Hướng dẫn cài đặt elasticsearch server windows

Download thông qua trang chủ của Elastic, chú ý phiên bản của Windows để download đúng bản cần dùng :

https://www.elastic.co/downloads/beats/winlogbeat

- Bước 2:

Chuyển file vừa giải nén sang C:\Program Files , đổi tên file vừa giải nén từ winlogbeat-version thành winlogbeat.

- Bước 3:

Truy cập PowerShell với quyền Admin (Chuột phải biểu tượng PowerShell và chọn Run as Administrator)

- Bước 4:

+ Thực thi chuỗi lệnh sau vào PowerShell.

cd 'C:\Program Files\winlogbeat'

.\install-service-winlogbeat.ps1

+ Cài đặt thành công nếu hiện thông báo sau, nhập R

+ Lưu ý: Nếu việc thực thi tập lệnh bị vô hiệu hóa trên hệ thống, ta cần đặt chính sách thực thi cho phiên hiện tại để cho phép tập lệnh chạy.

+ Ví dụ:

PowerShell.exe -ExecutionPolicy UnRestricted -File.\install-service-winlogbeat.ps1.

- Bước 5:

+ Cấu hình lại file winlogbeat.yml trong folder winlogbeat vừa cài đặt. Nên tùy chỉnh lại bằng ứng dụng notepad++.

+ Đặt địa chỉ IP mặc định cho máy chủ nhận log ,trong ví dụ trong bài chẳng hạn từ localhost thành 10.1.15.243 ở 2 mục setup.kibana và output.elasticsearch như sau :

+ Cài đặt đường dẫn elasticsearch

+ Thêm password cho username “elastic” như hình.

username: "elastic"

password: "huongdanthuthaplogELK"

- Bước 6:

+ Chạy lệnh sau để thử cấu hình vừa chỉnh sửa lại có đúng không :

.\winlogbeat.exe test config -c .\winlogbeat.yml -e

+ Thực thi cấu hình bằng câu lệnh sau :

.\winlogbeat.exe setup -e

+ Màn hình xuất hiện thông báo kibana dashboards successfully loaded chứng tỏ đã cấu hình thành công.

- Bước 7: + Chạy winlogbeat theo câu lệnh :

Start-Service winlogbeat

+ Có thể kiểm tra winlogbeat có hoạt động không ở tab service bằng câu lệnh:

services.msc

2. Đối với máy chủ linux

2.1 Đối với máy chủ hệ điều hành Ubuntu

- Bước 1:

+ Nếu cài đặt offline thì di chuyển về thư mục etc để giải nén file filebeat.gz vào mục etc. Lưu ý khi cài đặt cần quyền root của server

cd /etc

tar xzvf filebeat.tar.gz

+ Hoặc download trực tiếp bằng câu lệnh sau:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.15.1-linux-x86_64.tar.gz tar xzvf filebeat-7.15.1-linux-x86_64.tar.gz

- Bước 2:

+ Cấu hình filebeat bằng cách chỉnh sửa lại thư mục filebeat.yml trong thư mục filebeat vừa giải nén, trỏ về máy chủ đích (ở TH cài đặt là máy chủ 10.1.15.243)

vim filebeat.yml

+ Cấu hình để trỏ về máy chủ kibana của hệ thống.

+ Cấu hình để trỏ về máy chủ elastic của hệ thống.

+ Lưu lại cấu hình và thoát file cấu hình theo câu lệnh:

:wq!

