[.note] #Note: Dieses Tutorial ist für eine ältere Version des ELK-Stacks gedacht, die nicht mit der neuesten Version kompatibel ist. Die neueste Version dieses Tutorials ist unterHow To Install Elasticsearch, Logstash, and Kibana (ELK Stack) on Ubuntu 14.04.
# verfügbar.
Einführung
In diesem Lernprogramm werden wir uns mit der Installation von Logstash 1.4.2 und Kibana 3 befassen und erläutern, wie diese konfiguriert werden, um die Syslogs unserer Systeme an einem zentralen Ort zu erfassen und zu visualisieren. Logstash ist ein Open Source-Tool zum Sammeln, Parsen und Speichern von Protokollen für die zukünftige Verwendung. Kibana 3 ist eine Weboberfläche, mit der Sie die von Logstash indizierten Protokolle durchsuchen und anzeigen können. Beide Tools basieren auf Elasticsearch. Elasticsearch, Logstash und Kibana werden zusammen als ELK-Stapel bezeichnet.
Die zentrale Protokollierung kann sehr nützlich sein, wenn Sie versuchen, Probleme mit Ihren Servern oder Anwendungen zu identifizieren, da Sie alle Ihre Protokolle an einem einzigen Ort durchsuchen können. Dies ist auch deshalb nützlich, weil Sie Probleme identifizieren können, die sich über mehrere Server erstrecken, indem Sie deren Protokolle während eines bestimmten Zeitraums korrelieren.
Es ist möglich, Logstash zum Sammeln von Protokollen aller Art zu verwenden. Wir beschränken den Umfang dieses Lernprogramms jedoch auf das Sammeln von Syslogs.
Unser Ziel
Das Lernprogramm hat zum Ziel, Logstash so einzurichten, dass Syslogs mehrerer Server erfasst werden, und Kibana so einzurichten, dass die erfassten Protokolle angezeigt werden.
Unser Logstash / Kibana-Setup besteht aus vier Hauptkomponenten:
-
Logstash: Die Serverkomponente von Logstash, die eingehende Protokolle verarbeitet
-
Elasticsearch: Speichert alle Protokolle
-
Kibana: Webschnittstelle zum Suchen und Visualisieren von Protokollen
-
Logstash Forwarder: Logstash Forwarder wird auf Servern installiert, die ihre Protokolle an Logstash senden, und dient als Protokollweiterleitungsagent, der das Netzwerkprotokoll vonlumberjackfür die Kommunikation mit Logstash verwendet
Wir werden die ersten drei Komponenten auf einem einzelnen Server installieren, den wir alsLogstash Server bezeichnen. Der Logstash Forwarder wird auf allen Servern installiert, für die wir Protokolle sammeln möchten, die wir zusammen alsServersbezeichnen.
Voraussetzungen
Um dieses Tutorial abzuschließen, benötigen Sie root-Zugriff auf ein Ubuntu 14.04 VPS. Anweisungen zum Einrichten finden Sie hier (Schritte 3 und 4):Initial Server Setup with Ubuntu 14.04.
Die Menge an CPU, RAM und Speicher, die Ihr Logstash-Server benötigt, hängt von der Menge an Protokollen ab, die Sie sammeln möchten. In diesem Tutorial verwenden wir einen VPS mit den folgenden Spezifikationen für unseren Logstash-Server:
-
Betriebssystem: Ubuntu 14.04
-
RAM: 4 GB
-
CPU: 2
Zusätzlich zu Ihrem Logstash-Server benötigen Sie einige andere Server, von denen Sie Protokolle erfassen.
Beginnen wir mit der Einrichtung unseres Logstash-Servers!
Installieren Sie Java 7
Elasticsearch und Logstash benötigen Java 7, das werden wir jetzt installieren. Wir werden Oracle Java 7 installieren, da dies von Elasticsearch empfohlen wird. Es sollte jedoch gut mit OpenJDK funktionieren, wenn Sie sich für diesen Weg entscheiden.
