htpasswd, um einen Administratorbenutzer mit dem Namen "kibanaadmin" (Sie sollten einen anderen Namen verwenden) zu erstellen, der auf die Kibana-Weboberfläche zugreifen kann:

sudo htpasswd -c /etc/nginx/htpasswd.users

Geben Sie an der Eingabeaufforderung ein Passwort ein. Merken Sie sich dieses Login, da Sie es benötigen, um auf die Kibana-Weboberfläche zuzugreifen.

Öffnen Sie nun den Nginx-Standardserverblock in Ihrem bevorzugten Editor. Wir werden vi verwenden:

sudo vi /etc/nginx/sites-available/default

Löschen Sie den Inhalt der Datei und fügen Sie den folgenden Codeblock in die Datei ein. Stellen Sie sicher, dass das "+ Servername +" mit dem Namen Ihres Servers übereinstimmt:

/ etc / nginx / sites-available / default

server {
   listen 80;

   server_name ;

   auth_basic "Restricted Access";
   auth_basic_user_file /etc/nginx/htpasswd.users;

   location / {
       proxy_pass http://localhost:5601;
       proxy_http_version 1.1;
       proxy_set_header Upgrade $http_upgrade;
       proxy_set_header Connection 'upgrade';
       proxy_set_header Host $host;
       proxy_cache_bypass $http_upgrade;
   }
}

Speichern und schließen. Dadurch wird Nginx so konfiguriert, dass der HTTP-Datenverkehr Ihres Servers an die Kibana-Anwendung geleitet wird, die + localhost: 5601 + abhört. Außerdem verwendet Nginx die Datei + htpasswd.users +, die wir zuvor erstellt haben, und erfordert eine grundlegende Authentifizierung.

Starten Sie nun Nginx neu, damit die Änderungen wirksam werden:

sudo service nginx restart

Auf Kibana kann jetzt über Ihren FQDN oder die öffentliche IP-Adresse Ihres Logstash-Servers zugegriffen werden, d. H. http: // logstash% 5C_server% 5C_public% 5C_ip / [http: // logstash \ _server \ _public \ _ip /]. Wenn Sie in einem Webbrowser dorthin gehen, sollten Sie nach Eingabe der "kibanaadmin" -Anmeldeinformationen eine Kibana-Begrüßungsseite sehen, auf der Sie aufgefordert werden, ein Indexmuster zu konfigurieren. Lassen Sie uns später darauf zurückkommen, nachdem wir alle anderen Komponenten installiert haben.

Installieren Sie Logstash

Das Logstash-Paket ist im selben Repository wie Elasticsearch verfügbar. Wir haben diesen öffentlichen Schlüssel bereits installiert. Erstellen wir also die Logstash-Quellliste:

echo 'deb http://packages.elasticsearch.org/logstash/1.5/debian stable main' | sudo tee /etc/apt/sources.list.d/logstash.list

Aktualisieren Sie Ihre apt-Paketdatenbank:

sudo apt-get update

Installieren Sie Logstash mit diesem Befehl:

sudo apt-get install logstash

Logstash ist installiert, aber noch nicht konfiguriert.

Generieren Sie SSL-Zertifikate

Da wir Logstash Forwarder verwenden, um Protokolle von unseren Servern an unseren Logstash-Server zu senden, müssen wir ein SSL-Zertifikat und ein Schlüsselpaar erstellen. Das Zertifikat wird vom Logstash Forwarder verwendet, um die Identität des Logstash-Servers zu überprüfen. Erstellen Sie mit den folgenden Befehlen die Verzeichnisse, in denen das Zertifikat und der private Schlüssel gespeichert werden:

sudo mkdir -p /etc/pki/tls/certs
sudo mkdir /etc/pki/tls/private

Jetzt haben Sie zwei Möglichkeiten, Ihre SSL-Zertifikate zu generieren. Wenn Sie über ein DNS-Setup verfügen, mit dem Ihre Client-Server die IP-Adresse des Logstash-Servers auflösen können, verwenden Sie * Option 2 *. Andernfalls können Sie mit * Option 1 * IP-Adressen verwenden.

