elk日志分析搭建使用记录

Posted 煜铭2011

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了elk日志分析搭建使用记录相关的知识,希望对你有一定的参考价值。

0x00 介绍

1.elk背景介绍

Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。

同时,Elastic 公司也拥有 Logstash 及 Kibana 开源项目。这个三个项目组合在一起,就形成了 ELK 软件栈,他们三个共同形成了一个强大的生态圈。

简单地说,Logstash 负责数据的采集,处理丰富数据,数据转换等。

Kibana 负责数据展示,分析,管理,监督及应用。

Elasticsearch 处于最核心的位置,它可以帮我们对数据进行快速地搜索及分析。

0x01 部署架构


0x02 安装部署

 

请见:elk日志分析搭建使用记录(二)

0x03 配置使用

 请见:elk日志分析搭建使用记录(三)

0x04 问题解决

1.node.js 支持问题故障

问题现象:提示 node.js 必须在windows 8.1 windows 10

解决办法:更新Windows7  到windows 8.1 windows 10等高版本,或者在Linux系统进行安装。

2.无法kibana或者elasticsearch的web页面

问题现象:kibana或者elasticsearch的服务运行正常,没有提示异常错误,但是在浏览器无法访问其web界面。

解决办法:

systemctl stop firewalld  #如果没法访问kibana或者elasticsearch的web页面,往往是防火墙没有开启。

systemctl disable firewalld.service  # 系统重启后,防火墙会自动开启。

我们在将安装包上传到/opt/elk/ 或者创建该目录后按照官方的指南进行下载安装。

3.无法使用IP地址形式访问kibana或者elasticsearch的web页面

问题现象:kibana或者elasticsearch的服务运行正常,没有提示异常错误,但是在浏览器无法使用ip:port的形式访问其web界面。

解决办法:在elasticsearch 和kibana的配置进行修改,如下所示:

elasticsearch的配置修改:

vi ./config/elasticsearch.yml

修改前是:

#network.host: 192.168.0.1

修改后:

network.host: 0.0.0.0

kibana的配置修改:

vi ./config/kibana.yml

修改前是:

#server.host: "localhost"

#i18n.locale: "en"

修改后:

server.host: "0.0.0.0"

i18n.locale: "zh-CN"

4.Kibana http明文访问

现象是:访问kibana是http,可能存在安全问题,故需要进行配置https

解决办法:

在elasticsearch的服务器执行如下命令:

cd /opt/elk/elasticsearch-8.1.2/

./bin/elasticsearch-certutil cert --pem --name kibana-server --self-signed  --out certs.zip

在kibana的服务器上,上传并解压certs.zip文件,执行命令如下:

将certs.zip上传到/opt/elk/kibana-8.1.2/config/

cd /opt/elk/kibana-8.1.2/config/

unzip certs.zip

cp -fr ./kibana-server/* .

kibana的配置修改:

vi ./config/kibana.yml

修改前是:

#server.ssl.enabled: false

#server.ssl.certificate: /path/to/your/server.crt

#server.ssl.key: /path/to/your/server.key

修改后:

server.ssl.enabled: true

server.ssl.certificate: config/kibana-server.crt

server.ssl.key: config/kibana-server.key

在终端输入:Ctrl + C  停止kibana,然后重启kibana,输入:

[elastic@security-test kibana-8.1.2]$ ./bin/kibana

点击高级,进行继续访问,即可。

5.提取数据时出错

问题现象:Unable to create actions client because the Encrypted Saved Objects plugin is missing encryption key. Please set xpack.encryptedSavedObjects.encryptionKey in the kibana.yml or use the bin/kibana-encryption-keys command.

解决办法:

xpack.encryptedSavedObjects.encryptionKey: dcbf819d8874e8242eaf107d538fe874

xpack.reporting.encryptionKey: ba2d98e6dad4fa73d77f5f34a568cfdd

xpack.security.encryptionKey: 3871dfc1bd945e1141364e4244800b39

vi ./config/kibana.yml

添加 以上内容,如下所示:

 0x05 参考文档

请见:elk日志分析搭建使用记录(五)

以上是关于elk日志分析搭建使用记录的主要内容,如果未能解决你的问题,请参考以下文章

elk日志分析搭建使用记录

elk日志分析搭建使用记录

elk日志分析搭建使用记录

elk日志分析搭建使用记录

elk日志分析搭建使用记录

elk日志分析搭建使用记录