Einführung
Wir werden einrichten Eigenständiger Elastic Agent. Wir führen eine Demonstration durch, bei der Daten an eine Elasticsearch-Instanz gesendet werden. Wir führen eine zweite Demonstration durch, bei der Daten an eine Logstash-Instanz gesendet werden.
Wenn Sie Elasticsearch und Kibana noch nicht eingerichtet haben, dann Befolgen Sie diese Anweisungen.
Dieses Video setzt voraus, dass Sie Öffentlich signierte Zertifikate für Ihre Elasticsearch. Wenn Sie verwenden Selbstsignierte Zertifikate, müssen Sie lediglich auf Zertifizierungsstellen in Ihrem elastic-agent.yml Datei. (Details werden noch bekannt gegeben).
Anforderungen
Eine laufende Instanz von Elasticsearch und Kibana. Dann zwei verschiedene Instanzen des Ubuntu 20.04-Servers, eine wird für den Elastic Agent und die andere für Logstash verwendet.
Wir gehen davon aus, dass Sie bereits Domänen Ihrer Elasticsearch- und Kibana-Instanz zugeordnet haben. In unserem Video haben wir elastic.evermight.net Und kibana.evermight.net.
Schritte
Schritt 1 - Elastic Agent herunterladen [02:20]
Laden Sie das Elastic Agent-Paket auf die Ubuntu-Maschine herunter, die den Elastic Agent bereitstellen soll.
Visit https://www.elastic.co/downloads/elastic-agent um das neueste Paket zu finden.
Auspacken mit tar xvfz <file you downloaded>.
Schritt 2 - Elastic Agent mit Elasticsearch-Ausgabe verwenden [02:54]
Es sollte eine ~/elastic-agent.yml Datei aus Schritt 1.
Bearbeiten Sie diese Felder für die ~/elastic-agent.yml zur Verbindung mit Ihrem Elasticsearch-Server
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Wenn Sie selbstsignierte Zertifikate verwenden, müssen Sie möglicherweise die Zertifizierungsstelle auf diesen Computer kopieren und mit dem ssl.certificate_authorities Feld, wie in dieser Dokumentation erwähnt:
Elastic Agent-SSL-Konfiguration– Wir haben diesen Ansatz noch nicht getestet.
Starten Sie Ihren Elastic Agent mit diesem Befehl:
./elastic-agent install
... answer No to fleet server
Bestätigen Sie den Erfolg, indem Sie zu Kibana gehen und im Menü auf „+“ klicken.Stapelverwaltung > Indexverwaltung > Datenströme. Sie werden einige Datenströme bemerken, wie zum Beispiel logs-elastic_agent* Und metrics-elastic*.
Schritt 3 - Elastic Agent mit Logstash-Ausgabe verwenden [07:52]
Logstash einrichten
Wechseln Sie zu Ihrem anderen Ubuntu-Rechner, auf dem Sie Logstash ausführen möchten. Führen Sie diese Befehle aus, um Logstash zu installieren.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
apt-get install -y apt-transport-https;
apt-get install -y logstash;
Erstellen Sie eine Logstash-Konfigurationsdatei. Wir erstellen sie als /root/logstash.conf mit folgendem Inhalt:
input {
elastic_agent {
port => 5044
}
}
output {
stdout {}
}
Starten Sie Logstash mit diesem Befehl:
/usr/share/logstash/bin/logstash -f /root/logstash.conf
Note The -f /root/logstash.conf müssen absolute Pfade verwenden. Ich habe festgestellt, dass relative Pfade nicht funktionieren.
Konfigurieren und Starten des Elastic Agent
Bearbeiten Sie diese Felder für die ~/elastic-agent.yml zur Verbindung mit Ihrer Logstash-Instanz
...etc...
outputs:
default:
type: logstash
hosts: ["<ip address of logstash server>:5044"]
...etc...
Jetzt müssen Sie den Elastic Agent deinstallieren und neu installieren, um eine neue Instanz des Elastic Agent auszuführen:
``` /usr/bin/elastic-agent uninstall …beantworten Sie alle Eingabeaufforderungen
~/elastic-agent install …Antwort „Nein“ an den Flottenserver
```
Bestätigen Sie, dass der Logstash-Server Inhalte druckt.
Logstash-Ausgabe an Elasticsearch
Sie können Logstash auch Daten an Elasticsearch senden lassen, indem Sie eine weitere Ausgabestufe hinzufügen
``` Eingabe { elastic_agent { Port => 5044 } } Ausgabe { stdout {} elasticsearch { Hosts => ["elastic.evermight.net:9200"] SSL => true Benutzer => "elastic" Passwort => "changeme" Index => "lslogs" } }
```
Schritt 4 – Integration hinzufügen [14:34]
Sie können einen Elastic Agent aktualisieren, um eine zusätzliche Richtlinie einzubinden. Wir demonstrieren dies, indem wir Apache Web Server zu einem der beiden Server aus den vorherigen Schritten hinzufügen, die bereits über einen Elastic Agent verfügen.
Deinstallieren Sie den Elastic Agent (da er später ersetzt wird) mit diesem Befehl:
/usr/bin/elastic-agent uninstall
...answer any prompts
Installieren Sie den Apache-Webserver mit apt-get install -y apache2.
Gehen Sie zu Ihrem Browser und besuchen Sie http://<ip address of server> um zu bestätigen, dass die Website funktionsfähig ist.
Gehen Sie zu Kibana, klicken Sie auf das Speisekarte und gehe zu Integrationen. Suchen Sie dann nach Apache HTTP Server.
Presse Apache-HTTP-Server.
Presse Apache-HTTP-Server hinzufügen.
Scrollen Sie nach unten und drücken Sie Speichern und fortfahren.
Presse Fügen Sie Elastic Agent zu Ihren Hosts hinzu.
Klicken Sie auf Eigenständig ausführen.
Klicken Sie auf In die Zwischenablage kopieren.
Gehen Sie zurück zu Ihrem Server und erstellen Sie eine neue elastic-agent.yml Datei und fügen Sie den Code aus Ihrer Zwischenablage ein.
Bearbeiten Sie die Anmeldeinformationen im elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Starten Sie Ihren Elastic Agent mit diesem Befehl:
./elastic-agent install
... answer No to fleet server
Visit Kibana > Integrationen > Apache HTTP Server > Assets und klicken Sie auf eines der Dashboards, um zu bestätigen, dass Daten eingegangen sind. Sie können dies auch bestätigen, indem Sie zu Kibana > Stack-Verwaltung > Index-Verwaltung > Datenströme und Sie sollten einige sehen, die mit Apache in Verbindung stehen.
Debuggen
Wenn Probleme auftreten, finden Sie Protokolle für den Elastic Agent hier:
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Windows:C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\