elk日志分析搭建使用记录

Posted 2022-04-19 煜铭2011

0x00 介绍

1.elk背景介绍

Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前，Elasticsearch 是一个免费及开放（free and open）的项目。

同时，Elastic 公司也拥有 Logstash 及 Kibana 开源项目。这个三个项目组合在一起，就形成了 ELK 软件栈，他们三个共同形成了一个强大的生态圈。

简单地说，Logstash 负责数据的采集，处理丰富数据，数据转换等。

Kibana 负责数据展示，分析，管理，监督及应用。

Elasticsearch 处于最核心的位置，它可以帮我们对数据进行快速地搜索及分析。

0x01 部署架构

0x02 安装部署

请见：elk日志分析搭建使用记录（二）

0x03 配置使用

 请见：elk日志分析搭建使用记录（三）

0x04 问题解决

1.node.js 支持问题故障

问题现象：提示 node.js 必须在windows 8.1 windows 10

解决办法：更新Windows7  到windows 8.1 windows 10等高版本，或者在Linux系统进行安装。

2.无法kibana或者elasticsearch的web页面

问题现象：kibana或者elasticsearch的服务运行正常，没有提示异常错误，但是在浏览器无法访问其web界面。

解决办法：

systemctl stop firewalld  #如果没法访问kibana或者elasticsearch的web页面，往往是防火墙没有开启。

systemctl disable firewalld.service  # 系统重启后，防火墙会自动开启。

我们在将安装包上传到/opt/elk/ 或者创建该目录后按照官方的指南进行下载安装。

3.无法使用IP地址形式访问kibana或者elasticsearch的web页面

问题现象：kibana或者elasticsearch的服务运行正常，没有提示异常错误，但是在浏览器无法使用ip:port的形式访问其web界面。

解决办法：在elasticsearch 和kibana的配置进行修改，如下所示：

elasticsearch的配置修改：

vi ./config/elasticsearch.yml

修改前是：

#network.host: 192.168.0.1

修改后：

network.host: 0.0.0.0

kibana的配置修改：

vi ./config/kibana.yml

修改前是：

#server.host: "localhost"

#i18n.locale: "en"

修改后：

server.host: "0.0.0.0"

i18n.locale: "zh-CN"

4.Kibana http明文访问

现象是：访问kibana是http，可能存在安全问题，故需要进行配置https

解决办法：

在elasticsearch的服务器执行如下命令：

cd /opt/elk/elasticsearch-8.1.2/

./bin/elasticsearch-certutil cert --pem --name kibana-server --self-signed  --out certs.zip

在kibana的服务器上，上传并解压certs.zip文件，执行命令如下：

将certs.zip上传到/opt/elk/kibana-8.1.2/config/

cd /opt/elk/kibana-8.1.2/config/

unzip certs.zip

cp -fr ./kibana-server/* .

kibana的配置修改：

vi ./config/kibana.yml

修改前是：

#server.ssl.enabled: false

#server.ssl.certificate: /path/to/your/server.crt

#server.ssl.key: /path/to/your/server.key

修改后：

server.ssl.enabled: true

server.ssl.certificate: config/kibana-server.crt

server.ssl.key: config/kibana-server.key

在终端输入：Ctrl + C  停止kibana，然后重启kibana，输入：

[elastic@security-test kibana-8.1.2]$ ./bin/kibana

点击高级，进行继续访问，即可。

5.提取数据时出错

问题现象：Unable to create actions client because the Encrypted Saved Objects plugin is missing encryption key. Please set xpack.encryptedSavedObjects.encryptionKey in the kibana.yml or use the bin/kibana-encryption-keys command.

解决办法：

xpack.encryptedSavedObjects.encryptionKey: dcbf819d8874e8242eaf107d538fe874

xpack.reporting.encryptionKey: ba2d98e6dad4fa73d77f5f34a568cfdd

xpack.security.encryptionKey: 3871dfc1bd945e1141364e4244800b39

vi ./config/kibana.yml

添加 以上内容，如下所示：

 0x05 参考文档

请见：elk日志分析搭建使用记录（五）