Introducción
Vamos a configurar Agente elástico independiente. Realizaremos una demostración que envía datos a una instancia de Elasticsearch. Realizaremos una segunda demostración que envía datos a una instancia de Logstash.
Si aún no tiene Elasticsearch y Kibana configurados, entonces siga estas instrucciones.
Este vídeo asume que estás usando Certificados firmados públicamente para tu Elasticsearch. Si estás usando Certificados autofirmados, simplemente necesita hacer referencia a las Autoridades de Certificación en su elastic-agent.yml archivo. (Detalles por determinar).
Requisitos
Una instancia de Elasticsearch y Kibana en ejecución. Luego, dos instancias diferentes del servidor Ubuntu 20.04: una para el Agente Elastic y la otra para Logstash.
Suponemos que ya tiene dominios asignados a su instancia de Elasticsearch y Kibana. En nuestro video, usamos elastic.evermight.net y kibana.evermight.net.
Pasos
Paso 1: Descargar Elastic Agent [02:20]
Descargue el paquete Elastic Agent en la máquina Ubuntu que servirá al Elastic Agent.
Visit https://www.elastic.co/downloads/elastic-agent para encontrar el último paquete.
Desempaquetar con tar xvfz <file you downloaded>.
Paso 2: Usar Elastic Agent con la salida de Elasticsearch [02:54]
Debería haber una ~/elastic-agent.yml archivo del paso 1.
Edite estos campos para el ~/elastic-agent.yml para la conexión a su servidor Elasticsearch
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Si está utilizando certificados autofirmados, es posible que deba copiar la autoridad del certificado a esta máquina y hacer referencia a ella con el ssl.certificate_authorities campo como se menciona en esta documentación:
Configuración de SSL de Elastic Agent- Aún no hemos probado este enfoque.
Inicie su agente elástico con este comando:
./elastic-agent install
... answer No to fleet server
Confirme el éxito yendo a Kibana y vaya al menú para hacer clic Gestión de pilas > Gestión de índices > Flujos de datos. Notarás algunos flujos de datos como logs-elastic_agent* y metrics-elastic*.
Paso 3: Usar Elastic Agent con la salida de Logstash [07:52]
Configurar Logstash
Ve a la otra máquina Ubuntu donde planeas ejecutar Logstash. Ejecuta estos comandos para instalarlo.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
apt-get install -y apt-transport-https;
apt-get install -y logstash;
Cree un archivo de configuración de Logstash. Lo haremos como sigue:/root/logstash.conf con el siguiente contenido:
input {
elastic_agent {
port => 5044
}
}
output {
stdout {}
}
Inicie Logstash con este comando:
/usr/share/logstash/bin/logstash -f /root/logstash.conf
Note The -f /root/logstash.conf Deben usarse rutas absolutas. Descubrí que las rutas relativas no funcionan.
Configurar e iniciar Elastic Agent
Edite estos campos para el ~/elastic-agent.yml para conectarse a su instancia de Logstash
...etc...
outputs:
default:
type: logstash
hosts: ["<ip address of logstash server>:5044"]
...etc...
Ahora debe desinstalar y volver a instalar Elastic Agent para ejecutar una nueva instancia de Elastic Agent:
``` /usr/bin/elastic-agent uninstall ...responda a cualquier pregunta
~/elastic-agent install ...responder No al servidor de flota
```
Confirme que el servidor Logstash esté imprimiendo contenido.
Salida de Logstash a Elasticsearch
También puede hacer que Logstash envíe datos a Elasticsearch agregando otra etapa de salida
``` entrada { agente_elástico { puerto => 5044 } } salida { salida estándar {} selección_elástica { hosts => ["elastic.evermight.net:9200"] ssl => verdadero usuario => "elástico" contraseña => "cambiame" índice => "lslogs" } }
```
Paso 4 - Agregar integración [14:34]
Puede actualizar un agente elástico para incluir una política adicional. Lo demostraremos añadiendo el servidor web Apache a cualquiera de los dos servidores de los pasos anteriores que ya cuentan con un agente elástico.
Desinstale Elastic Agent (porque será reemplazado más adelante) con este comando:
/usr/bin/elastic-agent uninstall
...answer any prompts
Instalar el servidor web Apache con apt-get install -y apache2.
Vaya a su navegador y visite http://<ip address of server> para confirmar que el sitio web funciona.
Vaya a Kibana, haga clic en el Menú y ve a Integraciones. Luego busque el servidor HTTP Apache.
Prensa Servidor HTTP Apache.
Prensa Agregar servidor HTTP Apache.
Desplácese hacia abajo y presione Guardar y continuar.
Prensa Agregue Elastic Agent a sus hosts.
Haga clic en Ejecutar de forma independiente.
Haga clic en Copiar al portapapeles.
Regresa a tu servidor y crea uno nuevo.elastic-agent.yml archivo y pegar el código desde su portapapeles.
Editar las credenciales en el elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Inicie su agente elástico con este comando:
./elastic-agent install
... answer No to fleet server
Visit Kibana > Integraciones > Servidor HTTP Apache > Activos y haga clic en uno de los paneles para confirmar que han llegado los datos. También puede confirmarlo yendo a Kibana > Gestión de pilas > Gestión de índices > Flujos de datos y deberías ver algunos que estén relacionados con Apache.
Depuración
Si tiene problemas, puede encontrar registros del agente elástico en:
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Ventanas:C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\