Fügen Sie den Oracle Java PPA zu apt hinzu:
sudo add-apt-repository -y ppa:webupd8team/javaAktualisieren Sie Ihre apt-Paketdatenbank:
sudo apt-get updateInstallieren Sie die neueste stabile Version von Oracle Java 7 mit diesem Befehl (und akzeptieren Sie die Lizenzvereinbarung, die angezeigt wird):
sudo apt-get -y install oracle-java7-installerNachdem Java 7 installiert ist, installieren wir ElasticSearch.
Installieren Sie Elasticsearch
Note: Logstash 1.4.2 empfiehlt Elasticsearch 1.1.1.
Führen Sie den folgenden Befehl aus, um den öffentlichen GPG-Schlüssel von Elasticsearch in apt zu importieren:
wget -O - http://packages.elasticsearch.org/GPG-KEY-elasticsearch | sudo apt-key add -Erstellen Sie das Elasticsearch-Orderbuch:
echo 'deb http://packages.elasticsearch.org/elasticsearch/1.1/debian stable main' | sudo tee /etc/apt/sources.list.d/elasticsearch.listAktualisieren Sie Ihre apt-Paketdatenbank:
sudo apt-get updateInstallieren Sie Elasticsearch mit diesem Befehl:
sudo apt-get -y install elasticsearch=1.1.1Elasticsearch ist jetzt installiert. Bearbeiten wir die Konfiguration:
sudo vi /etc/elasticsearch/elasticsearch.ymlFügen Sie die folgende Zeile irgendwo in die Datei ein, um dynamische Skripte zu deaktivieren:
script.disable_dynamic: trueSie möchten auch den externen Zugriff auf Ihre Elasticsearch-Instanz (Port 9200) einschränken, damit Außenstehende Ihre Daten nicht lesen oder Ihren Elasticseach-Cluster über die HTTP-API herunterfahren können. Suchen Sie die Zeile, dienetwork.host angibt, und kommentieren Sie sie aus, damit sie folgendermaßen aussieht:
network.host: localhostSpeichern und beenden Sieelasticsearch.yml.
Starten Sie jetzt Elasticsearch:
sudo service elasticsearch restartFühren Sie dann den folgenden Befehl aus, um Elasticsearch beim Booten zu starten:
sudo update-rc.d elasticsearch defaults 95 10Nachdem Elasticsearch nun ausgeführt wird, können Sie Kibana installieren.
Installieren Sie Kibana
Note: Logstash 1.4.2 empfiehlt Kibana 3.0.1
Laden Sie Kibana mit dem folgenden Befehl in Ihr Ausgangsverzeichnis herunter:
cd ~; wget https://download.elasticsearch.org/kibana/kibana/kibana-3.0.1.tar.gzKibana-Archiv mit Teer extrahieren:
tar xvf kibana-3.0.1.tar.gzÖffnen Sie die Kibana-Konfigurationsdatei zum Bearbeiten:
sudo vi ~/kibana-3.0.1/config.jsSuchen Sie in der Kibana-Konfigurationsdatei die Zeile, in derelasticsearch angegeben sind, und ersetzen Sie die Portnummer (standardmäßig 9200) durch80:
elasticsearch: "http://"+window.location.hostname+":80",Dies ist notwendig, da wir planen, über Port 80 auf Kibana zuzugreifen (d. H. http://logstash\_server\_public\_ip/).
Wir werden Nginx für unsere Kibana-Installation verwenden. Verschieben Sie die Dateien also an einen geeigneten Ort. Erstellen Sie ein Verzeichnis mit dem folgenden Befehl:
sudo mkdir -p /var/www/kibana3Kopieren Sie nun die Kibana-Dateien in Ihr neu erstelltes Verzeichnis:
sudo cp -R ~/kibana-3.0.1/* /var/www/kibana3/Bevor wir die Kibana-Weboberfläche verwenden können, müssen wir Nginx installieren. Machen wir das jetzt.
