type
status
date
slug
summary
tags
category
icon
password
Description
ELK到底是什么鬼?
说到
ELK,这玩意儿其实不是某个单独的软件,而是三个开源工具的组合体:Elasticsearch、Logstash和Kibana的首字母缩写。这三兄弟现在都归属于Elastic.co公司旗下,组成了传说中的ELK技术栈。从Google Trend的数据来看,ELK Stack已经稳稳占据了集中式日志处理方案的C位。Elasticsearch:这是一个基于Apache Lucene打造的分布式搜索分析引擎,拥有高扩展性、高可靠性以及易于管理的特性。它能够对海量数据执行近乎实时的存储、检索和分析任务。许多应用把它当作核心搜索引擎来实现复杂的搜索能力。
Logstash:专门负责数据采集的引擎。这货支持从各种各样的数据源动态收集信息,并且能够对数据进行筛选、解析、增强和格式统一等处理,最后将处理好的数据发送到指定的存储位置。
Kibana:数据分析和可视化的平台。通常和Elasticsearch搭配使用,用来检索、分析数据并以各种统计图表的形式进行展示。
ELK架构搭建思路
整个数据流转过程是这样的:
- 首先通过
Filebeat收集日志数据,然后将这些数据转发给Logstash进行处理;
- 利用
Logstash强悍的数据清洗能力,对原始数据进行各种处理操作,最终将清洗后的数据导入Elasticsearch;
- 最后通过
Kibana实现数据的可视化展示。
Elasticsearch部署配置
首先访问官方网站,根据你的操作系统下载相应的安装包。
执行解压操作:
建立专用用户账户并启动程序:
新版本中包含预设的用户凭证,默认用户名为:
elastic,要查看密码可以执行:也可以手动重置密码:
通过访问9200端口来验证安装是否成功。
Kibana部署配置
同样前往官网下载适合你系统的安装包。
进行解压:
编辑
config/kibana.yml配置文件:启动Kibana服务:
通过访问5601端口检查部署结果。
启动完成后需要配置访问令牌,可以在
elasticsearch目录的bin文件夹中使用elasticsearch-create-enrollment-token工具生成:把生成的token填入即可完成配置。
Logstash部署方案
暂时跳过这一步。
在Kibana中配置Windows Sysmon数据视图
Sysmon部署步骤
将两个文件放在相同目录下,使用管理员权限运行:
如果需要更新配置文件,命令如下:
运行
eventvwr打开事件查看器,导航到应用程序和服务日志→Microsoft→Windows→Sysmon查看监控日志。
Fleet配置流程
针对
Server端配置,在`注意在默认的生成语句后添加:
--insecure 来解决证书的问题。对于
ARM版Windows可以使用msi进行安装,安装后利用enroll命令进行配置。添加集成策略
选择
Agent的代理策略,选择添加集成,添加Windows 集成,在Discover界面中选择创建数据视图。
填写名称,索引模式等信息,索引模式信息为:
logs-windows.sysmon_operational-default ,添加完成后即可查看。
