Elasticsearch + Kibanaでシステムログ表示

投稿日:

前回はDMARCレポートを表示できるようにしたのに引き続き、今度はシステムログをElasticsearch + Kibanaでいい感じに表示しようとしているときの覚書。

環境: CentOS Steam 9, Elasticsearch 8.11.3, Kibana 8.11.3

Elasticsearchのバージョン確認。
# /usr/share/elasticsearch/bin/elasticsearch --version

Version: 8.11.3, Build: rpm/64cf052f3b56b1fd4449f5454cb88aca7e739d9a/2023-12-08T11:33:53.634979452Z, JVM: 21.0.1

Kibanaのバージョンはログインして右上のタイヤっぽいアイコンをクリック。 


1."System" IntegrationをKibanaからインストール

大人しく公式サイトを読みながら進める。

Kibanaの画面に表示された手順通りに行った。

手順

  1. kibanaログイン後のトップにある"Add interrations"
  2. "system"で検索
  3. "System"を選択して右上の"Add System"
  4. 設定変更
    Windows event logはオフ
  5. 右下の"Save and continue"
  6. "Add Elastic Agent to your hosts"
  7. "Add Fleet Server"
  8. "Generate Fleet Server policy"
  9. Fleet Serverをインストール。
    # cd /opt/software/
    # curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.11.3-linux-x86_64.tar.gz
    # tar xzvf elastic-agent-8.11.3-linux-x86_64.tar.gz
    # cd elastic-agent-8.11.3-linux-x86_64
    # ./elastic-agent install --fleet-server-es=https://111.22.33.44:9200 --fleet-server-service-token=AAEA...QQ --fleet-server-policy=fleet-server-policy --fleet-server-es-ca-trusted-fingerprint=544...01 --fleet-server-port=8220
  10. "Continue enrolling Elastic Agent"
  11. 画面に従いElastic Agentの設定変更
    # less /opt/Elastic/Agent/elastic-agent.yml
  12. Elastic Agentをインストール。
    # cd /opt/software/
    # curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.11.3-linux-x86_64.tar.gz
    # tar xzvf elastic-agent-8.11.3-linux-x86_64.tar.gz
    # cd elastic-agent-8.11.3-linux-x86_64
    # ./elastic-agent install
    エラー「Error: already installed at: /opt/Elastic/Agent」
    よく見たらFleet Serverをインストールしたときのコマンドと一緒だった。

サービスがインストールされたようなので確認。
# systemctl list-unit-files -t service

elastic-agent.service                      enabled         disabled

elastic-agentを確認。
# systemctl status elastic-agent

Fleet Serverはelastic-agentのサブプロセスとして動作しているらしい。
参考: What is Fleet Server? | Fleet and Elastic Agent Guide [8.11] | Elastic

KibanaメニューのManagement | Fleetから確認する。


2.Fleet Serverとは?

Fleet Serverは各Elastic Agentを管理する仕組み。

各Elastic AgentはFleet Serverにアクセスする。
データ自体は各Elastic Agentから直接Elasticsearchに送られる。


3.Elastic Agentをアンインストール。

いろいろ試して、Elasticsearchへのアクセス方法を変えたのでElastic Agentをアンインストールしてみた。

公式サイトを参考に。

手順メモ

  1. KibanaメニューのManagement | Fleet > Agentsで"Uninstall agent"を選択するとアンインストールするコマンドが表示される。
  2. コマンド実行
    # elastic-agent uninstall --uninstall-token 5195c9...9e
  3. サービスとファイルがないのを確認。
    # systemctl list-unit-files -t service
    # ls /opt/Elastic/
  4. Kibanaの画面に残っているので"Unenroll agent"。
  5. Agent policiesから全て"Delete policy"。
    画面を更新しないと残ったままだった。



【関連記事】