Introducción
¿Qué es la pila ELK?
“ELK” es el acrónimo de tres proyectos de código abierto:Elasticsearch, Logstash y Kibana. Elasticsearch es un motor de búsqueda y análisis. Logstash es una canalización de procesamiento de datos del lado del servidor que ingiere datos de múltiples fuentes simultáneamente, los transforma y luego los envía a un "alijo" como Elasticsearch. Kibana permite a los usuarios visualizar datos con tablas y gráficos en Elasticsearch.
¿Por qué usar Bitnami ELK Stack?
Bitnami ELK Stack está siempre actualizado y seguro. La instalación y configuración de la pila está completamente automatizada, lo que facilita que todo el mundo, incluso aquellos que no son muy técnicos, la pongan en marcha.
¿Qué es Filebeat?
Filebeat es un cargador ligero para reenviar y centralizar datos de registro. Instalado como agente en sus servidores, Filebeat supervisa los archivos de registro o las ubicaciones que especifique, recopila eventos de registro y los reenvía a Elasticsearch o Logstash para su indexación.
A continuación se muestran los pasos para iniciar un servidor Bitnami ELK desde E2E Myaccount Portal y configurar el agente filebeat en su servidor para obtener los registros.
Requisito previo
- Inicie sesión en el portal E2E Myaccount. Si aún no se ha registrado en Myaccount, consulte este artículo para Registrarse
- Acceso Sudo a su servidor de Agente para configurar el agente de Filebeat
Pasos para crear el servidor Bitnami ELK desde E2E Myaccount Portal
Paso 1:inicie sesión en su portal E2E Myaccount con el correo electrónico y la contraseña requeridos
Paso 2:seleccione los nodos del panel y continúe con la creación de nodos
Paso 3:en la sección Crear nodo de cómputo, haga clic en la sección "Implementación con 1 clic" y seleccione la versión ELK requerida, los planes apropiados y haga clic en Crear VM
Paso 4:Ingrese los detalles del nodo, seleccione las opciones de Autenticación y Copia de seguridad y haga clic en Crear mi nodo para iniciar un servidor Bitnami ELK de E2E
Eso es todo, ahora ha lanzado el servidor Bitnami ELK, a continuación se encuentran los pasos para iniciar sesión en su portal Kibana
Pasos para iniciar sesión en el portal ELK Bitnami Kibana
Paso 5:Primero necesitamos el nombre de usuario y la contraseña para el portal de Kibana. Las credenciales raíz de la instancia de ELK se enviarán a su dirección de correo electrónico registrada tan pronto como se inicie la instancia de ELK.
Las credenciales de ELK se almacenan en un archivo independiente. Para obtener las credenciales en cualquier momento, conéctese al nodo a través de SSH usando las credenciales de usuario raíz. Ejecute el siguiente comando para obtener las credenciales de su aplicación
cat /home/bitnami/bitnami_credentials
obtendrá una salida como la siguiente
root@e2e-62-70:~# cat /home/bitnami/bitnami_credentials Welcome to the Bitnami ELK Stack The default username and password is 'user' and 'D2mYMa3Z9gMY'. You can also use this password to access the databases and any other component the stack includes. Please refer to https://docs.bitnami.com/ for more details.
Paso 6:para iniciar sesión en su portal de Kibana, use la URL http://your_server_IP y haga clic en Iniciar sesión en la consola de administración. Ingrese el nombre de usuario y la contraseña cuando se le solicite.
