GNU/Linux >> Tutoriales Linux >  >> Cent OS

Cómo instalar Elasticsearch, Logstash y Kibana 4 en CentOS 7 / RHEL 7

Este tutorial es para una versión anterior de ELK Stack, algunos enlaces están rotos y es posible que no funcionen como se esperaba. Una nueva versión está disponible aquí:Actualizado:Instale ELK Stack en CentOS 7 / RHEL 7.

En esta publicación, veremos cómo instalar Elasticsearch, Logstash y Kibana 4 en CentOS 7 / RHEL 7. Esta pila ELK nos ayuda a almacenar y administrar los registros en una ubicación centralizada. La pila ELK consta de cuatro componentes vitales que forman una pila maravillosa para analizar los problemas al correlacionar los eventos en un momento determinado.

La centralización de los registros hará que la vida del administrador del sistema sea más fácil para analizar los problemas y las cuestiones sin ir a cada máquina en busca de registros, y visualizar esos registros para la administración de los requisitos comerciales.

Componentes:

Logstash:realiza el procesamiento (recopila, analiza y envía a Elasticsearch) de los registros entrantes.

Elasticsearch:almacena los registros provenientes de Logstash.

Kibana 4:interfaz web para visualizar los registros (tiene una interfaz propia).

Los tres anteriores están instalados en el servidor.

Logstash-forwarder:instalado en las máquinas cliente, envía el registro a Logstash a través del protocolo Lumberjack.

Versiones de la aplicación:

Este artículo utiliza la siguiente versión de software para la pila ELK.

Elastisearch 1.5.0

logstash-1.4.2

Kibana 4

logstash-forwarder-0.4.0

Requisitos previos:

1. Necesitaríamos instalar openJDK u Oracle JDK. Se recomienda instalar Oracle JDK. Verifique la versión de Java usando el siguiente comando.

# java -version

java version "1.8.0_11"
Java(TM) SE Runtime Environment (build 1.8.0_11-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.11-b03, mixed mode)

2. Configure el repositorio EPEL en CentOS 7 / RHEL 7.

3. Instale wget.

# yum -y install wget

Instalar Elasticsearch:

Elasticsearch es un servidor de búsqueda de código abierto que ofrece análisis y búsqueda distribuidos en tiempo real con una interfaz web RESTful. Elasticsearch almacena todos los registros enviados por el servidor logstash y muestra los mensajes cuando kibana4 solicita una solicitud de usuario de llenado completo a través de la interfaz web. Este tema cubre los ajustes de configuración que se requieren para ELK, también puede consultar Instalar Elasticsearch en CentOS 7/Ubuntu 14.10/Linux Mint 17.1 para obtener instrucciones detalladas.

Instalemos Elasticsearch, se puede descargar desde el sitio web oficial. Puede usar el siguiente comando para descargar a través de la terminal e instalarlo.

# wget https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.5.0.noarch.rpm

# rpm -Uvh elasticsearch-1.5.0.noarch.rpm

Configure Elasticsearch para que se inicie durante el inicio del sistema.

# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service

Espere al menos un minuto para permitir que Elasticsearch se reinicie por completo; de lo contrario, la prueba fallará. Elastisearch debería escuchar ahora en 9200 para procesar la solicitud HTTP, podemos usar CURL para obtener la respuesta.

# curl -X GET http://localhost:9200
{
"status" : 200,
"name" : "Delphi",
"cluster_name" : "elasticsearch",
"version" : {
"number" : "1.5.0",
"build_hash" : "544816042d40151d3ce4ba4f95399d7860dc2e92",
"build_timestamp" : "2015-03-23T14:30:58Z",
"build_snapshot" : false,
"lucene_version" : "4.10.4"
},
"tagline" : "You Know, for Search"
}

Instalar Logstash:

Logstash es una herramienta de código abierto, que se utiliza para recopilar registros, analizarlos y almacenarlos buscando. Sí, logstash viene con una interfaz web (kibana3 está integrado) para visualizar registros que no vamos a discutir aquí, sino que usamos kibana4. El procesamiento de varios tipos de eventos se puede ampliar agregándole complementos, más de 160 complementos están disponibles a partir de ahora. Vayamos directamente a la instalación.

