[個人筆記] ELK in docker安裝

  • 3013
  • 0
  • 2020-04-23

玩到一半而已,邊玩邊寫

話說雖然有玩到單一台機器 多Node。但沒時間研究多台機器的話Node要怎設

我是參考這篇  https://logz.io/blog/elk-stack-on-docker/

基本上就是先從git clone下來

1. 先進去docker-compose  修改下裡面預設的密碼

2. kibana/config/kibana.yml 這個路徑下的密碼也要調整

 

然後執行裡面的 docker-compose.yml   (docker compose也要另外apt-get安裝)

docker-compose up -d

然後用curl或瀏覽器(如果對外防火牆已開啟) 測試是否可以連線

 

預設帳密 (如果沒設置的話)

elastic/changeme

 

修改密碼 (有鑑於以前被勒所攻擊...資安加強下)

[POST] {your_api_host}/_security/user/{var_your_account}/_password

postbody
{
	"password": "你的新密碼"
}

Header需要加  Authorization : Basic Base64Encode(帳密:密碼)

 

Kibana很重要的基礎,要查到某個index 要先設定index pattern

 

 

 

假如log紀錄每次API請求,有哪些東西可以分析呢

每支API請求比例  

來源裝置

 
IP位置、IP地區?  
小時、各時段的請求數?  
   
   
   

 

安裝Elasticsearch cluster注意事項

記憶體最少4G 

如果是ubuntu 請先下指令

sudo sysctl -w vm.max_map_count=262144

 

 

查詢type欄位 group by 後 每個type有幾筆 (Terms Aggregation)

{{Elastic_Host}}/{your_index_name}/_search?size=0


{
    "aggs" : {
        "genres" : {
            "terms" : { "field" : "type" } 
        }
    }
}

 

 

 

 

Filebeat相關

在docker中啟動

docker run docker.elastic.co/beats/filebeat:7.6.2 setup -E setup.kibana.host=123.123.123.123:5601 -E output.elasticsearch.hosts=["123.123.123.123:9200"] -E output.elasticsearch.user= -E output.elasticsearch.password=<password>