Option 1: IP-Adresse

Wenn Sie kein DNS-Setup haben, das es Ihren Servern ermöglicht, Protokolle zu sammeln, um die IP-Adresse Ihres Logstash-Servers aufzulösen, müssen Sie die private IP-Adresse Ihres Logstash-Servers zum "+ subjectAltName +" hinzufügen (SAN) -Feld des zu generierenden SSL-Zertifikats. Öffnen Sie dazu die OpenSSL-Konfigurationsdatei:

sudo vi /etc/ssl/openssl.cnf

Suchen Sie den Abschnitt "+ [v3_ca] +" in der Datei und fügen Sie diese Zeile darunter ein (ersetzen Sie die private IP-Adresse des Logstash-Servers):

openssl.cnf Auszug (aktualisiert)

subjectAltName = IP:

Speichern und schließen.

Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /) mit den folgenden Befehlen:

cd /etc/pki/tls
sudo openssl req -config /etc/ssl/openssl.cnf -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt

Die Datei logstash-forwarder.crt wird auf alle Server kopiert, die Protokolle an Logstash senden. Dies erfolgt jedoch etwas später. Vervollständigen wir unsere Logstash-Konfiguration. Wenn Sie diese Option gewählt haben, überspringen Sie Option 2 und fahren Sie mit * Logstash konfigurieren * fort.

Option 2: FQDN (DNS)

Wenn Sie über ein DNS-Setup mit Ihrem privaten Netzwerk verfügen, sollten Sie einen A-Eintrag erstellen, der die private IP-Adresse des Logstash-Servers enthält. Dieser Domänenname wird im nächsten Befehl zum Generieren des SSL-Zertifikats verwendet. Alternativ können Sie einen Datensatz verwenden, der auf die öffentliche IP-Adresse des Servers verweist. Stellen Sie nur sicher, dass Ihre Server (die Server, von denen Sie Protokolle sammeln) den Domänennamen in Ihren Logstash-Server auflösen können.

Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /…) mit dem folgenden Befehl (Ersatz im FQDN des Logstash-Servers):

cd /etc/pki/tls; sudo openssl req -subj '/CN=/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt

Die Datei logstash-forwarder.crt wird auf alle Server kopiert, die Protokolle an Logstash senden. Dies erfolgt jedoch etwas später. Vervollständigen wir unsere Logstash-Konfiguration.

Logstash konfigurieren

Logstash-Konfigurationsdateien haben das JSON-Format und befinden sich in /etc/logstash/conf.d. Die Konfiguration besteht aus drei Abschnitten: Eingaben, Filter und Ausgaben.

Erstellen Sie eine Konfigurationsdatei mit dem Namen "+ 01-lumberjack-input.conf +" und richten Sie unseren "lumberjack" -Eingang ein (das Protokoll, das Logstash Forwarder verwendet):

sudo vi /etc/logstash/conf.d/01-lumberjack-input.conf

Fügen Sie die folgende Eingabekonfiguration ein:

01-lumberjack-input.conf

input {
 lumberjack {
   port => 5043
   type => "logs"
   ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
   ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
 }
}

Speichern und Beenden. Dies gibt einen "+ Holzfäller " -Eingang an, der den TCP-Port " 5043 +" überwacht und das SSL-Zertifikat und den privaten Schlüssel verwendet, die wir zuvor erstellt haben.

Jetzt erstellen wir eine Konfigurationsdatei mit dem Namen "+ 10-syslog.conf +", in der wir einen Filter für Syslog-Nachrichten hinzufügen:

sudo vi /etc/logstash/conf.d/10-syslog.conf

Fügen Sie die folgende syslog filter Konfiguration ein:

10-syslog.conf

filter {
 if [type] == "syslog" {
   grok {
     match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
     add_field => [ "received_at", "%{@timestamp}" ]
     add_field => [ "received_from", "%{host}" ]
   }
   syslog_pri { }
   date {
     match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
   }
 }
}

Speichern und Beenden. Dieser Filter sucht nach Protokollen, die vom Typ "syslog" (von einem Logstash Forwarder) als "syslog" bezeichnet werden, und verwendet "grok", um eingehende Syslog-Protokolle zu analysieren, um sie strukturiert und abfragbar zu machen.

