Cómo instalar Elasticsearch, Logstash y Kibana (ELK Stack) en CentOS 8

Introducción

La pila ELK es un grupo de paquetes de software de código abierto que se utilizan para administrar registros. Por lo general, se usa para los registros del servidor, pero también es flexible (elástico) para cualquier proyecto que genere grandes conjuntos de datos.

Esta guía le muestra cómo instalar la pila ELK (Elasticsearch, Logstash y Kibana) en el servidor CentOS 8.

Requisitos previos

• Un sistema con CentOS 8 instalado
• Acceso a una ventana de terminal/línea de comando (Buscar > Terminal )
• Una cuenta de usuario con sudo o raíz privilegios
• Java versión 8 u 11 (requerido para Logstash)

¿Qué representa la pila ELK?

ELK significa Elasticsearch, Logstash y Kibana. Son los tres componentes de la pila ELK.

Búsqueda elástica (datos de índices):este es el núcleo del software Elastic. Elasticsearch es un motor de búsqueda y análisis que se utiliza para ordenar datos.

Almacenamiento de registros (recopila datos):este paquete se conecta a varias fuentes de datos, los recopila y los dirige al almacenamiento. Como sugiere su nombre, recopila y "esconde" sus archivos de registro.

Kibana (visualiza datos):Kibana es una herramienta gráfica para visualizar datos. Úselo para generar tablas y gráficos para dar sentido a los datos sin procesar en sus bases de datos.

Paso 1:Instalar OpenJDK 8 Java

Si ya tiene instalado Java 8 (u 11) en su sistema, puede omitir este paso.

De lo contrario, abra una ventana de terminal e ingrese lo siguiente:

sudo yum install java-1.8.0-openjdk

El sistema verificará los repositorios y luego le pedirá que confirme la instalación. Escribe Y luego Entrar . Permita que el proceso se complete.

Paso 2:agregar repositorios de Elasticsearch

La pila ELK se puede descargar e instalar utilizando el administrador de paquetes YUM. Sin embargo, el software no está incluido en los repositorios predeterminados.

Importar la clave PGP de Elasticsearch

Abra una ventana de terminal, luego ingrese el siguiente código:

sudo rpm ––import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Esto agregará la clave de firma pública de Elasticsearch a su sistema. Esta clave validará el software Elasticsearch cuando lo descargues.

Agregue el repositorio RPM de Elasticsearch

Debe crear el archivo de configuración del repositorio en /etc/yum.repos.d/ . Comience moviéndose al directorio:

cd /etc/yum.repos.d/

A continuación, cree el archivo de configuración en un editor de texto de su elección (estamos usando Vim):

sudo vim elasticsearch.repo

Escriba o copie las siguientes líneas:

[elasticstack]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Si usa Vim, presione Esc luego escribe :wq y pulsa Intro .

Finalmente, actualice las listas de paquetes de sus repositorios:

dnf update

Paso 3:Instalar y configurar Elasticsearch

El orden de instalación es importante. Comience instalando Elasticsearch.

En una ventana de terminal, escriba el comando:

sudo dnf install elasticsearch

Esto escaneará todos sus repositorios en busca del paquete Elasticsearch.

El sistema calculará el tamaño de la descarga y luego le pedirá que confirme la instalación. Escribe Y luego Entrar .

Configurar Elasticsearch

Una vez que finalice la instalación, abra y edite el /etc/elasticsearch/elasticsearch.yml archivo de configuración utilizando un editor de texto:

sudo vim /etc/elasticsearch/elasticsearch.yml

Desplácese hacia abajo hasta la sección denominada NETWORK . Debajo de esa entrada, debería ver las siguientes líneas:

# Set the bind address to a specific IP (IPv4 or IPv6):
#
#network.host: 192.168.0.1
#
# Set a custom port for HTTP:
#
#http.port: 9200

Ajuste el network.host a la dirección IP de su servidor o configúrelo en localhost si configura un solo nodo localmente. Ajuste el http.port también.

# Set the bind address to a specific IP (IPv4 or IPv6):
#
network.host: localhost
#
# Set a custom port for HTTP:
#
http.port: 9200

Para obtener más detalles, consulte la imagen a continuación:

Si usa Vim, presione ESC , escriba :wq y pulsa Enter para guardar los cambios y salir.

Iniciar Elasticsearch

Reinicie el sistema para que los cambios surtan efecto:

sudo reboot

Una vez que el sistema se reinicie, inicie elasticsearch servicio:

sudo systemctl start elasticsearch

No habrá salida si el comando se ejecutó correctamente.

