La pile ELK consiste en un ensemble d'applications permettant de récupérer et de gérer les fichiers journaux. Dans l'industrie du développement de logiciels, les fichiers journaux jouent un rôle essentiel pour identifier le problème et résoudre le problème. ELK stack est une collection de différents outils d'application open source tels que Elasticsearch , Kibana, et Logstash . ELK peut être utilisé pour collecter, rechercher et visualiser les journaux générés à partir de n'importe quelle source dans n'importe quel modèle à l'aide d'une requête. Dans cet article, nous allons apprendre à installer et configurer la pile ELK sur Ubuntu et Debian.
Prérequis :
- Nouveau serveur Ubuntu 20.04 ou Debian 10
- Compte privilégié racine
- Connexion Internet correcte
Installer Java
L'installation de la pile ELK nécessite un environnement Java. Exécutez la commande suivante pour installer Java sur Ubuntu/Debian
$ sudo apt install openjdk-8-jdk
Vérifiez l'installation en vérifiant la version Java
$ java -version
Sortie :
Installer et configurer Elasticsearch
Une fois Java installé, il est maintenant temps d'installer et de configurer Elasticsearch. Étant donné que les packages Elasticsearch ne sont pas disponibles par défaut sur Ubuntu/Debian, nous devons ajouter le référentiel elasticsearch apt. Exécutez la commande suivante pour ajouter la clé de référentiel GPG.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Créez maintenant le fichier de référentiel à l'aide de la commande.
$ echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Une fois le fichier de référentiel créé, elasticsearch peut être installé à l'aide de la commande.
$ sudo apt update
$ sudo apt install elasticsearch
Le fichier de configuration par défaut d'elasticsearch se trouve dans /etc/elasticsearch/elasticsearch.yml . Utilisez n'importe quel éditeur de texte et décommentez les lignes :
network.host: localhost
http.port: 9200
Démarrer et activer elasticsearch
$ sudo systemctl start elasticsearch
$ sudo systemctl enable elasticsearch
Exécutez la commande suivante pour afficher l'état et les détails d'Elasticsearch
$ curl -X GET "localhost:9200"
Sortie :
Installer et configurer Logstash
Le package Logstash est disponible par défaut dans les systèmes Ubuntu/Debian. Exécutez la commande suivante pour installer.
$ sudo apt install logstash
Démarrer et activer le service
$ sudo systemctl start logstash
$ sudo systemctl enable logstash
Vérifiez le service à l'aide de la commande
$ systemctl status logstash
Le répertoire de configuration par défaut de logstash est /etc/logstash/conf.d/ . Une fois l'installation terminée INPUT , FILTRER et SORTIE les pipelines peuvent être configurés en fonction des cas d'utilisation requis.
Installer et configurer Kibana
Kibana est un outil graphique basé sur le Web utilisé pour analyser et analyser les journaux collectés. Kibana est disponible dans le référentiel par défaut d'Ubuntu/Debian. Exécutez la commande suivante pour installer le package.
$ sudo apt install kibana
Pour configurer kibana, allez dans le répertoire de configuration par défaut et décommentez les lignes suivantes
$ sudo vim /etc/kibana/kibana.yml
server.port: 5601 server.host: "localhost" elasticsearch.hosts: ["http://localhost:9200"]
Démarrer et activer le service
$ sudo systemctl start kibana
$ sudo systemctl enable kibana
Autoriser le port kibana dans le pare-feu
$ sudo ufw allow 5601/tcp
Accédez maintenant au tableau de bord Kibana en utilisant l'url http://localhost:5601
Installer et configurer filebeat
Filebeat est utilisé pour envoyer des journaux à elasticsearch et logstash pour analyse. Filebeat est disponible par défaut dans le référentiel Ubuntu/Debian. Exécutez la commande suivante pour installer.
$ sudo apt install filebeat -y
Pour configurer le filebeat, accédez au répertoire de configuration par défaut et commentez ce qui suit.
$ sudo vim /etc/filebeat/filebeat.yml
# output.elasticsearch: # Array of hosts to connect to . # hosts: ["localhost:9200"]
Décommentez la ligne suivante et enregistrez le fichier
output.logstash: hosts: [“localhost:5044”]
À l'étape suivante, activez le module système filebeat
$ sudo filebeat modules enable system
Exécutez maintenant la commande suivante pour charger le modèle d'index
$ sudo filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
Démarrer et activer le service filebeat
$ sudo systemctl start filebeat
$ sudo systemctl enable filebeat
Vérifier l'état
$ sudo systemctl status filebeat
Conclusion
Dans cet article, j'ai expliqué comment installer et configurer correctement la pile ELK sur Debian/Ubuntu. De plus, nous avons appris à utiliser différents composants tels que Kibana, Logstash et Kibana pour analyser et visualiser les journaux de n'importe quelle source.