Installieren Sie Nginx
Benutze apt um Nginx zu installieren:
sudo apt-get install nginxAufgrund der Art und Weise, wie Kibana den Benutzer mit Elasticsearch verbindet (der Benutzer muss in der Lage sein, direkt auf Elasticsearch zuzugreifen), müssen wir Nginx so konfigurieren, dass die Anforderungen von Port 80 an Port 9200 (den Port, den Elasticsearch standardmäßig überwacht) weitergeleitet werden. Glücklicherweise stellt Kibana eine Nginx-Beispielkonfiguration zur Verfügung, mit der das meiste davon eingerichtet wird.
Laden Sie die Nginx-Beispielkonfiguration aus dem Github-Repository von Kibana in Ihr Ausgangsverzeichnis herunter:
cd ~; wget https://gist.githubusercontent.com/thisismitch/2205786838a6a5d61f55/raw/f91e06198a7c455925f6e3099e3ea7c186d0b263/nginx.confÖffnen Sie die Beispielkonfigurationsdatei zum Bearbeiten:
vi nginx.confSuchen und ändern Sie die Werte vonserver_name in Ihren vollqualifizierten Domänennamen (oder localhost, wenn Sie keinen Domänennamen verwenden) undroot in den Ort, an dem wir Kibana installiert haben. Sie sehen also wie folgt aus:
server_name FQDN;
root /var/www/kibana3;Speichern und schließen. Kopieren Sie es nun mit dem folgenden Befehl über Ihren Nginx-Standardserverblock:
sudo cp nginx.conf /etc/nginx/sites-available/defaultJetzt installieren wirapache2-utils, damit wirhtpasswd verwenden können, um ein Paar aus Benutzername und Passwort zu generieren:
sudo apt-get install apache2-utilsGenerieren Sie dann ein Login, das in Kibana fürsave and share dashboards verwendet wird (ersetzen Sie Ihren eigenen Benutzernamen):
sudo htpasswd -c /etc/nginx/conf.d/kibana.myhost.org.htpasswd userGeben Sie dann ein Passwort ein und überprüfen Sie es. Auf die soeben erstellte htpasswd-Datei wird in der Nginx-Konfiguration verwiesen, die Sie kürzlich konfiguriert haben.
Starten Sie nun Nginx neu, damit die Änderungen wirksam werden:
sudo service nginx restartAuf Kibana kann jetzt über Ihren FQDN oder die öffentliche IP-Adresse Ihres Logstash-Servers zugegriffen werden, d. H. http://logstash\_server\_public\_ip/. Wenn Sie in einem Webbrowser dorthin gehen, sollte eine Kibana-Begrüßungsseite angezeigt werden, auf der Sie Dashboards anzeigen können. Es können jedoch keine Protokolle angezeigt werden, da Logstash noch nicht eingerichtet wurde. Machen wir das jetzt.
Installieren Sie Logstash
Das Logstash-Paket ist im selben Repository wie Elasticsearch verfügbar. Wir haben diesen öffentlichen Schlüssel bereits installiert. Erstellen wir also die Logstash-Quellliste:
echo 'deb http://packages.elasticsearch.org/logstash/1.4/debian stable main' | sudo tee /etc/apt/sources.list.d/logstash.listAktualisieren Sie Ihre apt-Paketdatenbank:
sudo apt-get updateInstallieren Sie Logstash mit diesem Befehl:
sudo apt-get install logstash=1.4.2-1-2c0f5a1Logstash ist installiert, aber noch nicht konfiguriert.
Generieren Sie SSL-Zertifikate
Da wir Logstash Forwarder verwenden, um Protokolle von unseren Servern an unseren Logstash-Server zu senden, müssen wir ein SSL-Zertifikat und ein Schlüsselpaar erstellen. Das Zertifikat wird vom Logstash Forwarder verwendet, um die Identität des Logstash-Servers zu überprüfen. Erstellen Sie mit den folgenden Befehlen die Verzeichnisse, in denen das Zertifikat und der private Schlüssel gespeichert werden:
sudo mkdir -p /etc/pki/tls/certs
sudo mkdir /etc/pki/tls/privateJetzt haben Sie zwei Möglichkeiten, Ihre SSL-Zertifikate zu generieren. Wenn Sie über ein DNS-Setup verfügen, mit dem Ihre Client-Server die IP-Adresse des Logstash-Servers auflösen können, verwenden SieOption 2. Andernfalls können Sie mitOption 1 IP-Adressen verwenden.
