Sommaire
Installation
Elasticsearch
https://www.elastic.co/guide/en/elasticsearch/reference/8.10/deb.html
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.10.2-amd64.debwget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.10.2-amd64.deb.sha512 # récupère la signature du .deb téléchargésha512sum -c elasticsearch-8.10.2-amd64.deb.sha512 # vérifie que la signature est OK et si c’est le cas renvoie : elasticsearch-8.10.2-amd64.deb: Réussisudo dpkg -i elasticsearch-8.10.2-amd64.deb # installation du .deb
A la fin de l’installation d’elasticsearch, on obtient un résumé :
Note : enregistrer ce résumé dans un fichier texte, ça sera utile pour la suite, notamment pour le mot de passe donné pour le superutilisateur elastic
Kibana
https://www.elastic.co/guide/en/kibana/8.10/deb.html
wget https://artifacts.elastic.co/downloads/kibana/kibana-8.10.2-amd64.debsha512sum kibana-8.10.2-amd64.deb # comparaison signaturesudo dpkg -i kibana-8.10.2-amd64.deb # installation
Une fois Kibana installé, on démarre elasticsearch et on crée un « enrolment token » pour kibana :sudo systemctl start elasticsearch.servicesudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana
Enregistrer le code de l’enrollment token dans un fichier txt
Puis on démarre kibana : sudo systemctl start kibana.service
Première connexion
Les 2 services elasticsearch et kibana étant démarrés, on accède alors à l’interface web de kibana : http://localhost:5601 :
Il faut ici coller l’enrollment token généré pour kibana, puis on clique sur ‘configure elastic’
Un code de vérification est alors demandé :
Pour retrouver ce code de vérification, il faut lancer le programme kibana-verification-code qui se trouve dans le dossier /usr/share/kibana/bin :cd /usr/share/kibana/binsudo sh kibana-verification-code
Le code de vérification de 6 chiffres est alors renvoyé
Une fois le code entré, la configuration d’elasticsearch se lance :
Note : Si la configuration reste bloquée sur ‘Completing setup‘, essayer de rafraîchir la page; si ça ne marche toujours pas, arrêter le service kibana et le relancer
On arrive ensuite sur la page d’authentification d’elasticsearch :
user : elastic
pass : c’est le mot de passe donné dans le résumé fourni à la fin de l’installation d’elasticsearch
On arrive sur la page d’accueil elastic :
Logstash
On télécharge l’archive logstash-8.10.2-amd64.deb ici : https://www.elastic.co/fr/downloads/logstash (choisir le .deb)
ou wget https://artifacts.elastic.co/downloads/logstash/logstash-8.10.2-amd64.deb
puis on l’installe : sudo dpkg -i logstash-8.10.2-amd64.deb
On démarre le service logstash et on fait un test pour vérifier le fonctionnement :sudo systemctl start logstash.servicecd /usr/share/logstash # dossier d’installation logstashsudo bin/logstash -e 'input { stdin { } } output { stdout {} }' --path.settings=/etc/logstash
Notes :
La commande ci-dessus doit s’effectuer en sudo (pour que logstash ai les permissions en écriture)
Il faut indiquer le chemin des fichiers de configuration de logstash : path.settings=/etc/logstash
Quand on voit s’afficher « Pipeline main started », on fait le test en tapant au prompt ‘helloworld’ :
On sort de logstash par ‘Ctrl+D’
Pour automatiser le démarrage des services elasticsearch/kibana/logstash :systemctl enable elasticsearch
systemctl enable kibana
systemctl enable logstash
Désinstallation
Quand ça se passe mal :
Pour désinstaller les paquets .deb installés : dpkg --purge elasticsearch et dpkg --purge kibana
Utilisation
On commence par modifier le mot de passe de l’utilisateur elastic (icone E en haut à droite) :
Premier test avec l’agent FileBeat
Introduction
Chaque agent doit être installé sur la machine à surveiller
On va faire un premier test en installant FileBeat sur un VPS hébergé chez OVH
Installation et configuration FileBeat
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.10.2-amd64.debdpkg -i filebeat-8.10.2-amd64.deb