Installatie van ELK (Elasticsearch, Logstash & Kibana)

Om alle log files, event logs e.d. te verzamelen en te kunnen doorzoeken gebruiken wij ELK. ELK is een verzameling van een aantal pakketten, namelijk: Elasticsearch, Logstash en Kibana
In deze blogpost leggen we uit hoe je ELK kunt installeren. Om te beginnen heb je een standaard minimale installatie nodig van CentOS. Uiteraard kan het ook op Debian/Ubuntu.

Installatie van Java  (JDK)

Java is er in een aantal smaken: JRE en JDK. Daarnaast kun je voor beide pakketten kiezen uit de open source variant, OpenJRE of OpenJDK en de closed sourced varianten van Oracle. Wij gebruiken de closed source JDK van Oracle.

Voor het gemak verifiëren we dat er geen Java geïnstalleerd is:

java -version
-bash: java: command not found

Geen Java aanwezig dus we gaan verder met het downloaden en installeren van de RPM. Doorloop hiervoor de volgende stappen:

 1. Ga naar de volgende website: http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
 2. Accepteer de license agreement
 3. Kopieer de download link. In Google chrome is dat rechts klikken op de link -> Copy link address. Je hebt de versie: linux-x64.rpm nodig
 4. Plak de link vervolgens in het volgende commando tussen de laatste qoutes: wget –no-cookies –no-check-certificate –header “Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com%2F; oraclelicense=accept-securebackup-cookie” “”
 5. Op dit moment krijg je dan het volgende commando:wget –no-cookies –no-check-certificate –header “Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com%2F; oraclelicense=accept-securebackup-cookie” “http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm”
 6. Als je dit op je CentOS server uitvoert en je krijgt de melding: -bash: wget: command not found kun je dat op lossen door het volgende uit te voeren:# sudo yum install wget
 7. Eenmaal gedownload gaan we het pakket installeren met (de versie kan uiteraard verschillen):# sudo rpm -ivh jdk-8u144-linux-x64.rpm

Als je nu weer het commando java -version uitvoert krijg je zoiets terug:

java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Installatie van Elasticsearch

De installatie van Elasticsearch is vrij eenvoudig en bestaat uit de volgende 4 stappen:

 1. Importeer eerst de GPG key voor de RPM package manager:
  # sudo rpm –import http://packages.elastic.co/GPG-KEY-elasticsearch
 2. Maak in de directory /etc/yum.repos.d het volgende bestand aan: elasticsearch.repo (# sudo nano /etc/yum.repos.d/elasticsearch.repo) en voeg het volgende in:
  [elasticsearch-5.x]
  name=Elasticsearch repository for 5.x packages
  baseurl=https://artifacts.elastic.co/packages/5.x/yum
  gpgcheck=1
  gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
  enabled=1
  autorefresh=1
  type=rpm-md
 3. Installeer Elasticsearch
  # sudo yum install elasticsearch

Aangezien er wordt aangegeven dat de service niet automatisch gestart wordt, is het een goed moment om dit gelijk te regelen.

 1. Voer het volgende commando uit:
  # sudo systemctl enable elasticsearch 
 2. Start Elasticsearch met:
  # sudo service elasticsearch start

Als alles goed is gegaan:

Starting elasticsearch (via systemctl): [ OK ]

Installeren van Kibana

De stappen voor het installeren van Kibana zijn vergelijkbaar met die van Elasticsearch. Aangezien de GPG key hetzelfde is voor de 3 pakketten hoeven we deze niet opnieuw te importeren.

 1. # sudo nano /etc/yum.repos.d/kibana.repo
 2. Kopieër het volgende naar het kibana.repo bestand:
  [kibana-4.4]
  name=Kibana repository for 4.4.x packages
  baseurl=http://packages.elastic.co/kibana/4.4/centos
  gpgcheck=1
  gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch
  enabled=1
 3. Installeer Kibana met:
  # sudo yum install kibana
 4. Voer het volgende commando uit:
  # sudo chkconfig kibana on
 5. Start Kibana met:
  # sudo service kibana start

Installeren van Logstash

Als laatste voor nu gaan we Logstash installeren. Ook dit is vergelijkbaar met de vorige installaties.

 1. # sudo nano /etc/yum.repos.d/logstash.repo
 2. Kopieër het volgende naar het logstash.repo bestand:
  [logstash-2.2]
  name=logstash repository for 2.2 packages
  baseurl=http://packages.elasticsearch.org/logstash/2.2/centos
  gpgcheck=1
  gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
  enabled=1
 3. Installeer Logstash met:
  # sudo yum install logstash
 4. Voer het volgende commando uit:
  # sudo chkconfig logstash on
 5. Start Logstash met:
  # sudo service logstash start

Afronding

In principe is de ELK stack nu geinstalleerd al zal deze nog niet veel doen. Aangezien de firewall standaard aan staat kun je er op dit moment nog niet bij. Je kunt de firewall uitzetten of de nodige regels toevoegen.

Het uitzetten van de firewall kan tijdelijk:

# sudo iptables -F

Of iets minder tijdelijk:

# sudo systemctl disable firewalld

 

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *