Elasticsearch, Kibana, Filebeat und Logstash installieren

Nachdem ich das erste mal KELF (Kibana, Elasticsearch, Logstash, Filebeat) genutzt habe, möchte ich nie wieder in mein Standard Logging analisieren zurück gehen. Es ist einfach zu Übersichtlich und schnell mit dem Elastic Stack – also hier ein kurzes Tutorial wie ihr das ganze auf eurem Ubuntu 16.04 Server installiert.

Systemdaten

Ubuntu 16.04 LTS
Elasticsearch Version 6.0
Java Version 1.8.0_151

Elasticsearch Installation

Wir fügen damit einen PGP Key hinzu. Falls noch nicht installiert holen wir uns das Paket apt-transport-https

Nun adden wir noch die Source von Elastic-6.x

und installieren nach dem obligatorischen update das Paket elasticsearch:

Service starten

unter http://localhost:9200/ sollten wir nun folgendes sehen

sudo /bin/systemctl enable logstash.service

So – nun da wir die Basis haben, können wir uns Kibana widmen. Dort werden die Daten die wir später in Elasticsearch sammeln visualisiert. Ich erstelle dafür späte noch ein Schaubild, welches die Funktionsweise leicht erklärt, am Anfang kann man mit den Begriffen und der ersten Definition nicht wirklich viel anfangen.

Kibana Installation

Da wir Elastic schon zu unserer Source.list hinzugefügt haben, brauchen wir die HIER erklärten Schritte nicht mehr vollständig zu machen.

Service starten

Nach dem starten des services können wir Kibana unter http://localhost:5601 aufrufen. Solltet Ihr in einer Live Umgebung arbeiten, denkt daran die services noch zu sichern (HIER für NGINX)

Kibana Dashboard

 

Filebeat oder Logstash?

Hier kommt es auf den Use-Case oder den Geschmack an – ich möchte lieber ein Lightweight auf meinem lokalen System haben und nutze daher Filebeat – dieser hat einen Watcher (Harvester) auf den gewünschten Logfiles auf meinen 2-3 Maschinen und schiebt bei Änderungen die entsprechenden Logs in Elasticsearch.

 

Logstash Installation

Gleiches wie bei Kibana gilt für Logstash, Key und Source.list haben wir bereits bei der Elasticsearch Installation hinzugefügt.

Service starten

 

Bei Startup laden

Wenn Ihr KELF auch beim reboot laden wollt, führt einfach folgende Befehle aus:

 

Löschen

Kein nutzen mehr für den Elastic Stack? Dann lösche alles mit:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.