Option 1: IP-Adresse
Wenn Sie kein DNS-Setup haben, mit dem Ihre Server, von denen Sie Protokolle sammeln, die IP-Adresse Ihres Logstash-Servers auflösen können, müssen Sie die private IP-Adresse Ihres Logstash-Servers zusubjectAltNamehinzufügen. s (SAN) -Feld des SSL-Zertifikats, das wir generieren möchten. Öffnen Sie dazu die OpenSSL-Konfigurationsdatei:
sudo vi /etc/ssl/openssl.cnfSuchen Sie den Abschnitt[ v3_ca ] in der Datei und fügen Sie diese Zeile darunter hinzu (ersetzen Sie die private IP-Adresse des Logstash-Servers):
subjectAltName = IP: logstash_server_private_ipSpeichern und schließen.
Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /) mit den folgenden Befehlen:
cd /etc/pki/tls
sudo openssl req -config /etc/ssl/openssl.cnf -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crtDielogstash-forwarder.crt-Datei wird auf alle Server kopiert, die Protokolle an Logstash senden, aber das werden wir etwas später tun. Vervollständigen wir unsere Logstash-Konfiguration. Wenn Sie diese Option gewählt haben, überspringen Sie Option 2 und fahren Sie mitConfigure Logstash fort.
Option 2: FQDN (DNS)
Wenn Sie über ein DNS-Setup für Ihr privates Netzwerk verfügen, sollten Sie einen A-Eintrag erstellen, der die private IP-Adresse des Logstash-Servers enthält. Dieser Domänenname wird im nächsten Befehl zum Generieren des SSL-Zertifikats verwendet. Alternativ können Sie einen Datensatz verwenden, der auf die öffentliche IP-Adresse des Servers verweist. Stellen Sie nur sicher, dass Ihre Server (die Server, von denen Sie Protokolle sammeln) den Domänennamen in Ihren Logstash-Server auflösen können.
Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /…) mit dem folgenden Befehl (Ersatz im FQDN des Logstash-Servers):
cd /etc/pki/tls; sudo openssl req -subj '/CN=logstash_server_fqdn/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crtDielogstash-forwarder.crt-Datei wird auf alle Server kopiert, die Protokolle an Logstash senden, aber das werden wir etwas später tun. Vervollständigen wir unsere Logstash-Konfiguration.
Logstash konfigurieren
Logstash-Konfigurationsdateien haben das JSON-Format und befinden sich in /etc/logstash/conf.d. Die Konfiguration besteht aus drei Abschnitten: Eingaben, Filter und Ausgaben.
Erstellen wir eine Konfigurationsdatei mit dem Namen01-lumberjack-input.conf und richten Sie unseren "Holzfäller" -Eingang ein (das Protokoll, das Logstash Forwarder verwendet):
sudo vi /etc/logstash/conf.d/01-lumberjack-input.confFügen Sie die folgende Konfiguration voninputein:
input {
lumberjack {
port => 5000
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}Speichern und Beenden. Dies gibt einelumberjack-Eingabe an, die den TCP-Port5000 überwacht, und verwendet das zuvor erstellte SSL-Zertifikat und den privaten Schlüssel.
Erstellen wir nun eine Konfigurationsdatei mit dem Namen10-syslog.conf, in der wir einen Filter für Syslog-Nachrichten hinzufügen:
sudo vi /etc/logstash/conf.d/10-syslog.confFügen Sie die folgende Konfiguration von syslogfilterein:
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}Speichern und Beenden. Dieser Filter sucht nach Protokollen, die vom Typ "syslog" (von einem Logstash Forwarder) als "syslog" bezeichnet werden, und verwendet "grok", um eingehende Syslog-Protokolle zu analysieren, um sie strukturiert und abfragbar zu machen.