Pasos para configurar Filebeat Agent
Paso 7:una vez que haya iniciado el servidor y acceda al portal de Kibana, ahora es el momento de obtener los registros del servidor del agente a través de Filebeat
Inicie sesión en su servidor de Agente desde donde necesita obtener los registros, asegúrese de tener acceso sudo al servidor
Paso 8:Para descargar e instalar Filebeat en un servidor Linux, use el siguiente comando según sus distribuciones, ya que estamos usando bitnami ELK, usaremos la versión oss de filebeat
deb:
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-oss-7.4.1-amd64.deb
sudo dpkg -i filebeat-oss-7.4.1-amd64.deb
RPM:
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-oss-7.4.1-x86_64.rpm sudo rpm -vi filebeat-oss-7.4.1-x86_64.rpm
Nota:Mientras redactaba este artículo, filebeat-7.4.1 era la última versión, puede obtener la última versión actual de su sitio oficial
Paso 9:una vez que haya instalado Filebeat con el comando mencionado anteriormente, debe cambiar la configuración en Filebeat.yml para obtener los registros en su servidor ELK, use el siguiente comando para editar la configuración de Filebeat.yml
vim /etc/filebeat/filebeat.yml
Para ingresar al modo de inserción, presione i y los siguientes cambios deben realizarse en este archivo
1) Cambie la configuración de entrada de filebeat a verdadero como "habilitado:verdadero" como se muestra a continuación
2) Cambie la ruta de los archivos de registro que deben recuperarse. Actualmente, hemos configurado para recuperar /var/log/messages. Puede configurar la ruta de registro según sus requisitos.
3) Cambie la configuración de hosts de salida.elasticsearch con la IP de su servidor ELK.
Guarde el archivo presionando "ESC" y escriba :wq! Guardar y salir
Paso 10:también deberá asegurarse de que su servidor de agente pueda conectarse al servidor ELK para el puerto 9200 de Elasticsearch
Inicie sesión en su servidor ELK y use el siguiente comando para abrir el puerto 9200 para su servidor de agente. Asegúrese de cambiar la IP del servidor de agente suyo
sudo ufw allow from agent_server_ip to any port 9200
Dado que estamos usando Debian 9 con el firewall ufw, estamos usando el comando anterior. Si está usando Iptable, consulte este artículo para abrir el puerto.
Verifique, si puede hacer telnet desde su servidor de Agente al servidor ELK iniciando sesión en su servidor de Agente y haciendo telnet con el siguiente comando, obtendrá el siguiente resultado
# telnet elk_sever_ip 9200 Trying xx.xx.xx.xx… Connected to xx.xx.xx.xx Escape character is '^]'.
Paso 11:Una vez realizada la configuración anterior y la verificación de Telnet, reinicie el servicio Filebeat una vez con el siguiente comando
service filebeat restart
Creando patrón de índice de Kibana en el portal de Kibana para ver los datos
Paso 12:para recuperar datos de los índices de Elasticsearch para cosas como visualizaciones en el portal de Kibana, necesitamos crear un patrón de índice de Kibana.
Inicie sesión en su portal de Kibana -> vaya al panel de administración -> y seleccione el patrón de índice
Si su configuración y conectividad del agente de filebeat y el servidor ELK funcionan bien, verá un patrón de filebeat que acabamos de configurar como se muestra a continuación.
Introduzca el nombre del patrón de índice como filebeat-* y haga clic en Siguiente paso
Seleccione @timestamp en el nombre del campo Filtro de tiempo y haga clic en Crear patrón de índice. Ahora ha creado el patrón de índice con éxito y puede ver los datos en el portal
Paso 13:Ver los datos en el Panel de Descubrimiento del Portal Kibana
Para ver los registros enviados desde su servidor de agente, seleccione Descubrir en el panel izquierdo del portal de Kibana, donde puede ver los datos de Elasticsearch obtenidos en el portal de Kibana. Una vez que sus registros se hayan obtenido correctamente, puede buscar y examinar sus registros. También puede personalizar su tablero.
Conclusión
Ahora puede obtener sus registros en el servidor ELK todo el tiempo y puede visualizarlos con Kibana. Puede enviar tanto como los registros para obtenerlos en ELK y puede filtrar aún más sus registros en el panel de control de Kibana y tener visualizaciones estructuradas.
Para consultar las preguntas frecuentes sobre la implementación de ELK, consulte este artículo