!Comming soon!
Introduzione
In questo tutorial, esamineremo l’installazione di ELasticsearch su CentOS 7, ovvero Elasticsearch 6.2.x, Logstash 6.2.x e Kibana 6.2.x.
Vi mostreremo anche come configurarlo per raccogliere e visualizzare i syslog dei vostri sistemi in una posizione centralizzata, usando Filebeat 6.2.x.
Logstash è uno strumento open source per la raccolta, l’analisi e l’archiviazione dei logs (registri) per uso futuro.
Kibana è un’interfaccia Web che può essere utilizzata per cercare e visualizzare i logs che Logstash ha indicizzato.
Entrambi questi strumenti sono basati su Elasticsearch, che viene utilizzato per la memorizzazione dei logs.
Il nostro obbiettivo
L’obiettivo del tutorial è impostare Logstash per raccogliere syslog di più server e configurare Kibana per visualizzare i registri raccolti.
La nostra configurazione ha quattro componenti principali:
Logstash: il componente server di Logstash che elabora i registri in entrata.
Elasticsearch: memorizza tutti i log.
Kibana: interfaccia Web per la ricerca e la visualizzazione dei registri, che sarà trasmessa tramite Nginx.
Filebeat: installato nei server client.
Requisiti per questo tutorial:
CentOS 7 64 bit con almeno 4GB di memoria Ram – ELK-primario
Windows 10 64 bit 4GB di Ram – Client_1
Windows 7 64 bit 4GB di Ram – Client_2
Centos 7 64 bit 1GB di Ram – Client_3
Windows Srv 2012 64 bit 4GB di Ram – Client_4
Passo 1 – Preparare il sistema operativo primario
In questo tutorial, disabiliteremo SELinux sul server CentOS 7. Andiamo a modificare il file di configurazione di SELinux con:
vi /etc/sysconfig/selinux
Cambia il valore SELINUX da:
SELINUX=enforcing
con :
SELINUX=disabled
salviamo e riavviamo il server con:
init 6
poi verifichiamo lo stato di SELINUX con:
[root@localhost ~]# sestatus
oppure con:
[root@localhost ~]#getenforce
Installiamo:
yum -y install java-openjdk
Importimao la key di elasticsearch
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
Editiamo il file del repository Elasticsearch 6:
vi /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
Oppure editiamo il file del repository Elasticsearch 7:
vi /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md