wiki/HowtoELK.md

---
title: Howto Stack Elastic
categories: nosql pack
---

Cette documentation décrit l'installation et la configuration de la suite Elastic, anciennement nommée **ELK** (Elasticsearch + Logstash + Kibana).

## Pré-requis

Les composants de la suite doivent être installés à partir du dépôt APT de la société Elastic (éditrice de la suite Elastic)

~~~
# echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" >> /etc/apt/sources.list.d/elastic.list
# cd /etc/apt/trusted.gpg.d
# wget https://artifacts.elastic.co/GPG-KEY-elasticsearch -O GPG-KEY-elasticsearch.asc
# chmod 644 GPG-KEY-elasticsearch.asc
~~~

Pour Elasticsearch et Logstash, il faut avoir Java 1.8, disponible depuis les `jessie-backports`.

~~~
# apt install openjdk-8-jre
# update-alternatives --set java /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java
~~~

## Elasticsearch

Il existe un guide détaillé d'installation et configuation pour Elasticsearch : [HowtoElasticsearch#installation]().

### Installation

~~~
# apt install elasticsearch
~~~

### Démarrage

~~~
# systemctl enable elasticsearch
# systemctl start elasticsearch
~~~

### Configuration

Préciser *node.name* dans le fichier `/etc/elasticsearch/elasticsearch.yml` :

~~~{.yaml}
node.name: bar
~~~

## Logstash

Logstash est un service qui récupère des données depuis des sources variées (ports TCP/UDP, fichiers…), les transforme et les renvois vers des sorties variées (fichiers, Elasticsearch, syslog…).
C'est un logiciel écrit en Ruby, qui tourne sur une JVM (grace à JRuby).

Documentation officielle : <https://www.elastic.co/guide/en/logstash/5.0/index.html>

### Installation

~~~
# apt install logstash
# systemctl enable logstash
# systemctl start logstash
~~~

Dans `/etc/default/logstash` il faut penser à ajuster la ram allouée.

Logstash fait lui-même la rotation et la compression des logs, mais ne les supprime jamais. On peut ajouter ce script en cron :

~~~{.bash}
#!/bin/sh

LOG_DIR=/var/log/logstash
MAX_AGE=365

find ${LOG_DIR} -type f -user logstash -name "logstash.log.*.gz" -mtime +${MAX_AGE} -delete
find ${LOG_DIR} -type f -user root -name "logstash.err.*.gz" -mtime +${MAX_AGE} -delete
find ${LOG_DIR} -type f -user root -name "logstash.stdout.*.gz" -mtime +${MAX_AGE} -delete
~~~

### Configuration

À ce stade, aucun "pipeline" Logstash n'est configuré.
Voir <https://www.elastic.co/guide/en/logstash/5.0/configuration.html>

### Ajout de plugins

Il est possible d'installer des plugins logstash via la commande `logstash-plugin`.

Pour installer par exemple le plugin « logstash-input-jdbc » :

~~~
# cd /usr/share/logstash/
/usr/share/logstash# bin/logstash-plugin install logstash-input-jdbc
Validating logstash-input-jdbc
Installing logstash-input-jdbcio/console on JRuby shells out to stty for most operations
Installation successful
~~~

## Kibana

Kibana est une interface de visualisation des donnes stockées dans Elasticsearch.
C'est un logiciel écrit principalement en NodeJS, où tout est embarqué dans un processus principal.

Documentation officielle : <https://www.elastic.co/guide/en/kibana/5.0/index.html>

### Installation

~~~
# apt install kibana
~~~

~~~
# vim /etc/logrotate.d/kibana
/var/log/kibana/*.log {
        daily
        rotate 7
        copytruncate
        compress
        delaycompress
        missingok
        notifempty
}
~~~

### Démarrage

~~~
# systemctl enable kibana
# systemctl start kibana
~~~

L'interface principale est disponible sur <http://127.0.0.1:5601/>

### Proxy

Kibana ne gère pas d'authentification. Pour le rendre accessible de manière sécurisée, il est conseillé de le placer derrière un reverse proxy, par exemple Nginx.

~~~
upstream kibana {
  server 127.0.0.1:5601 fail_timeout=0;
}
server {
  charset utf-8;

  # ajouter les règles d'authentification

  listen         _IP_PUBLIQUE_:80;
  server_name    _HOSTNAME_;

  location / {
    proxy_redirect off;
    proxy_pass http://kibana/;
    proxy_set_header    X-Real-IP   $remote_addr;
    proxy_set_header    X-Forwarded-For  $proxy_add_x_forwarded_for;
    proxy_set_header    X-Forwarded-Proto  $scheme;
    proxy_set_header    X-Forwarded-Server  $host;
    proxy_set_header    X-Forwarded-Host  $host;
    proxy_set_header    Host  $host;
  }
}
~~~