Zuletzt erstellen wir eine Konfigurationsdatei mit dem Namen30-lumberjack-output.conf:
sudo vi /etc/logstash/conf.d/30-lumberjack-output.confFügen Sie die folgende Konfiguration vonoutputein:
output {
elasticsearch { host => localhost }
stdout { codec => rubydebug }
}Speichern und schließen. Diese Ausgabe konfiguriert Logstash grundsätzlich so, dass die Protokolle in Elasticsearch gespeichert werden.
Mit dieser Konfiguration akzeptiert Logstash auch Protokolle, die nicht mit dem Filter übereinstimmen, aber die Daten werden nicht strukturiert (z. ungefilterte Nginx- oder Apache-Protokolle werden als flache Nachrichten angezeigt, anstatt Nachrichten nach HTTP-Antwortcodes, Quell-IP-Adressen, bereitgestellten Dateien usw. zu kategorisieren.
Wenn Sie Filter für andere Anwendungen hinzufügen möchten, die die Logstash Forwarder-Eingabe verwenden, müssen Sie die Dateien so benennen, dass sie zwischen der Eingabe- und der Ausgabekonfiguration sortiert sind (d. H. zwischen 01 und 30).
Starten Sie Logstash neu, damit die Konfigurationsänderungen wirksam werden:
sudo service logstash restartNun, da unser Logstash-Server bereit ist, können Sie Logstash Forwarder einrichten.
Richten Sie Logstash Forwarder ein
Note: Führen Sie diese Schritte für jeden Server aus, an den Sie Protokolle an Ihren Logstash-Server senden möchten. Anweisungen zum Installieren von Logstash Forwarder auf Red Hat-basierten Linux-Distributionen (z. RHEL, CentOS usw.) beziehen sich aufBuild and Package Logstash Forwarder section der CentOS-Variante dieses Lernprogramms.
Kopieren Sie das SSL-Zertifikat und das Logstash Forwarder-Paket
Kopieren Sie aufLogstash Server das SSL-Zertifikat nachServer (ersetzen Sie es durch Ihr eigenes Login):
scp /etc/pki/tls/certs/logstash-forwarder.crt user@server_private_IP:/tmpInstallieren Sie das Logstash Forwarder-Paket
Erstellen Sie unterServer die Quellliste der Logstash Forwarder:
echo 'deb http://packages.elasticsearch.org/logstashforwarder/debian stable main' | sudo tee /etc/apt/sources.list.d/logstashforwarder.listEs wird auch derselbe GPG-Schlüssel wie für Elasticsearch verwendet, der mit dem folgenden Befehl installiert werden kann:
wget -O - http://packages.elasticsearch.org/GPG-KEY-elasticsearch | sudo apt-key add -Installieren Sie dann das Logstash Forwarder-Paket:
sudo apt-get update
sudo apt-get install logstash-forwarderNote: Wenn Sie eine 32-Bit-Version von Ubuntu verwenden und den Fehler "Paket Logstash-Forwarder kann nicht gefunden werden" erhalten, müssen Sie Logstash Forwarder manuell installieren:
wget https://assets.digitalocean.com/articles/logstash/logstash-forwarder_0.3.1_i386.deb
sudo dpkg -i logstash-forwarder_0.3.1_i386.debAls Nächstes möchten Sie das Init-Skript von Logstash Forwarder installieren, damit es beim Booten gestartet wird:
cd /etc/init.d/; sudo wget https://raw.githubusercontent.com/elasticsearch/logstash-forwarder/a73e1cb7e43c6de97050912b5bb35910c0f8d0da/logstash-forwarder.init -O logstash-forwarder
sudo chmod +x logstash-forwarder
sudo update-rc.d logstash-forwarder defaultsKopieren Sie nun das SSL-Zertifikat an den entsprechenden Speicherort (/ etc / pki / tls / certs):
sudo mkdir -p /etc/pki/tls/certs
sudo cp /tmp/logstash-forwarder.crt /etc/pki/tls/certs/Konfigurieren Sie Logstash Forwarder