- Bước 3

+ Bật các module muốn filebeat hỗ trợ lấy log về hệ thống , để kiểm tra các module filebeat đang hỗ trợ sử dụng câu lệnh:

filebeat modules list

+ Để lấy log system của hệ thống sử dụng câu lệnh:

filebeat modules enable system

- Bước 4: + Kiểm tra cấu hình theo câu lệnh sau:

filebeat setup -e

+ Cấu hình đúng trả về kết quả như sau:

- Bước 5:

+ Khởi động filebeat sử dụng các câu lệnh sau:

sudo chown root filebeat.yml

sudo chown root modules.d/system.yml

sudo filebeat -e

2.2 Đối với máy chủ hệ điều hành Centos

- Bước 1:

+ Nếu cài đặt offline thì di chuyển về thư mục etc để giải nén file filebeat.gz vào mục etc. Lưu ý khi cài đặt cần quyền root của server.

cd /etc

tar xzvf filebeat.tar.gz

+ Hoặc download trực tiếp bằng câu lệnh sau:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.15.1-linux-x86_64.tar.gz tar xzvf filebeat-7.15.1-linux-x86_64.tar.gz

- Bước 2:

+ Cấu hình filebeat bằng cách chỉnh sửa lại thư mục filebeat.yml trong thư mục filebeat vừa giải nén, trỏ về máy chủ đích (ở TH cài đặt là máy chủ 10.1.15.243)

vim filebeat.yml

+ Cấu hình để trỏ về máy chủ kibana của hệ thống.

+ Cấu hình để trỏ về máy chủ elastic của hệ thống.

+ Lưu lại cấu hình và thoát file cấu hình theo câu lệnh:

:wq!

- Bước 3

+ Bật các module muốn filebeat hỗ trợ lấy log về hệ thống , để kiểm tra các module filebeat đang hỗ trợ sử dụng câu lệnh:

./filebeat modules list

+ Để lấy log system của hệ thống sử dụng câu lệnh:

./filebeat modules enable system

- Bước 4: + Kiểm tra cấu hình theo câu lệnh sau:

./filebeat setup -e

+ Cấu hình đúng trả về kết quả như sau:

- Bước 5:

+ Khởi động filebeat sử dụng các câu lệnh sau:

sudo chown root filebeat.yml

sudo chown root modules.d/system.yml

sudo ./filebeat -e

2.3 Đối với máy chủ hệ điều hành Debian

- Bước 1:

+ Cập nhật apt nếu cần thiết, cài đặt để có thể sử dụng các câu lệnh trong Debian như sudo…

apt update

apt get install sudo

+ Nếu cài đặt offline thì di chuyển về thư mục etc để giải nén file filebeat.db vào mục etc. Lưu ý khi cài đặt cần quyền root của server.

cd /etc

sudo dpkg -i filebeat.deb

+ Hoặc download trực tiếp bằng câu lệnh sau:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.15.1-amd64.deb sudo dpkg -i filebeat-7.15.1-amd64.deb

- Bước 2:

+ Cấu hình filebeat bằng cách chỉnh sửa lại thư mục filebeat.yml trong thư mục filebeat vừa giải nén, trỏ về máy chủ đích (ở TH cài đặt là máy chủ 10.1.15.243)

vim filebeat.yml

(lưu ý nếu máy chủ chưa cài đặt để sử dụng vim thì dùng câu lệnh apt install vim)

+ Cấu hình để trỏ về máy chủ kibana của hệ thống.

+ Cấu hình để trỏ về máy chủ elastic của hệ thống.

+ Lưu lại cấu hình và thoát file cấu hình theo câu lệnh:

:wq!

- Bước 3

+ Bật các module muốn filebeat hỗ trợ lấy log về hệ thống , để kiểm tra các module filebeat đang hỗ trợ sử dụng câu lệnh:

filebeat modules list

+ Để lấy log system của hệ thống sử dụng câu lệnh:

filebeat modules enable system

- Bước 4: + Kiểm tra cấu hình theo câu lệnh sau:

filebeat setup -e

+ Cấu hình đúng trả về kết quả như sau:

- Bước 5:

+ Khởi động filebeat sử dụng các câu lệnh sau:

sudo service filebeat start

Kết quả thu thập Log

- Sau khi thực hiện cài đặt theo các bước trên phía máy client, nếu máy chủ nhận được log và hiển thị trên Kibana giống như hình dưới đây chứng tỏ việc cài đặt đã thành công. Ví dụ bài hướng dẫn đưa ra là máy client MR-DB2.