Zuletzt erstellen wir eine Konfigurationsdatei mit dem Namen "+ 30-lumberjack-output.conf +":

sudo vi /etc/logstash/conf.d/30-lumberjack-output.conf

Fügen Sie die folgende output Konfiguration ein:

30-syslog.conf

output {
 elasticsearch { host => localhost }
 stdout { codec => rubydebug }
}

Speichern und schließen. Diese Ausgabe konfiguriert Logstash grundsätzlich so, dass die Protokolle in Elasticsearch gespeichert werden.

Mit dieser Konfiguration akzeptiert Logstash auch Protokolle, die nicht mit dem Filter übereinstimmen, aber die Daten werden nicht strukturiert (z. ungefilterte Nginx- oder Apache-Protokolle werden als flache Nachrichten angezeigt, anstatt Nachrichten nach HTTP-Antwortcodes, Quell-IP-Adressen, bereitgestellten Dateien usw. zu kategorisieren.

Wenn Sie Filter für andere Anwendungen hinzufügen möchten, die die Logstash Forwarder-Eingabe verwenden, müssen Sie die Dateien so benennen, dass sie zwischen der Eingabe- und der Ausgabekonfiguration sortiert sind (d. H. zwischen 01- und 30-).

Starten Sie Logstash neu, damit die Konfigurationsänderungen wirksam werden:

sudo service logstash restart

Nun, da unser Logstash-Server bereit ist, können Sie Logstash Forwarder einrichten.

Logstash Forwarder einrichten (Client-Server hinzufügen)

Führen Sie diese Schritte für jeden Ubuntu- oder Debian-Server aus, den Sie an Ihren Logstash-Server senden möchten. Anweisungen zum Installieren von Logstash Forwarder auf Red Hat-basierten Linux-Distributionen (z. RHEL, CentOS usw.) finden Sie unter https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-4-on-centos-7#set-up -logstash-forwarder- (Add-Client-Server) [Abschnitt Build and Package Logstash Forwarder] der CentOS-Variante dieses Tutorials.

Kopieren Sie das SSL-Zertifikat und das Logstash Forwarder-Paket

Kopieren Sie auf * Logstash Server * das SSL-Zertifikat auf * Client Server * (ersetzen Sie die Adresse des Client-Servers und Ihr eigenes Login):

scp /etc/pki/tls/certs/logstash-forwarder.crt @:/tmp

Stellen Sie nach der Eingabe Ihrer Anmeldeinformationen sicher, dass die Zertifikatkopie erfolgreich war. Es wird für die Kommunikation zwischen den Client-Servern und dem Logstash-Server benötigt.

Installieren Sie das Logstash Forwarder-Paket

Erstellen Sie auf * Client Server * die Quellliste von Logstash Forwarder:

echo 'deb http://packages.elastic.co/logstashforwarder/debian stable main' | sudo tee /etc/apt/sources.list.d/logstashforwarder.list

Es wird auch derselbe GPG-Schlüssel wie für Elasticsearch verwendet, der mit dem folgenden Befehl installiert werden kann:

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Installieren Sie dann das Logstash Forwarder-Paket:

sudo apt-get update
sudo apt-get install logstash-forwarder

  • Hinweis: * Wenn Sie eine 32-Bit-Version von Ubuntu verwenden und die Fehlermeldung "Logstash Forwarder kann nicht gefunden werden" erhalten, müssen Sie Logstash Forwarder manuell installieren.

Kopieren Sie nun das SSL-Zertifikat des Logstash-Servers an den entsprechenden Speicherort (/ etc / pki / tls / certs):

sudo mkdir -p /etc/pki/tls/certs
sudo cp /tmp/logstash-forwarder.crt /etc/pki/tls/certs/

Konfigurieren Sie Logstash Forwarder

Erstellen und bearbeiten Sie auf * Client Server * die Konfigurationsdatei von Logstash Forwarder im JSON-Format:

sudo vi /etc/logstash-forwarder.conf

Fügen Sie im Abschnitt "+ network " die folgenden Zeilen in die Datei ein und ersetzen Sie " logstash_server_private_address +" in der privaten Adresse Ihres Logstash-Servers:

logstash-forwarder.conf Auszug 1 von 2

   "servers": [ ":5043" ],
   "ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt",
   "timeout": 15

Fügen Sie im Abschnitt "+ files +" (zwischen den eckigen Klammern) die folgenden Zeilen hinzu:

logstash-forwarder.conf Auszug 2 von 2

   {
     "paths": [
       "/var/log/syslog",
       "/var/log/auth.log"
      ],
     "fields": { "type": "syslog" }
   }

