Es posible que después de administrar diferentes máquinas te vuelvas un poco loco/a buscando en los diferentes logs donde se ha producido el error y ni hablamos de lo que tarda cargar la lista de logs en el visor de eventos de windows.

Para eso podemos usar un software super potente, fácil de instalar y lo más importante ¡ Gratis !. Pues si, como estamos hablando y habrás visto en el título se trata de Elasticsearch. Para ello vamos a hacer la instalación en Ubuntu server. Así que sigue estos uno a uno para poder tener un potente gestor de logs y mucho más que iremos viendo en diferentes posts.

Comenzamos a instalar Elasticsearch en Ubuntu Server

Lo primero de todo tenemos que conectarnos via ssh a Ubuntu y preparar el sistema asi que ejecutamos lo siguiente:

curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Ahora toca agregar la lista de fuentes de elasticsearch al directorio sources.list.d donde apt buscara nuevas fuentes

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Ahora actualizamos la lista de paquetes

sudo apt update

E instalamos elasticseach

sudo apt install elasticsearch

Simplemente con eso ya tenemos instalado elasticsearch ahora solo debemos de modificar el archivo de configuración de elasticsearch con nuestra información para ello vamos editamos el archivo /etc/elasticsearch/elasticsearch.yml

sudo nano /etc/elasticsearch/elasticsearch.yml

Descomentamos la línea network.host: localhost

# 
# 
network.host: localhost 
#

Guardamos y ya podemos ejecutar elasticsearch con

sudo systemctl start elasticsearch

Y habilitamos que inicie automaticamente al iniciar el sistema

sudo systemctl enable elasticsearch

Para poder comprobar que funciona correctamente elasticsearch podemos ejecutar lo siguiente:

curl -X GET "localhost:9200"

Si todo ha salido bien nos mostrará una serie de líneas parecidas a esto:

{ 
"name" : "siem-cloud", 
"cluster_name" : "elasticsearch", 
"cluster_uuid" : "PQIZYmLDReGW5sgqM09bvw", 
"version" : { 
"number" : "7.15.2", 
"build_flavor" : "default", 
"build_type" : "deb", 
"build_hash" : "93d5a7f6192e8a1a12e154a2b81bf6fa7309da0c", 
"build_date" : "2021-11-04T14:04:42.515624022Z", 
"build_snapshot" : false, "lucene_version" : "8.9.0", 
"minimum_wire_compatibility_version" : "6.8.0", 
"minimum_index_compatibility_version" : "6.0.0-beta1" }, 
"tagline" : "You Know, for Search" 
}

Con esto ya tenemos elasticsearch funcionando ahora vamos por kibana para poder mostrar todos los logs que haya dentro de elasticsearch

Instalación de Kibana en Ubuntu Server

El visualizador de logs del Stack Elasticsearch es Kibana. Este programa se conecta directamente al cluster de elasticsearch y muestra los datos. Para ello requiere un poco de configuración que iremos viendo en diferentes posts. Sin más, vamos a instalar kibana en nuestro servidor

sudo apt install kibana

Kibana, de la misma forma que elasticsearch necesita una configuración mínima, para ello editamos el archivo /etc/kibana/kibana.yml . Tenemos que habilitar el puerto de escucha, la ip del equipo, el nombre del equipo y la ubicación de elasticsearch donde leer los datos. Para ello, descomentamos y modificamos los siguientes parámetros.

server.port: 5601
server.host: "localhost"
server.name: "nombre_del_servidor"
elasticsearch.hosts: ["http://localhost:9200"]

Una vez modificadas y descomentadas estas líneas habilitamos el servicio y ejecutamos kibana

systemctl enable kibana
service kibana start

Una vez ejecutado kibana podemos acceder desde nuestro navegador a la direccion http://Direccion_IP_kibana:5601

Veremos algo como:

Ahora nos falta el tercer elemento que juega un papel fundamental en este juego que es el que programa que filtra, modela y redirige los logs, estamos hablando de Logstash

Instalar Logstash en Ubuntu Server

Logstash necesita una configuración más exhaustiva que veremos en otros posts, por ahora lo dejaremos instalado para partir de la instalación hecha para configurar los logs y enviarlos a elasticsearch. Así que para instalar logstash simplemente ejecutaremos

sudo apt install logstash

Y con esto ya tendremos ELK instalado, en siguientes posts iremos viendo como enviar logs, y gestionarlos.

 

 

 

 

 

⬇️¡Sigue, comenta y comparte! ⬇️

¡Descubre mis 5 HERRAMIENTAS SECRETAS que transformarán tu productividad!

Apúntate y te enseñaré mis 5 herramientas principales para ser más eficiente en mi día a día. Además, te iré enviando todas las novedades del sector tecnológico resumidas para que estés al día de todo lo que sucede, actualizaciones de principales softwares y vulnerabilidades destacadas de la semana.

⬇️ Seguro que esto te interesa ⬇️

Related Posts

custom image 1720289997 1

Monitoriza la Versión de BookStack con Nagios

julio 11, 2024
custom image 1720286844 1

Monitoriza la Versión de Nextcloud con Nagios

julio 9, 2024
php4nagios instalacion

Instalación de PNP4Nagios en Centos

junio 25, 2021