介绍

“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。

目前最新的名字叫 Elastic Stack 是 ELK Stack 的更新换代产品。(增加了Beats)

注意:本文章主要用于syslog类型的日志收集,取消ES的加密访问是为了方便接入frostmourne进行日志告警。

安装环境

系统: AlmaLinux 9 (关闭SE Linux)

软件版本,使用ELK 8.X

也适用于其他RHEL衍生版系统:如centos stream、rockylinux。

PS: 参考 https://www.skynemo.cn/archives/base-on-centos79-install-elasticsearch81-standalone-and-config#

官网文档:https://www.elastic.co/guide/en/elasticsearch/reference/master/rpm.html

官网下载地址

Download Elasticsearch | Elastic

下载RPM包

使用清华大学镜像源进行安装

1
2
3
4
5
6
7
[elasticsearch]
name=Elasticsearch repository for 8.x packages
baseurl=https://mirrors.tuna.tsinghua.edu.cn/elasticstack/8.x/yum
gpgcheck=0
enabled=1
autorefresh=1
type=rpm-md

#创建elasticsearch.repo 至 /etc/yum.repos.d/中,注意安装前检查SELinux是否关闭。

#注意:关闭了GPG认证

PS: 使用 RPM |安装 Elasticsearch弹性搜索指南 [8.3]

dnf install elasticsearch logstash kibana

使用dnf进行安装

systemctl enable --now elasticsearch.service kibana.service logstash.service

#启动并设定开机启动。

默认初始化配置

使用dnf安装的时候,需要检查输入日志,会有类似以下的输出。

默认开启HTTPS,并生成默认管理员账号elastic账号的密码。可以使用下面命令进行重置密码。

1
/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic

可以使用下面的命令生成 Kibana 访问Elasticsearch的令牌。

1
/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
--------------------------- Security autoconfiguration information ------------------------------

Authentication and authorization are enabled.
TLS for the transport and HTTP layers is enabled and configured.

The generated password for the elastic built-in superuser is : wm7khlFyj3VrHKOtb5S9

If this node should join an existing cluster, you can reconfigure this with
'/usr/share/elasticsearch/bin/elasticsearch-reconfigure-node --enrollment-token '
after creating an enrollment token on your existing cluster.

You can complete the following actions at any time:

Reset the password of the elastic built-in superuser with 
'/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic'.

Generate an enrollment token for Kibana instances with 
 '/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana'.

Generate an enrollment token for Elasticsearch nodes with 
'/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s node'.

访问测试

https://192.168.198.6:9200 使用HTTPS访问测试,用管理员账号密码。

Elasticsearch 配置

切换客户API为不加密,HTTP访问。

1
vim /etc/elasticsearch/elasticsearch.yml

打开文件

1
2
3
4
# Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
xpack.security.http.ssl:
  enabled: false
  keystore.path: certs/http.p12

修改上述配置为 false.

1
systemctl restart elasticsearch.service

重启服务,以生效配置。

访问 http://192.168.198.6:9200 ,使用http测试。

Kibana 配置

默认配置

默认为 5601 端口,默认绑定为127.0.0.1 地址。使用HTTP协议。

==可以修改kibana.yml 文件修改绑定地址,或者使用Nginx反向代理。==

修改语言

1
vim /etc/kibana/kibana.yml

vim修改配置文件

 ==i18n.locale: “zh-CN”==

删除# 修改此行为中文配置,重启服务生效。

基本认证配置

1
2
3
4
5
6
7
8
9
10
# =================== System: Elasticsearch ===================
# The URLs of the Elasticsearch instances to use for all your queries.
elasticsearch.hosts: ["http://127.0.0.1:9200"]

# If your Elasticsearch is protected with basic authentication, these settings provide
# the username and password that the Kibana server uses to perform maintenance on the Kibana
# index at startup. Your Kibana users still need to authenticate with Elasticsearch, which
# is proxied through the Kibana server.
elasticsearch.username: "kibana_system"
elasticsearch.password: "he5l=fIIbD1WhD_=aNg_"

==修改文件,配置ES访问地址,配置系统默认账号kibana_system的密码,填入配置文件。(必须为此账号)==

PS: 参考 https://www.elastic.co/guide/en/elasticsearch/reference/current/security-minimal-setup.html#add-built-in-users

Logstash 配置

开启syslog,将数据转发给ES.

vim /etc/logstash/conf.d/syslog.conf

创建修改syslog配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
input {
  syslog {
    type => "system-syslog"
    port => 514
  }
}

output {
  elasticsearch {
    hosts => ["http://127.0.0.1:9200"]
    index => "system-syslog-%{+YYYY.MM}"
    user => "elastic"
    password => "2H*Y9rL5D=xFbvLAz_Nr"
  }
}

配置为syslog输入,端口为默认的514。

将数据输出到ES,配置索引前缀为 system-syslog,按月分割索引。

注意 中括号

 ==vim /lib/systemd/system/logstash.service==

==修改systemd服务文件。==

1
2
3
4
[Service]
Type=simple
User=root
Group=root

需要修改启动用户为ROOT才能使用小于1024的端口号。

Kibana WEB配置

创建数据视图

在主菜单-Stack Management-Kibana-数据视图里面创建

参考文档: https://www.elastic.co/guide/en/kibana/current/data-views.html

使用类似 syslog* 匹配索引和日期。

索引管理

在主菜单-Stack Management-数据-索引管理里面查看所有索引。