Speichern und Beenden. Dadurch wird Logstash Forwarder so konfiguriert, dass eine Verbindung zu Ihrem Logstash-Server an Port 5043 (dem Port, für den wir zuvor eine Eingabe festgelegt haben) hergestellt wird, und das zuvor erstellte SSL-Zertifikat wird verwendet. Der Abschnitt paths gibt an, welche Protokolldateien gesendet werden sollen (hier geben wir syslog und auth.log an), und der Abschnitt type gibt an, dass diese Protokolle vom Typ „syslog *“ sind (nach diesem Typ sucht unser Filter).

Beachten Sie, dass Sie hier weitere Dateien / Typen hinzufügen, um Logstash Forwarder für andere Protokolldateien zu konfigurieren und Logstash an Port 5043 auszuführen.

Starten Sie nun Logstash Forwarder neu, um die Änderungen zu übernehmen:

sudo service logstash-forwarder restart

Jetzt sendet Logstash Forwarder Syslog und auth.log an Ihren Logstash-Server! Wiederholen Sie diesen Abschnitt für alle anderen Server, für die Sie Protokolle erfassen möchten.

Stellen Sie eine Verbindung zu Kibana her

Wenn Sie die Einrichtung von Logstash Forwarder auf allen Servern abgeschlossen haben, für die Sie Protokolle erfassen möchten, schauen wir uns Kibana an, die zuvor installierte Weboberfläche.

Wechseln Sie in einem Webbrowser zum FQDN oder zur öffentlichen IP-Adresse Ihres Logstash-Servers. Nach der Eingabe der Anmeldeinformationen "kibanaadmin" sollte eine Seite angezeigt werden, auf der Sie aufgefordert werden, ein Indexmuster zu konfigurieren:

Bild: https://assets.digitalocean.com/articles/elk/1-select-index.gif [Index erstellen]

Gehen Sie vor und wählen Sie * @ timestamp * aus dem Dropdown-Menü und klicken Sie dann auf die Schaltfläche * Create *, um den ersten Index zu erstellen.

Klicken Sie nun in der oberen Navigationsleiste auf den Link * Entdecken *. Standardmäßig werden Ihnen alle Protokolldaten der letzten 15 Minuten angezeigt. Sie sollten ein Histogramm mit Protokollereignissen und folgenden Protokollmeldungen sehen:

image: https://assets.digitalocean.com/articles/elk/2-discover.png [Seite entdecken]

Im Moment ist nicht viel drin, da Sie nur Syslogs von Ihren Client-Servern sammeln. Hier können Sie Ihre Protokolle durchsuchen und durchsuchen. Sie können Ihr Dashboard auch anpassen.

Probieren Sie folgende Dinge aus:

  • Suchen Sie nach "root", um festzustellen, ob jemand versucht, sich als root bei Ihren Servern anzumelden

  • Suche nach einem bestimmten Hostnamen (suche nach + host:" "+)

  • Ändern Sie den Zeitrahmen, indem Sie einen Bereich im Histogramm oder im Menü oben auswählen

  • Klicken Sie auf Meldungen unter dem Histogramm, um zu sehen, wie die Daten gefiltert werden

Kibana hat viele andere Funktionen, wie z. B. Grafik und Filter.

Fazit

Nachdem Ihre Syslogs nun über Elasticsearch und Logstash zentralisiert sind und Sie sie mit Kibana visualisieren können, sollten Sie mit der Zentralisierung aller Ihrer wichtigen Logs gut beginnen. Denken Sie daran, dass Sie so ziemlich jede Art von Protokoll an Logstash senden können, aber die Daten werden noch nützlicher, wenn sie mit grok analysiert und strukturiert werden.

Um Ihren neuen ELK-Stack zu verbessern, sollten Sie Ihre anderen Protokolle mit Logstash sammeln und filtern und Kibana-Dashboards erstellen. Diese Themen werden im zweiten und dritten Lernprogramm dieser Reihe behandelt. Wenn Sie Probleme mit der Einrichtung haben, lesen Sie auch unser Tutorial How To Troubleshoot Common ELK Stack Issues .

Related