Elasticsearch-Einrichtung für Log-Analyse

Elasticsearch ist die führende Open-Source-Suchmaschine für die zentralisierte Log-Analyse. Zusammen mit Logstash und Kibana bildet es den ELK Stack, der es ermöglicht, große Mengen von Log-Daten zu sammeln, zu verarbeiten, zu durchsuchen und zu visualisieren. Diese Anleitung führt Sie durch die vollständige Einrichtung.

Elasticsearch installieren und konfigurieren

Fügen Sie das offizielle Elastic-Repository hinzu und installieren Sie Elasticsearch:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update
sudo apt install elasticsearch

Konfigurieren Sie die grundlegenden Einstellungen in /etc/elasticsearch/elasticsearch.yml:

cluster.name: log-analysis
node.name: node-1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
discovery.type: single-node
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

Passen Sie die JVM-Heap-Größe in /etc/elasticsearch/jvm.options.d/heap.options an:

-Xms4g
-Xmx4g

Starten Sie Elasticsearch und überprüfen Sie den Status:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch
curl -k https://localhost:9200

Logstash-Pipeline einrichten

Installieren Sie Logstash und erstellen Sie eine Pipeline für Syslog-Verarbeitung:

sudo apt install logstash

Erstellen Sie die Pipeline-Konfiguration unter /etc/logstash/conf.d/syslog.conf:

input {
  beats {
    port => 5044
  }
}

filter {
  grok {
    match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} %{DATA:program}(?:\[%{POSINT:pid}\])?: %{GREEDYDATA:log_message}" }
  }
  date {
    match => [ "timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
  }
}

output {
  elasticsearch {
    hosts => ["https://localhost:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
    user => "elastic"
    password => "${ES_PASSWORD}"
    ssl_certificate_verification => true
  }
}

Grok-Patterns zerlegen die Syslog-Nachrichten in strukturierte Felder. Der Date-Filter parst die Zeitstempel korrekt, damit sie in Elasticsearch als Zeitfeld indiziert werden.

Index Lifecycle Management

Konfigurieren Sie ILM, um Indizes automatisch zu verwalten und Speicherplatz effizient zu nutzen:

curl -X PUT "https://localhost:9200/_ilm/policy/logs-policy" -H 'Content-Type: application/json' -u elastic -d '
{
  "policy": {
    "phases": {
      "hot": { "actions": { "rollover": { "max_size": "50GB", "max_age": "1d" } } },
      "warm": { "min_age": "7d", "actions": { "shrink": { "number_of_shards": 1 }, "forcemerge": { "max_num_segments": 1 } } },
      "delete": { "min_age": "30d", "actions": { "delete": {} } }
    }
  }
}'

Diese Policy rollt Indizes nach 50 GB oder einem Tag über, verschiebt sie nach 7 Tagen in die Warm-Phase mit reduzierter Shard-Anzahl und löscht sie nach 30 Tagen automatisch.

Kibana-Dashboards einrichten

Installieren Sie Kibana und stellen Sie die Verbindung zu Elasticsearch her:

sudo apt install kibana
sudo systemctl enable kibana
sudo systemctl start kibana

Konfigurieren Sie die Elasticsearch-Verbindung in /etc/kibana/kibana.yml:

server.host: "0.0.0.0"
elasticsearch.hosts: ["https://localhost:9200"]
elasticsearch.username: "kibana_system"
elasticsearch.password: "${KIBANA_PASSWORD}"

Öffnen Sie Kibana unter http://server-ip:5601, erstellen Sie ein Data View für syslog-* und beginnen Sie mit der Erstellung von Dashboards zur Überwachung Ihrer Infrastruktur. Nutzen Sie Lens-Visualisierungen für schnelle Analysen und speichern Sie häufig verwendete Abfragen als gespeicherte Suchen.

Frequently Asked Questions

Wie viel Arbeitsspeicher benötigt Elasticsearch mindestens?

Elasticsearch benötigt mindestens 2 GB RAM, wobei für Produktionsumgebungen 8-16 GB empfohlen werden. Die JVM-Heap-Größe sollte auf maximal die Hälfte des verfügbaren RAM gesetzt werden und 32 GB nicht überschreiten, da sonst die JVM Compressed Oops deaktiviert.

Was ist der ELK Stack und wie arbeiten die Komponenten zusammen?

Der ELK Stack besteht aus Elasticsearch (Suchmaschine und Speicher), Logstash (Datenverarbeitung und -transformation) und Kibana (Visualisierung und Dashboards). Logs werden von Logstash gesammelt, verarbeitet und an Elasticsearch gesendet, wo sie über Kibana durchsucht und visualisiert werden können.

Wie konfiguriere ich Index Lifecycle Management in Elasticsearch?

Erstellen Sie eine ILM-Policy mit Phasen wie hot, warm, cold und delete. In der hot-Phase werden aktiv geschriebene Indizes gespeichert, in der warm-Phase ältere Daten mit reduzierter Replikation, und in der delete-Phase werden Indizes nach dem definierten Alter automatisch gelöscht.

Wie sichere ich meinen Elasticsearch-Cluster ab?

Aktivieren Sie die X-Pack-Sicherheitsfunktionen, konfigurieren Sie TLS-Verschlüsselung für die Kommunikation zwischen Knoten und Clients, richten Sie Benutzerauthentifizierung ein und beschränken Sie den Netzwerkzugriff über Firewall-Regeln. Binden Sie Elasticsearch niemals an eine öffentliche IP-Adresse.

Elasticsearch-Einrichtung für Log-Analyse

Elasticsearch installieren und konfigurieren

Logstash-Pipeline einrichten

Index Lifecycle Management

Kibana-Dashboards einrichten

Frequently Asked Questions

Verwandte Artikel

Lynis: Linux-Sicherheitsaudit und Systemhärtung

Python fuer Systemadministratoren: Infrastrukturaufgaben Automatisieren

Bash Scripting fuer Sysadmins: Der unverzichtbare Leitfaden