Elastic Filebeat je lehký nástroj pro přenos logů, který umožňuje monitorování, shromažďování a předávání logovacích souborů do centrálního úložiště, jako je Elasticsearch. Tento článek se zaměřuje na konfiguraci a správu Elastic Filebeat na operačním systému CentOS s cílem efektivně spravovat logovací data. Detailně probereme postup instalace, konfigurace a základní správy Filebeat, stejně jako integraci s Elasticsearch pro centralizované logování.
Instalace Elastic Filebeat na CentOS
-
Přidání Elastic repository Nejprve je potřeba přidat Elastic repository do vašeho systému. Vytvořte nový repozitářový soubor pro YUM:
sudo tee /etc/yum.repos.d/elastic.repo<<EOF
[elastic-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
- Instalace Filebeat Po přidání repozitáře můžete nainstalovat Filebeat pomocí YUM:
sudo yum install filebeat
Po dokončení instalace můžete spustit a povolit Filebeat, aby se automaticky spouštěl při startu systému:
sudo systemctl start filebeat
sudo systemctl enable filebeat
Konfigurace Filebeat pro odesílání logů do Elasticsearch
-
Editace konfiguračního souboru Filebeat Konfigurační soubor pro Filebeat se nachází v /etc/filebeat/filebeat.yml. Otevřete tento soubor v textovém editoru a proveďte potřebné změny:
sudo nano /etc/filebeat/filebeat.yml
- Nastavení cesty k logům V konfiguračním souboru specifikujte cesty k logovacím souborům, které chcete monitorovat. Například:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
-
Konfigurace výstupu do Elasticsearch Dále nastavte výstup Filebeat tak, aby logy odesílal do Elasticsearch. Zadejte adresu vaší Elasticsearch instance:
output.elasticsearch:
hosts: ["localhost:9200"]
Spuštění a ověření funkčnosti Filebeat
-
Aplikace změn konfigurace Po provedení změn v konfiguračním souboru je nutné restartovat službu Filebeat, aby se nová konfigurace použila:
sudo systemctl restart filebeat
-
Ověření přenosu logů Pomocí příkazu filebeat test output můžete ověřit, že Filebeat úspěšně komunikuje s Elasticsearch a odesílá logy:
filebeat test output
Správa a údržba
Pro zajištění hladkého provozu Filebeat a efektivního monitorování logů je důležité pravidelně kontrolovat stav služby, provádět aktualizace a monitorovat výkon. Sledování logů Filebeat a Elasticsearch vám pomůže identifikovat potenciální problémy a zajistit optimální výkon vašeho logovacího systému.
Monitoring a ladění
- Monitoring stavu služby: Pravidelně kontrolujte stav služby Filebeat pomocí
systemctl status filebeat k ověření, že služba běží bez problémů.
- Logování Filebeat: Filebeat ukládá logy o svém provozu, které jsou užitečné pro diagnostiku problémů. Tyto logy najdete ve výchozím nastavení v
/var/log/filebeat/.
- Využití nástrojů pro ladění: Filebeat nabízí nástroje a příkazy pro ladění, jako je
filebeat test config pro ověření vaší konfigurace a filebeat test output pro testování komunikace s výstupními systémy.
Aktualizace a údržba
- Aktualizace Filebeat a Elasticsearch: Udržujte svou instalaci Filebeat a Elasticsearch aktuální, aby byly zabezpečené a využívaly nejnovější funkce. Použijte správce balíčků YUM pro aktualizaci softwaru.
- Zálohování konfigurace: Pravidelně zálohujte konfigurační soubory a další důležitá data. V případě potřeby budete moci rychle obnovit vaši konfiguraci nebo nastavení.
Integrace s Kibana pro vizualizaci logů
Elasticsearch společně s Kibanou poskytuje mocný nástroj pro vizualizaci a analýzu logů. Po úspěšné konfiguraci Filebeat a odeslání logů do Elasticsearch:
- Nastavení Kibany: Ujistěte se, že máte správně nakonfigurovanou Kibanu pro připojení k vaší Elasticsearch instanci.
- Vytvoření index pattern: V Kibaně vytvořte index pattern, který odpovídá indexům vytvořeným Filebeatem (typicky
filebeat-*).
- Prohlížení a analýza logů: Pomocí Kibany můžete prohlížet logy, vytvářet vizualizace a dashboardy pro sledování klíčových metrik a událostí z vašich logovacích dat.
Zabezpečení přenosu logů
V prostředích, kde je zabezpečení klíčové, zvažte šifrování komunikace mezi Filebeat a Elasticsearch pomocí SSL/TLS. To zahrnuje generování a konfiguraci SSL certifikátů pro Elasticsearch a konfiguraci Filebeat, aby používal tyto certifikáty pro šifrované spojení.
- Konfigurace SSL na straně Elasticsearch: Upravte konfiguraci Elasticsearch, aby povolila SSL komunikaci a nahrála příslušné certifikáty.
- Konfigurace Filebeat pro použití SSL: Upravte
filebeat.yml konfigurační soubor, aby odkazoval na vaše SSL certifikáty a klíče pro bezpečné připojení k Elasticsearch.
Efektivní konfigurace a správa Elastic Filebeat na CentOSu pro monitorování, shromažďování a předávání logů do Elasticsearch je klíčová pro zabezpečení, výkon a dostupnost vašich systémů. Pravidelná údržba, aktualizace a monitorování vaší logovací infrastruktury zajistí, že budete mít přístup k důležitým informacím pro analýzu a diagnostiku problémů ve vaší IT infrastruktuře.
