Loganalyse mit dem ELK-Stack (2)

Starte die Maschinen, Scotty!

Im ersten Teil unserer Workshopserie postulierten wir den ELK-Stack als Basis eines umfassenden IT-Logbuchs. Der Befehlskette folgend wandert unsere Aufmerksamkeit nun von der konzeptionellen Strategie der Kommandobrücke in den Maschinenraum, wo wir beginnen, die Komponenten für die zentrale Loganalyse einzurichten.
Storage-Technologien bieten Unternehmen immer neue Möglichkeiten zur flexiblen Datenhaltung, die angesichts der wachsenden Datenberge auch dringend geboten ... (mehr)

Nachdem wir zuletzt ein Fundament für die Logüberwachung mit dem ELK-Stack (der mittlerweile als Elastic Stack firmiert) gelegt hatten, indem wir einen KVM-Host mit einer CentOS-7-VM unter KVM in Betrieb nahmen, besteht unsere erste Aufgabe nun darin, Elasticsearch einzurichten.

Elasticsearch einrichten

Die Konfiguration des Diensts verwaltet Elasticsearch in der Datei "/etc/elasticsearch/elasticsearch.yml". Für eine simple Installation mit nur einem Knoten genügen folgende Parameter:

path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
transport.host: localhost
transport.tcp.port: 9300
http.port: 9200
network.bind_host: 0.0.0.0

Normalerweise bindet Elasticsearch seinen Kommunikationsport entweder auf das localhost- oder auf das externe Interface. Für unseren Workshop sollen aber beide Interfaces funktionieren, daher benötigen wir den Konfigurationsschlüssel "network.bind_host: 0.0.0.0".

Übersehen Sie dabei nicht die JVM-Konfiguration in der Datei "/etc/elasticsearch/ jvm.options". Diese legt unter anderem den Arbeitsspeicher der Anwendung fest. Die Grundinstallation limitiert Elastic-search dabei auf lediglich 1 GByte RAM, was angesichts der 8 GByte RAM in der Test-VM etwas üppiger ausfallen darf. Die Faustregel für die Heap-Size liegt bei der Hälfte des VM-RAMs, aber nicht mehr als 32 GByte. Laut Handbuch sollen Initial- und Maximum-Heap-Size gleich sein. Für unser Testsetup sollten Sie daher die Paramter "Xms4g" und "Xmx4gin" in "jvm.options" anpassen. Nach der Konfiguration startet Systemd den Elasticsearch-Dienst:

systemctl restart elasticsearch

Zudem soll der Service bei einem Systemneustart zur Verfügung

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019