Erstellen und bearbeiten Sie unterServer die Logstash Forwarder-Konfigurationsdatei im JSON-Format:
sudo vi /etc/logstash-forwarderFügen Sie nun die folgenden Zeilen in die Datei ein und ersetzen Sielogstash_server_private_IPdurch die private IP-Adresse Ihres Logstash-Servers:
{
"network": {
"servers": [ "logstash_server_private_IP:5000" ],
"timeout": 15,
"ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt"
},
"files": [
{
"paths": [
"/var/log/syslog",
"/var/log/auth.log"
],
"fields": { "type": "syslog" }
}
]
}Speichern und Beenden. Dadurch wird Logstash Forwarder so konfiguriert, dass eine Verbindung zu Ihrem Logstash-Server an Port 5000 (dem Port, für den wir zuvor eine Eingabe festgelegt haben) hergestellt wird, und das zuvor erstellte SSL-Zertifikat wird verwendet. Der Abschnittpaths gibt an, welche Protokolldateien gesendet werden sollen (hier geben wir syslog und auth.log an), und der Abschnitttype gibt an, dass diese Protokolle vom Typ "syslog *" sind (dies ist der Typ, den unser Filter verwendet) schaut nach).
Beachten Sie, dass Sie hier weitere Dateien / Typen hinzufügen, um Logstash Forwarder für andere Protokolldateien zu konfigurieren und Logstash auf Port 5000 auszuführen.
Starten Sie nun Logstash Forwarder neu, um die Änderungen zu übernehmen:
sudo service logstash-forwarder restartJetzt sendet Logstash Forwarder Syslog und auth.log an Ihren Logstash-Server! Wiederholen Sie diesen Vorgang für alle anderen Server, für die Sie Protokolle erfassen möchten.
Stellen Sie eine Verbindung zu Kibana her
Wenn Sie die Einrichtung von Logstash Forwarder auf allen Servern abgeschlossen haben, für die Sie Protokolle erfassen möchten, schauen wir uns Kibana an, die zuvor installierte Weboberfläche.
Wechseln Sie in einem Webbrowser zum FQDN oder zur öffentlichen IP-Adresse Ihres Logstash-Servers. Sie sollten eine Kibana-Willkommensseite sehen.
Klicken Sie aufLogstash Dashboard, um zum vorgefertigten Dashboard zu gelangen. Es sollte ein Histogramm mit Protokollereignissen und Protokollmeldungen angezeigt werden (wenn keine Ereignisse oder Meldungen angezeigt werden, ist eine der vier Logstash-Komponenten nicht ordnungsgemäß konfiguriert).
Hier können Sie Ihre Protokolle durchsuchen und durchsuchen. Sie können Ihr Dashboard auch anpassen. Dies ist ein Beispiel dafür, wie Ihre Kibana-Instanz aussehen könnte:
Probieren Sie folgende Dinge aus:
-
Suchen Sie nach "root", um festzustellen, ob jemand versucht, sich als root bei Ihren Servern anzumelden
-
Suchen Sie nach einem bestimmten Hostnamen
-
Ändern Sie den Zeitrahmen, indem Sie einen Bereich im Histogramm oder im Menü oben auswählen
-
Klicken Sie auf Meldungen unter dem Histogramm, um zu sehen, wie die Daten gefiltert werden
Kibana hat viele andere Funktionen, wie z. B. Grafik und Filter.
Fazit
Jetzt, da Ihre Syslogs über Logstash zentralisiert sind und Sie sie mit Kibana visualisieren können, sollten Sie mit der Zentralisierung aller Ihrer wichtigen Logs gut beginnen. Denken Sie daran, dass Sie so ziemlich jede Art von Protokoll an Logstash senden können, aber die Daten werden noch nützlicher, wenn sie mit grok analysiert und strukturiert werden.
Beachten Sie, dass Ihr Kibana-Dashboard für jeden zugänglich ist, der auf Ihren Server zugreifen kann. Sie sollten es also mit etwas wie htaccess sichern.