Es posible que después de administrar diferentes máquinas te vuelvas un poco loco/a buscando en los diferentes logs donde se ha producido el error y ni hablamos de lo que tarda cargar la lista de logs en el visor de eventos de windows.
Para eso podemos usar un software super potente, fácil de instalar y lo más importante ¡ Gratis !. Pues si, como estamos hablando y habrás visto en el título se trata de Elasticsearch. Para ello vamos a hacer la instalación en Ubuntu server. Así que sigue estos uno a uno para poder tener un potente gestor de logs y mucho más que iremos viendo en diferentes posts.
Comenzamos a instalar Elasticsearch en Ubuntu Server
Lo primero de todo tenemos que conectarnos via ssh a Ubuntu y preparar el sistema asi que ejecutamos lo siguiente:
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Ahora toca agregar la lista de fuentes de elasticsearch al directorio sources.list.d donde apt buscara nuevas fuentes
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Ahora actualizamos la lista de paquetes
sudo apt update
E instalamos elasticseach
sudo apt install elasticsearch
Simplemente con eso ya tenemos instalado elasticsearch ahora solo debemos de modificar el archivo de configuración de elasticsearch con nuestra información para ello vamos editamos el archivo /etc/elasticsearch/elasticsearch.yml
sudo nano /etc/elasticsearch/elasticsearch.yml
Descomentamos la línea network.host: localhost
# # network.host: localhost #
Guardamos y ya podemos ejecutar elasticsearch con
sudo systemctl start elasticsearch
Y habilitamos que inicie automaticamente al iniciar el sistema
sudo systemctl enable elasticsearch
Para poder comprobar que funciona correctamente elasticsearch podemos ejecutar lo siguiente:
curl -X GET "localhost:9200"
Si todo ha salido bien nos mostrará una serie de líneas parecidas a esto:
{
"name" : "siem-cloud",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "PQIZYmLDReGW5sgqM09bvw",
"version" : {
"number" : "7.15.2",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "93d5a7f6192e8a1a12e154a2b81bf6fa7309da0c",
"build_date" : "2021-11-04T14:04:42.515624022Z",
"build_snapshot" : false, "lucene_version" : "8.9.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1" },
"tagline" : "You Know, for Search"
}
Con esto ya tenemos elasticsearch funcionando ahora vamos por kibana para poder mostrar todos los logs que haya dentro de elasticsearch
Instalación de Kibana en Ubuntu Server
El visualizador de logs del Stack Elasticsearch es Kibana. Este programa se conecta directamente al cluster de elasticsearch y muestra los datos. Para ello requiere un poco de configuración que iremos viendo en diferentes posts. Sin más, vamos a instalar kibana en nuestro servidor
sudo apt install kibana
Kibana, de la misma forma que elasticsearch necesita una configuración mínima, para ello editamos el archivo /etc/kibana/kibana.yml . Tenemos que habilitar el puerto de escucha, la ip del equipo, el nombre del equipo y la ubicación de elasticsearch donde leer los datos. Para ello, descomentamos y modificamos los siguientes parámetros.
server.port: 5601
server.host: "localhost"
server.name: "nombre_del_servidor"
elasticsearch.hosts: ["http://localhost:9200"]
Una vez modificadas y descomentadas estas líneas habilitamos el servicio y ejecutamos kibana
systemctl enable kibana
service kibana start
Una vez ejecutado kibana podemos acceder desde nuestro navegador a la direccion http://Direccion_IP_kibana:5601
Veremos algo como:
Ahora nos falta el tercer elemento que juega un papel fundamental en este juego que es el que programa que filtra, modela y redirige los logs, estamos hablando de Logstash
Instalar Logstash en Ubuntu Server
Logstash necesita una configuración más exhaustiva que veremos en otros posts, por ahora lo dejaremos instalado para partir de la instalación hecha para configurar los logs y enviarlos a elasticsearch. Así que para instalar logstash simplemente ejecutaremos
sudo apt install logstash
Y con esto ya tendremos ELK instalado, en siguientes posts iremos viendo como enviar logs, y gestionarlos.
