elk日志分析搭建使用记录
Posted 煜铭2011
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了elk日志分析搭建使用记录相关的知识,希望对你有一定的参考价值。
0x00 介绍
1.elk背景介绍
Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。
同时,Elastic 公司也拥有 Logstash 及 Kibana 开源项目。这个三个项目组合在一起,就形成了 ELK 软件栈,他们三个共同形成了一个强大的生态圈。
简单地说,Logstash 负责数据的采集,处理丰富数据,数据转换等。
Kibana 负责数据展示,分析,管理,监督及应用。
Elasticsearch 处于最核心的位置,它可以帮我们对数据进行快速地搜索及分析。
0x01 部署架构
0x02 安装部署
0x03 配置使用
0x04 问题解决
1.node.js 支持问题故障
问题现象:提示 node.js 必须在windows 8.1 windows 10
解决办法:更新Windows7 到windows 8.1 windows 10等高版本,或者在Linux系统进行安装。
2.无法kibana或者elasticsearch的web页面
问题现象:kibana或者elasticsearch的服务运行正常,没有提示异常错误,但是在浏览器无法访问其web界面。
解决办法:
systemctl stop firewalld #如果没法访问kibana或者elasticsearch的web页面,往往是防火墙没有开启。
systemctl disable firewalld.service # 系统重启后,防火墙会自动开启。
我们在将安装包上传到/opt/elk/ 或者创建该目录后按照官方的指南进行下载安装。
3.无法使用IP地址形式访问kibana或者elasticsearch的web页面
问题现象:kibana或者elasticsearch的服务运行正常,没有提示异常错误,但是在浏览器无法使用ip:port的形式访问其web界面。
解决办法:在elasticsearch 和kibana的配置进行修改,如下所示:
elasticsearch的配置修改:
vi ./config/elasticsearch.yml
修改前是:
#network.host: 192.168.0.1
修改后:
network.host: 0.0.0.0
kibana的配置修改:
vi ./config/kibana.yml
修改前是:
#server.host: "localhost"
#i18n.locale: "en"
修改后:
server.host: "0.0.0.0"
i18n.locale: "zh-CN"
4.Kibana http明文访问
现象是:访问kibana是http,可能存在安全问题,故需要进行配置https
解决办法:
在elasticsearch的服务器执行如下命令:
cd /opt/elk/elasticsearch-8.1.2/
./bin/elasticsearch-certutil cert --pem --name kibana-server --self-signed --out certs.zip
在kibana的服务器上,上传并解压certs.zip文件,执行命令如下:
将certs.zip上传到/opt/elk/kibana-8.1.2/config/
cd /opt/elk/kibana-8.1.2/config/
unzip certs.zip
cp -fr ./kibana-server/* .
kibana的配置修改:
vi ./config/kibana.yml
修改前是:
#server.ssl.enabled: false
#server.ssl.certificate: /path/to/your/server.crt
#server.ssl.key: /path/to/your/server.key
修改后:
server.ssl.enabled: true
server.ssl.certificate: config/kibana-server.crt
server.ssl.key: config/kibana-server.key
在终端输入:Ctrl + C 停止kibana,然后重启kibana,输入:
[elastic@security-test kibana-8.1.2]$ ./bin/kibana
点击高级,进行继续访问,即可。
5.提取数据时出错
问题现象:Unable to create actions client because the Encrypted Saved Objects plugin is missing encryption key. Please set xpack.encryptedSavedObjects.encryptionKey in the kibana.yml or use the bin/kibana-encryption-keys command.
解决办法:
xpack.encryptedSavedObjects.encryptionKey: dcbf819d8874e8242eaf107d538fe874
xpack.reporting.encryptionKey: ba2d98e6dad4fa73d77f5f34a568cfdd
xpack.security.encryptionKey: 3871dfc1bd945e1141364e4244800b39
vi ./config/kibana.yml
添加 以上内容,如下所示:
0x05 参考文档
以上是关于elk日志分析搭建使用记录的主要内容,如果未能解决你的问题,请参考以下文章