Introduction
Nous allons installer Agent élastique autonome. Nous réaliserons une démonstration de l'envoi de données vers une instance Elasticsearch. Nous réaliserons une seconde démonstration de l'envoi de données vers une instance Logstash.
Si vous n'avez pas encore configuré Elasticsearch et Kibana, alors suivez ces instructions.
Cette vidéo suppose que vous utilisez Certificats signés publiquement pour votre Elasticsearch. Si vous utilisez Certificats auto-signés, il vous suffit de référencer les autorités de certification dans votre elastic-agent.yml fichier. (Détails à déterminer).
Exigences
Une instance d'Elasticsearch et de Kibana en cours d'exécution. Ensuite, deux instances distinctes du serveur Ubuntu 20.04 : l'une sera utilisée pour l'agent Elastic et l'autre pour Logstash.
Nous supposons que vous avez déjà des domaines mappés à vos instances Elasticsearch et Kibana. Dans notre vidéo, nous avons utilisé elastic.evermight.net et kibana.evermight.net.
Mesures
Étape 1 - Télécharger Elastic Agent [02:20]
Téléchargez le package Elastic Agent sur la machine Ubuntu qui servira Elastic Agent.
Visit https://www.elastic.co/downloads/elastic-agent pour trouver le dernier package.
Déballer avec tar xvfz <file you downloaded>.
Étape 2 – Utiliser Elastic Agent avec la sortie Elasticsearch [02:54]
Il devrait y avoir un ~/elastic-agent.yml fichier de l'étape 1.
Modifiez ces champs pour le ~/elastic-agent.yml pour la connexion à votre serveur Elasticsearch
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Si vous utilisez des certificats auto-signés, vous devrez peut-être copier l'autorité de certification sur cette machine et la référencer avec le ssl.certificate_authorities champ tel que mentionné dans cette documentation :
Configuration SSL de l'agent élastique- Nous n’avons pas encore testé cette approche.
Démarrez votre agent élastique avec cette commande :
./elastic-agent install
... answer No to fleet server
Confirmez le succès en allant sur Kibana et accédez au menu pour cliquer Gestion de la pile > Gestion des index > Flux de données. Vous remarquerez certains flux de données tels que logs-elastic_agent* et metrics-elastic*.
Étape 3 – Utiliser Elastic Agent avec la sortie Logstash [07:52]
Configurer Logstash
Accédez à l'autre machine Ubuntu sur laquelle vous prévoyez d'exécuter Logstash. Exécutez ces commandes pour installer Logstash.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
apt-get install -y apt-transport-https;
apt-get install -y logstash;
Créez un fichier de configuration de pipeline Logstash. Nous le ferons comme suit :/root/logstash.conf avec le contenu suivant :
input {
elastic_agent {
port => 5044
}
}
output {
stdout {}
}
Démarrez Logstash avec cette commande :
/usr/share/logstash/bin/logstash -f /root/logstash.conf
Note The -f /root/logstash.conf Il faut utiliser des chemins absolus. J'ai constaté que les chemins relatifs ne fonctionnent pas.
Configurer et démarrer Elastic Agent
Modifiez ces champs pour le ~/elastic-agent.yml pour la connexion à votre instance Logstash
...etc...
outputs:
default:
type: logstash
hosts: ["<ip address of logstash server>:5044"]
...etc...
Vous devez maintenant désinstaller et réinstaller l'agent élastique pour exécuter une nouvelle instance d'agent élastique :
``` /usr/bin/elastic-agent uninstall ...répondez aux invites
~/elastic-agent install ...répondre Non au serveur de flotte
```
Confirmez que le serveur Logstash imprime le contenu.
Sortie Logstash vers Elasticsearch
Vous pouvez également demander à Logstash d'envoyer des données à Elasticsearch en ajoutant une autre étape de sortie.
``` entrée { elastic_agent { port => 5044 } } sortie { stdout {} elasticsearch { hôtes => ["elastic.evermight.net:9200"] ssl => true utilisateur => "elastic" mot de passe => "changeme" index => "lslogs" } }
```
Étape 4 - Ajouter l'intégration [14:34]
Vous pouvez mettre à jour un agent élastique pour y inclure une stratégie supplémentaire. Nous allons illustrer cela en ajoutant le serveur Web Apache à l'un des deux serveurs des étapes précédentes disposant déjà d'un agent élastique.
Désinstallez l'agent élastique (car il sera remplacé plus tard) avec cette commande :
/usr/bin/elastic-agent uninstall
...answer any prompts
Installer le serveur Web Apache avec apt-get install -y apache2.
Accédez à votre navigateur et visitez http://<ip address of server> pour confirmer que le site Web est fonctionnel.
Allez sur Kibana, cliquez sur le Menu et aller à Intégrations. Recherchez ensuite le serveur HTTP Apache.
Presse Serveur HTTP Apache.
Presse Ajouter un serveur HTTP Apache.
Faites défiler vers le bas et appuyez sur Enregistrer et continuer.
Presse Ajoutez Elastic Agent à vos hôtes.
Cliquez sur Exécuter de manière autonome.
Cliquez sur Copier dans le presse-papiers.
Retournez sur votre serveur et créez-en un nouveau elastic-agent.yml fichier et collez le code depuis votre presse-papiers.
Modifiez les informations d'identification dans le elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Démarrez votre agent élastique avec cette commande :
./elastic-agent install
... answer No to fleet server
Visit Kibana > Intégrations > Serveur HTTP Apache > Ressources et cliquez sur l'un des tableaux de bord pour confirmer que les données sont arrivées. Vous pouvez également confirmer en allant sur Kibana > Gestion de la pile > Gestion des index > Flux de données et vous devriez en voir certains qui sont liés à Apache.
Débogage
Si vous rencontrez des problèmes, vous pouvez trouver les journaux de l'agent élastique dans :
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Fenêtres :C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\