## Conseils

* utiliser des certificats SSL (nativement géré par les logiciels) pour que les données circulent de manière chiffrée (surtout entre filebeat et logstash, car ça passe par Internet).

## Support

Une grille officielle de support est disponible sur <https://www.elastic.co/support/matrix> Elle couvre la compatibilité avec les OS, JVM, navigateurs…

La politique de durée de support des versions est disponible sur <https://www.elastic.co/support/eol>
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`---`
nouveau nom, on laisse ELK que dans l'URL :p 2016-10-13 11:22:59 +02:00			`title: Howto Stack Elastic`
relecture et simplification de la partie elasticsearch avec liens vers HowtoElasticsearch 2016-10-11 00:17:44 +02:00			`categories: nosql pack`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`---`

nouveau nom, on laisse ELK que dans l'URL :p 2016-10-13 11:22:59 +02:00			`Cette documentation décrit l'installation et la configuration de la suite Elastic, anciennement nommée ELK (Elasticsearch + Logstash + Kibana).`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`## Pré-requis`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`Les composants de la suite doivent être installés à partir du dépôt APT de la société Elastic (éditrice de la suite Elastic)`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`~~~`
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`# echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" >> /etc/apt/sources.list.d/elastic.list`
Ne pas conseiller l’utilisationt d’apt-key(8) 2022-11-24 12:05:11 +01:00			`# cd /etc/apt/trusted.gpg.d`
			`# wget https://artifacts.elastic.co/GPG-KEY-elasticsearch -O GPG-KEY-elasticsearch.asc`
			`# chmod 644 GPG-KEY-elasticsearch.asc`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`~~~`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			Pour Elasticsearch et Logstash, il faut avoir Java 1.8, disponible depuis les `jessie-backports`.
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`~~~`
			`# apt install openjdk-8-jre`
			`# update-alternatives --set java /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java`
			`~~~`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`## Elasticsearch`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`Il existe un guide détaillé d'installation et configuation pour Elasticsearch : [HowtoElasticsearch#installation]().`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Installation`

			`~~~`
			`# apt install elasticsearch`
			`~~~`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Démarrage`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`~~~`
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`# systemctl enable elasticsearch`
			`# systemctl start elasticsearch`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`~~~`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Configuration`
ELK: systemctl enable 2016-09-28 10:39:00 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			Préciser node.name dans le fichier `/etc/elasticsearch/elasticsearch.yml` :
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`~~~{.yaml}`
			`node.name: bar`
			`~~~`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`## Logstash`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`Logstash est un service qui récupère des données depuis des sources variées (ports TCP/UDP, fichiers…), les transforme et les renvois vers des sorties variées (fichiers, Elasticsearch, syslog…).`
			`C'est un logiciel écrit en Ruby, qui tourne sur une JVM (grace à JRuby).`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`Documentation officielle : <https://www.elastic.co/guide/en/logstash/5.0/index.html>`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Installation`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`~~~`
ELK/Elasticsearch: retrait de mentions à Git et apt update 2016-09-28 11:50:19 +02:00			`# apt install logstash`
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`# systemctl enable logstash`
			`# systemctl start logstash`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`~~~`

			Dans `/etc/default/logstash` il faut penser à ajuster la ram allouée.

typo 2017-10-27 09:59:56 +02:00			`Logstash fait lui-même la rotation et la compression des logs, mais ne les supprime jamais. On peut ajouter ce script en cron :`
Nettoyage des logs de Logstash 2017-10-27 09:59:39 +02:00
			`~~~{.bash}`
			`#!/bin/sh`

