آموزش نصب و پیکربندی ELK Stack – بخش ۵

ELK-stack

در ادامه ی سلسله مطالب «آموزش نصب و پیکربندی ELK Stack» ، در این مطلب قصد داریم تا Filebeat  را بر روی Client (سرورهایی که قصد داریم تا log آنها را به ELK Stack ارسال نماییم) نصب کنیم و آن ار پیکربندی کنیم. در بخش ۳ از این سلسله مطلب و در قسمت پیکربندی Logstash ما SSL Certificate ایجاد کردیم.اکنون کافیست تا آن SSL Certificate را بر روی Client کپی کنیم.به همین منظور بر روی ماشین Client مسیر زیر را ایجاد کنید :

 

 

[client-server]# mkdir -p /etc/pki/tls/certs

اکنون ssl certificate که بر روی ELK Server ایجاد کردیم  را باید بر روی client server ها کپی کنیم :

 

[ELK-server]# scp /etc/pki/tls/certs/logstash-forwarder.crt [email protected]_server_private_address:/etc/pki/tls/certs

 

نکته اینکه به جای user باید نام کاربری ماشین Client (معمولا کاربر root)  و جای client_server_private_address باید آدرس ماشین Client  را بنویسید.

 

نصب Filebeat :

 

برای نصب filebeat بر روی client سرور ها ابتدا فایل مخزن yum آن را ایجاد کنید :

 

#vi /etc/yum.repos.d/elastic-beats.repo

 

سپس این خطوط را به فایل اضافه کنید :

[elastic-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

 

سپس برای نصب filebeat دستور پایین را اجرا کنید :

 

#yum install filebeat

 

پیکربندی Filebeat :

 

برای پیکربندی filebeat کافیست تا فایل پیکربندی آن را باز کنید :

 

 

#vi /etc/filebeat/filebeat.yml

 

سپس خطوط زیر را درون فایل بنویسید :

 

filebeat.prospectors:
- type: log
enabled: true
paths:
- /var/log/secure
- /var/log/messages

#input_type: log
document_type: syslog

registry_file: /var/lib/filebeat/registry

output.logstash:
hosts: ["elk.fedorafans.com:5044"]
bulk_max_size: 1024
ssl.enabled: true

tls:
certificate_authorities: ["/etc/pki/tls/certs/logstash-forwarder.crt"]

shipper:

logging:
files:
rotateeverybytes: 10485760 # = 10MB

 

از آنجایی که ممکن است فایل پیکربندی در قالب مناسبی اینجا نمایش داده نشود می توانید از تصویر پایین کمک بگیرید :

ELK-Stack-filebeat

 

جهت بررسی درست بودن پیکربندی filebeat کافیست تا دستور پایین را اجرا کنید :

 

 

# filebeat test output

در پایین یک نمونه از خروجی دستور گفته شده را مشاهده می کنید :

 

elk-stack

 

روش دیگر برای بررسی، این می باشد که دستور پایین را بر روی ELK Server اجرا کنید :

 

[ELK-SERVER]# curl -XGET ‘http://localhost:9200/filebeat-*/_search?pretty’

 

در خروجی چنین چیزی  را مشاهده خواهید کرد :

 

ELK-Stack-filebeat

 

اگر همه چیز درست بود می توانید سرویس filebeat را start و enable کنید :

 

# systemctl start filebeat.service

# systemctl enable filebeat.service

 

ادامه دارد …

 

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.