# wget https://download.elasticsearch.org/logstash/logstash/packages/centos/logstash-1.4.2-1_2c0f5a1.noarch.rpm

# rpm -Uvh logstash-1.4.2-1_2c0f5a1.noarch.rpm

Una vez que el servidor logstash esté instalado, pasemos a la siguiente sección

Crear certificado SSL:

Logstash-forwarder, que se instalará en el cliente-servidor para enviar los registros, requiere un certificado SSL para validar la identidad del servidor de logstash. Tenemos dos opciones para crear un certificado SSL y depende de la configuración del reenviador de logstash; si se usa el nombre de host ("servidores":["itzgeek:5050"]), el nombre del sujeto de SSL debe coincidir con "itzgeek". Si usa ( “servers”:[ “10.0.0.26:5050” ]) una dirección ip, debe crear un certificado SSL con IP SAN con valor 10.0.0.26.

Siga cualquiera de los métodos para crear un certificado SSL.

Opción 1:(Nombre de host FQDN)

Antes de crear un certificado, asegúrese de tener un registro A para el servidor logstash; asegúrese de que los servidores del cliente puedan resolver el nombre de host del servidor logstash. Si no tiene DNS, agregue la entrada de host para el servidor logstash; donde 10.0.0.26 es la dirección IP del servidor logstash e itzgeek es el nombre de host de su servidor logstash.

# vi /etc/hosts

10.0.0.26 itzgeek

Vamos a crear un certificado SSL.

Ir al directorio de OpenSSL.

# cd /etc/pki/tls

Ejecute el siguiente comando para crear un certificado SSL, reemplace el "rojo" con su servidor logstash real.

# openssl req -x509 -nodes -newkey rsa:2048 -days 365 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt -subj /CN=itzgeek

Opción 2:(Dirección IP)

Antes de crear un certificado SSL, necesitaríamos agregar una dirección IP del servidor logstash a SubjectAltName en el archivo de configuración de OpenSSL.

# vi /etc/pki/tls/openssl.cnf

Vaya a la sección "[ v3_ca ]" y reemplace la sección "roja" con la IP de su servidor logstash.

subjectAltName = IP:10.0.0.26

Ir al directorio de OpenSSL.

# cd /etc/pki/tls

Ejecute el siguiente comando para crear un certificado SSL.

# openssl req -x509 -days 365 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt

Este logstash-forwarder.crt debe copiarse en todos los servidores de clientes que envían registros al servidor de logstash.

Configurar Logstash:

Los archivos de configuración de Logstash se pueden encontrar en /etc/logstash/conf.d/, solo una carpeta vacía. Necesitaríamos crear un archivo, los archivos de configuración de logstash constan de tres secciones de entrada, filtro y salida; las tres secciones se pueden encontrar en un solo archivo o cada sección tendrá archivos separados que terminan en .conf.

Aquí usaremos un solo archivo para colocar las secciones de entrada, filtro y salida.

# vi /etc/logstash/conf.d/logstash_syslogs.conf

En el primer apartado pondremos una entrada para la configuración de entrada. La siguiente configuración configura a Lumberjack para que escuche en el puerto 5050 los registros entrantes del logstash-forwarder que se encuentra en los servidores del cliente, y también usará el certificado SSL que creamos anteriormente.

input {
lumberjack {
port => 5050
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}

En el segundo apartado pondremos una entrada para la configuración del filtro. Grok es un filtro en logstash, que analiza los registros antes de enviarlos a Elasticsearch para su almacenamiento. El siguiente filtro grok buscará los registros que están etiquetados como "syslog" e intentará analizarlos para crear un índice estructurado.

filter {
if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGLINE}" }
    }

    date {
match => [ "timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
  }

}

Considere visitar grokdebugger para patrones de filtro.

En el tercer apartado pondremos una entrada de configuración de salida. Esta sección define la ubicación donde se almacenan los registros; obviamente debería ser Elasticsearch.

output {
elasticsearch { host => localhost index => "logstash-%{+YYYY.MM.dd}" }
stdout { codec => rubydebug }
}

Ahora inicie el servicio logstash.

# systemctl start logstash.service

Los registros del servidor Logstash se almacenan en el siguiente archivo y nos ayudarán a solucionar los problemas.

# cat /var/log/logstash/logstash.log

A continuación, configuraremos un reenviador de logstash para enviar registros al servidor de logstash.

Configurar el reenviador de Logstash.

Logstash-forwarder es un software de cliente que envía registros a un servidor de logstash, debe instalarse en todos los servidores de clientes. Logstash-forwarder se puede descargar desde el sitio web oficial o puede usar el siguiente comando para descargarlo en la terminal e instalarlo.

# wget https://download.elasticsearch.org/logstash-forwarder/binaries/logstash-forwarder-0.4.0-1.x86_64.rpm

# rpm -Uvh logstash-forwarder-0.4.0-1.x86_64.rpm

Logstash-forwader usa un certificado SSL para validar la identidad del servidor de logstash, así que copie el logstash-forwarder.crt que creamos anteriormente desde el servidor de logstash al cliente. Abra el archivo de configuración.