Ahora, configure el servicio para que se inicie en el arranque:

sudo systemctl enable elasticsearch

Prueba Elasticsearch

Pruebe el software para asegurarse de que responde a una conexión:

curl -X GET "localhost:9200"

El sistema debe mostrar una lista completa de información. En la segunda línea, debería ver que cluster_name está configurado para elasticsearch . Esto confirma que Elasticsearch se está ejecutando y escuchando en Puerto 9200 .

Paso 4:Instalar y configurar Kibana

Kibana es una interfaz gráfica para analizar e interpretar archivos de registro.

Kibana usa la misma clave GPG que Elasticsearch, por lo que no necesita volver a importar la clave. Además, el paquete Kibana está en el mismo repositorio de pila ELK que Elasticsearch. Por lo tanto, no es necesario crear otro archivo de configuración del repositorio.

Para instalar Kibanra, abra una ventana de terminal, ingrese lo siguiente:

sudo dnf install kibana

El sistema escaneará los repositorios y luego solicitará confirmación. Escriba y luego Entrar y permita que el proceso termine.

Configurar Kibana

Al igual que Elasticsearch, deberá editar el .yml archivo de configuración para Kibana.

Abra el kibana.yml archivo para editar:

sudo vim /etc/kibana/kibana.yml

Busque las siguientes líneas y elimine el # firmar desde el principio de la línea:

#server.port: 5601

#server.host: "localhost"

#elasticsearch.hosts: ["http://localhost:9200"]

Las líneas ahora deberían tener el siguiente aspecto:

server.port: 5601

server.host: "localhost"

elasticsearch.hosts: ["http://localhost:9200"]

Para obtener más detalles, consulte la imagen a continuación.

Para asignar un nombre personalizado, edite el server.name línea.

Realice cualquier otra edición que desee. Guarde el archivo y salga (presione Esc , escriba :wq y presiona Entrar ).

Iniciar y habilitar Kibana

A continuación, inicie y habilite el servicio Kibana:

sudo systemctl start kibana

sudo systemctl enable kibana

Permitir tráfico en el puerto 5601

Si firewalld está habilitado en su sistema CentOS, debe permitir el tráfico en el puerto 5601 . En una ventana de terminal, ejecute el siguiente comando:

firewall-cmd --add-port=5601/tcp --permanent

A continuación, vuelva a cargar el servicio firewalld:

firewall-cmd --reload

La acción anterior es un requisito previo si tiene la intención de acceder al panel de control de Kibana desde máquinas externas.

Prueba Kibana

Abra un navegador web e ingrese la siguiente dirección:

http://localhost:5601

El sistema debería comenzar a cargar el panel de control de Kibana.

Paso 5:Instalar y configurar Logstash

Logstash es una herramienta que recopila datos de diferentes fuentes. Kibana analiza los datos que recopila y los almacena en Elasticsearch.

Al igual que otras partes de la pila ELK, Logstash usa la misma clave y repositorio de Elastic GPG.

Para instalar logstash en CentOS 8, en una ventana de terminal ingrese el comando:

sudo dnf install logstash

Escribe Y y pulsa Intro para confirmar la instalación.

Configurar Logstash

Almacene todos los archivos de configuración personalizados en /etc/logstash/conf.d/ directorio. La configuración depende en gran medida de su caso de uso y de los complementos utilizados.

Para ver ejemplos de configuraciones personalizadas, consulte Ejemplos de configuración de Logstash.

Iniciar Logstash

Inicie y habilite el servicio Logstash:

sudo systemctl start logstash

sudo systemctl enable logstash

Ahora debería tener una instalación funcional de Elasticsearch, junto con el panel de control de Kibana y la canalización de recopilación de datos de Logstash.

Paso 6:Instalar Filebeat

Para simplificar el registro, instale un módulo ligero llamado Filebeat . Filebeat es un cargador de registros que centraliza la transmisión de datos.

Para instalar Filebeat, abra una ventana de terminal y ejecute el comando:

sudo yum install filebeat

A continuación, agregue el sistema módulo, que examinará los registros del sistema local:

sudo filebeat modules enable system

A continuación, ejecute la instalación de Filebeat:

sudo filebeat setup

El sistema hará algo de trabajo, escaneará su sistema y se conectará a su panel de Kibana.

Inicie el servicio Filebeat:

sudo service filebeat start

Inicie su panel de Kibana en un navegador visitando la siguiente dirección:

http://localhost:5601

En la columna de la izquierda, haz clic en Registros. pestaña. Busque y haga clic en Transmitir en vivo Enlace. Ahora debería ver un flujo de datos en vivo para sus archivos de registro locales.