			`LOG_DIR=/var/log/logstash`
			`MAX_AGE=365`

			`find ${LOG_DIR} -type f -user logstash -name "logstash.log.*.gz" -mtime +${MAX_AGE} -delete`
			`find ${LOG_DIR} -type f -user root -name "logstash.err.*.gz" -mtime +${MAX_AGE} -delete`
			`find ${LOG_DIR} -type f -user root -name "logstash.stdout.*.gz" -mtime +${MAX_AGE} -delete`
			`~~~`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Configuration`
ELK: systemctl enable 2016-09-28 10:39:00 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`À ce stade, aucun "pipeline" Logstash n'est configuré.`
			`Voir <https://www.elastic.co/guide/en/logstash/5.0/configuration.html>`
ELK: systemctl enable 2016-09-28 10:39:00 +02:00
Ajout procédure d'installation de plugins pour logstash 2020-10-05 16:35:47 +02:00			`### Ajout de plugins`

			Il est possible d'installer des plugins logstash via la commande `logstash-plugin`.

			`Pour installer par exemple le plugin « logstash-input-jdbc » :`

			`~~~`
			`# cd /usr/share/logstash/`
			`/usr/share/logstash# bin/logstash-plugin install logstash-input-jdbc`
			`Validating logstash-input-jdbc`
			`Installing logstash-input-jdbcio/console on JRuby shells out to stty for most operations`
			`Installation successful`
			`~~~`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`## Kibana`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`Kibana est une interface de visualisation des donnes stockées dans Elasticsearch.`
			`C'est un logiciel écrit principalement en NodeJS, où tout est embarqué dans un processus principal.`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`Documentation officielle : <https://www.elastic.co/guide/en/kibana/5.0/index.html>`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Installation`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`~~~`
ELK/Elasticsearch: retrait de mentions à Git et apt update 2016-09-28 11:50:19 +02:00			`# apt install kibana`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00			`~~~`

			`~~~`
			`# vim /etc/logrotate.d/kibana`
			`/var/log/kibana/*.log {`
			`daily`
			`rotate 7`
			`copytruncate`
			`compress`
			`delaycompress`
			`missingok`
			`notifempty`
			`}`
			`~~~`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Démarrage`
ELK: systemctl enable 2016-09-28 10:39:00 +02:00
			`~~~`
			`# systemctl enable kibana`
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`# systemctl start kibana`
ELK: systemctl enable 2016-09-28 10:39:00 +02:00			`~~~`

Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`L'interface principale est disponible sur <http://127.0.0.1:5601/>`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`### Proxy`
Kibana: config proxy 2016-09-28 14:06:12 +02:00
			`Kibana ne gère pas d'authentification. Pour le rendre accessible de manière sécurisée, il est conseillé de le placer derrière un reverse proxy, par exemple Nginx.`

			`~~~`
			`upstream kibana {`
			`server 127.0.0.1:5601 fail_timeout=0;`
			`}`
			`server {`
			`charset utf-8;`

			`# ajouter les règles d'authentification`

			`listen _IP_PUBLIQUE_:80;`
			`server_name _HOSTNAME_;`

			`location / {`
			`proxy_redirect off;`
			`proxy_pass http://kibana/;`
			`proxy_set_header X-Real-IP $remote_addr;`
			`proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;`
			`proxy_set_header X-Forwarded-Proto $scheme;`
			`proxy_set_header X-Forwarded-Server $host;`
			`proxy_set_header X-Forwarded-Host $host;`
			`proxy_set_header Host $host;`
			`}`
			`}`
			`~~~`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
Mise à jour pour Elasticsearch et ELK (5.0) 2016-10-24 10:48:48 +02:00			`## Conseils`
Ajout de la doc ELK 2016-09-20 13:12:19 +02:00
			`* utiliser des certificats SSL (nativement géré par les logiciels) pour que les données circulent de manière chiffrée (surtout entre filebeat et logstash, car ça passe par Internet).`
Politique de support officiel 2017-02-07 11:21:07 +01:00
			`## Support`

Liens en MD 2017-02-07 11:25:03 +01:00			`Une grille officielle de support est disponible sur <https://www.elastic.co/support/matrix> Elle couvre la compatibilité avec les OS, JVM, navigateurs…`
Politique de support officiel 2017-02-07 11:21:07 +01:00
Ne pas conseiller l’utilisationt d’apt-key(8) 2022-11-24 12:05:11 +01:00			`La politique de durée de support des versions est disponible sur <https://www.elastic.co/support/eol>`