# vi /etc/logstash-forwarder.conf

En la sección "red", mencione el servidor de logstash con el número de puerto y la ruta al certificado del reenviador de logstash que copió del servidor de logstash. Esta sección define el reenviador de logstash para enviar registros al servidor de logstash "itzgeek" en el puerto 5050 y el cliente valida la identidad del servidor con la ayuda del certificado SSL.

Nota:Reemplace "itzgeek" con la dirección IP en caso de que esté utilizando IP SAN.

"servers": [ "itzgeek:5050" ],

"ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt",

"timeout": 15

En la sección “archivos”, configura cuáles son todos los archivos a enviar. En este artículo, configuraremos un reenviador de logstash para enviar registros (/var/log/messages) al servidor de logstash con "syslog" como tipo.

{
"paths": [
"/var/log/messages"
],

"fields": { "type": "syslog" }
}

Reinicie el servicio.

# systemctl start logstash-forwarder.service

Puede mirar un archivo de registro en caso de cualquier problema.

# cat /var/log/logstash-forwarder/logstash-forwarder.err

Configurar Kibana 4:

Kidbana proporciona visualización de registros, descárguelo del sitio web oficial. Use el siguiente comando para descargarlo en la terminal.

wget https://download.elasticsearch.org/kibana/kibana/kibana-4.0.2-linux-x64.tar.gz

Extráigalo y muévalo a /opt/

tar -zxvf kibana-4.0.2-linux-x64.tar.gz

mv kibana-4.0.2-linux-x64 /opt/kibana4

Habilite el archivo PID para Kibana, esto es necesario para crear un archivo de inicio systemd.

# sed -i 's/#pid_file/pid_file/g' /opt/kibana4/config/kibana.yml

Kibana se puede iniciar ejecutando /opt/kibana4/bin/kibana, para ejecutar kibana como servidor crearemos un archivo systemd.

# vi /etc/systemd/system/kibana4.service

[Unit]
Description=Kibana 4 Web Interface
After=elasticsearch.service
After=logstash.service
[Service]
ExecStartPre=rm -rf /var/run/kibana.pid
ExecStart=/opt/kibana4/bin/kibana/
ExecReload=kill -9 $(cat /var/run/kibana.pid) && rm -rf /var/run/kibana.pid && /opt/kibana4/bin/kibana/
ExecStop=kill -9 $(cat /var/run/kibana.pid)
[Install]
WantedBy=multi-user.target

Inicie y habilite kibana para que se inicie automáticamente al iniciar el sistema.

# systemctl start kibana4.service

systemctl enable kibana4.service

Accede a tu portal de kibana visitando el siguiente enlace

http://your-ip-address:5601/

Obtendrá una página siguiente donde debe mapear el índice de logstash para usar kibana. Desplácese hacia abajo en el nombre del campo de tiempo y seleccione

@timestamp

Una vez que haya seleccionado, lo redirigirá a la página principal de Kibana.

Kibana no viene con ningún tipo de acceso al portal protegido por contraseña. Con Nginx, podemos configurar de tal manera que el usuario debe cumplir con el mecanismo de autenticación antes de ingresar al portal.

Eso es todo, ha configurado correctamente la pila ELK para la gestión centralizada de registros.

Este tutorial es para una versión anterior de ELK Stack, algunos enlaces están rotos y es posible que no funcionen como se esperaba. Una nueva versión está disponible aquí:Cómo instalar ELK Stack en CentOS 7 / RHEL 7.
Cent OS
  1. Cómo instalar Graylog2 en CentOS 7 / RHEL 7

  2. Cómo instalar Elasticsearch en CentOS 8 / RHEL 8

  3. Cómo instalar Elasticsearch, Logstash y Kibana 4 en Ubuntu 14.04 / 15.04

  4. Cómo instalar Python 3.5 en CentOS/RHEL y Fedora

  5. Cómo instalar Elasticsearch en CentOS/RHEL 8

Cómo instalar Elasticsearch, Logstash y Kibana (ELK Stack) en CentOS 7/RHEL 7

Cómo instalar Graylog 3.0 en CentOS 7 / RHEL 7

Cómo instalar y usar Firewalld en CentOS / RHEL

Cómo instalar Samba en RHEL y CentOS Stream

Cómo instalar y configurar Jenkins en CentOS 8 / RHEL 8

Cómo instalar Wine 5.0 en CentOS, RHEL y Fedora