ELK菜鸟手记 (三)

时间:2022-09-20 17:43:57

 

0. 背景

我们在使用ELK进行日志记录的时候,通过网址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志,

但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全,我们应该设置相应的用户名和密码,

只有通过登录用户名和密码才能通过Kibana查看我们的日志。

 

1. 在elasticsearch 2.x的版本是怎么做的

笔者网上查了一些博文,大部分推荐的是通过给elasticsearch安装Shield插件,参考链接如下:

http://blog.csdn.net/xuplus/article/details/51611658

但是,这种做法已经过时了,而且当你从官网下载的elasticsearch的最新版本,笔者写博文时候是5.x(5.2.2)

照着博文上安装插件的做法,根本是不行的

一般博文会建议进入elasticsearch的根目录,执行如下命令: bin/plugin install shield

但是,当你用的是5.x的时候,你会发现根本就没有plugin这条命令,进入es的根目录,发现只有

elasticsearch-plugin这条命令,这是怎么回事呢? 于是笔者上了官网一探究竟(任何时候查找技术,官网永远是最好最权威的选择) 官网给出的解释如下: ELK菜鸟手记 (三)

 

笔者恍然大悟,原来在5.x以后Shield插件已经作为X-Pack的一部分了,所以,必须查找关于X-Pack的相关文档。

 

2. X-Pack是什么?

以下是官网给出的解释:

(X-Pack is an Elastic Stack extension that bundles security, alerting, monitoring, reporting, and graph capabilities into one easy-to-install package.

Prior to Elasticsearch 5.0.0, you had to install separate Shield, Watcher, and Marvel plugins to get the features that are bundled together in X-Pack.

With X-Pack, you no longer have to worry about whether or not you have the right version of each plugin,

just install the X-Pack for the Elasticsearch version you’re running)

X-Pack是Elastic技术栈的扩展,它集安全,提醒,监控,报表以及图标功能于一体。

在Elasticsearch 5.0之前,你必须单独安装Shield插件,还要配套Watcher, Marvel等插件,现在X-Pack把它们都整合到一块儿了。

原来是这样啊!

 

3. 安装X-Pack

3-1) 为elasticsearch安装X-Pack插件

进入 elasticsearch根目录

执行: 

bin/elasticsearch-plugin install x-pack

ELK菜鸟手记 (三)

 

3-2) 配置elasticsearch.yml

进入config目录

修改配置文件,在末尾加上如下行:

action.auto_create_index: .security,.monitoring*,.watches,.triggered_watches,.watcher-history*

这是为elasticsearch增加自动创建索引功能

 

3-3) 启动elasticsearch

bin/elasticsearch

 

3-4) 为Kibana安装X-Pack插件

进入Kibana根目录

执行命令:

bin/kibana-plugin install x-pack

ELK菜鸟手记 (三)

 

3-5) 启动Kibana

bin/kibana

 

3-6) 为Logstash节点安装X-Pack插件

进入Logstash根目录

执行命令:

bin/logstash-plugin install x-pack

 

3-7) 用配置文件启动Logstash

bin/logstash -f config/log4j_multi_input.conf

 

3-8) 验证

浏览器打开路径:

http://localhost:5601/ 你看回到登录对话框如下:ELK菜鸟手记 (三)

默认用户名和密码是:

elastic

changeme

 

4. LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL

这个时候,你可能认为我们已经大功告成了,然而并不是这样。

当你用用户名和密码登录Kibana了以后,你会发现没有任何索引,你之前使用Java程序写的日志到哪里去了呢?

笔者十分纳闷,后来查看了Logstash的控制台,笔者发现了如下错误:

LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL

因为我们刚才安装了X-Pack插件,因此,我们需要在我们logstash的配置文件中指定用户名和密码,不然是没有权限访问的,

笔者的配置文件如下:

input {
file {
path
=> ["/Users/KG/Documents/logs/app-a/*.log"]
type
=> "app-a"
}
file {
path
=> ["/Users/KG/Documents/logs/app-b/*.log"]
type
=> "app-b"
}
}

output {
stdout {
codec
=> rubydebug
}
if [type] == "app-a" {
elasticsearch {
hosts
=> "localhost:9200"
index
=> "app-a-%{+YYYY.MM.dd}"
document_type
=> "log4j_type"
user => elastic
password =>
changeme
}
}
else if [type] == "app-b" {
elasticsearch {
hosts
=> "localhost:9200"
index
=> "app-b-%{+YYYY.MM.dd}"
document_type
=> "log4j_type"
user => elastic
password =>
changeme
}
}
}

红色字体部分为新加的

然后,再次重新启动Logstash

 

5. 无法查看索引下的日志问题解决

好事多磨,我们还是无法在Kibana下看到数据,究竟是怎么一回事呢?

笔者再次查看了logstash的控制台,又发现了如下错误:

logstash outputs elasticsearch error 404 >>index_not_found_exception

上网查了下资料,原来需要在elasticsearch中创建自动索引

还记得刚才我们在elasticsearch.yml配置文件最后一行加的那句代码吗,看一下:

笔者修改如下:

action.auto_create_index: .security,.monitoring*,.watches,.triggered_watches,.watcher-history*,app-a-*,app-b-*

其中红色字体部分为笔者测试程序所用的索引

再次重新启动elasticsearch

 

6. 最后的验证

好了,笔者使用Java代码进行验证(之前的博文中有提到怎么使用log4j进入日志到ELK)

ELK菜鸟手记 (三)

 

再次访问Kibana,...看到如下结果:

ELK菜鸟手记 (三)

 

好了,这回真的成功了,哈哈,是不是很有成就感啊?^_^