Loganalyse mit dem ELK-Stack (2)

Nachdem wir zuletzt ein Fundament für die Logüberwachung mit dem ELK-Stack (der mittlerweile als Elastic Stack firmiert) gelegt hatten, indem wir einen KVM-Host mit einer CentOS-7-VM unter KVM in Betrieb nahmen, besteht unsere erste Aufgabe nun darin, Elasticsearch einzurichten.

Elasticsearch einrichten

Die Konfiguration des Diensts verwaltet Elasticsearch in der Datei "/etc/elasticsearch/elasticsearch.yml". Für eine simple Installation mit nur einem Knoten genügen folgende Parameter:

path.data: /var/lib/elasticsearch

path.logs: /var/log/elasticsearch

transport.host: localhost

transport.tcp.port: 9300

http.port: 9200

network.bind_host: 0.0.0.0

Normalerweise bindet Elasticsearch seinen Kommunikationsport entweder auf das localhost- oder auf das externe Interface. Für unseren Workshop sollen aber beide Interfaces funktionieren, daher benötigen wir den Konfigurationsschlüssel "network.bind_host: 0.0.0.0".

Übersehen Sie dabei nicht die JVM-Konfiguration in der Datei "/etc/elasticsearch/ jvm.options". Diese legt unter anderem den Arbeitsspeicher der Anwendung fest. Die Grundinstallation limitiert Elastic-search dabei auf lediglich 1 GByte RAM, was angesichts der 8 GByte RAM in der Test-VM etwas üppiger ausfallen darf. Die Faustregel für die Heap-Size liegt bei der Hälfte des VM-RAMs, aber nicht mehr als 32 GByte. Laut Handbuch sollen Initial- und Maximum-Heap-Size gleich sein. Für unser Testsetup sollten Sie daher die Paramter "Xms4g" und "Xmx4gin" in "jvm.options" anpassen. Nach der Konfiguration startet Systemd den Elasticsearch-Dienst:

systemctl restart elasticsearch

Zudem soll der Service bei einem Systemneustart zur Verfügung

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.