Table of Contents

Installation des paquets

# apt-get install openjdk-8-jre
# wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add -
# apt-get install apt-transport-https
# echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-5.x.list
# apt-get update && sudo apt-get install elasticsearch kibana logstash

Modification des configurations

Elasticsearch

vim /etc/elasticsearch/elasticsearch.yml

Changer le paramètre network.host par l'ip par laquelle vous voulez qu'elasticsearch écoute Changer le paramètre http.port si vous voulez changer le port par défaut 9200

Kibana

vim /etc/kibana/kibana.yml

Changer le paramètre server.host par l'ip par laquelle vous voulez que kibana écoute Changer le paramètre server.port si vous voulez changer le port par défaut 9200 Changer le paramètre elasticsearch.url par l'adresse du serveur elasticsearch

Logstash

Exemple de parser pour des logs apache2 :

# vim /etc/logstash/conf.d/apache2.conf
input {
  file {
    path => "/path/to/access.log"
    start_position => "beginning"
  }
}
filter {
  if [path] =~ "access" {
    mutate { replace => { "type" => "apache_access" } }
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}
output {
  elasticsearch {
    hosts => ["localhost:9200"]
  }
  stdout { codec => rubydebug }
}

Démarrage des services

# service elasticsearch start
# service kibana start

Tests

Entrer l'adresse ip du serveur kibana et le port que vous avez renseigné, ex :

http://localhost:5601