0. 背景
我们在使用ELK进行日志记录的时候,通过网址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志,
但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全,我们应该设置相应的用户名和密码,
只有通过登录用户名和密码才能通过Kibana查看我们的日志。
1. 在elasticsearch 2.x的版本是怎么做的
笔者网上查了一些博文,大部分推荐的是通过给elasticsearch安装Shield插件,参考链接如下:
http://blog.csdn.net/xuplus/article/details/51611658
但是,这种做法已经过时了,而且当你从官网下载的elasticsearch的最新版本,笔者写博文时候是5.x(5.2.2)
照着博文上安装插件的做法,根本是不行的
一般博文会建议进入elasticsearch的根目录,执行如下命令: bin/plugin install shield
但是,当你用的是5.x的时候,你会发现根本就没有plugin这条命令,进入es的根目录,发现只有
elasticsearch-plugin这条命令,这是怎么回事呢? 于是笔者上了官网一探究竟(任何时候查找技术,官网永远是最好最权威的选择) 官网给出的解释如下:
笔者恍然大悟,原来在5.x以后Shield插件已经作为X-Pack的一部分了,所以,必须查找关于X-Pack的相关文档。
2. X-Pack是什么?
以下是官网给出的解释:
(X-Pack is an Elastic Stack extension that bundles security, alerting, monitoring, reporting, and graph capabilities into one easy-to-install package.
Prior to Elasticsearch 5.0.0, you had to install separate Shield, Watcher, and Marvel plugins to get the features that are bundled together in X-Pack.
With X-Pack, you no longer have to worry about whether or not you have the right version of each plugin,
just install the X-Pack for the Elasticsearch version you’re running)
X-Pack是Elastic技术栈的扩展,它集安全,提醒,监控,报表以及图标功能于一体。
在Elasticsearch 5.0之前,你必须单独安装Shield插件,还要配套Watcher, Marvel等插件,现在X-Pack把它们都整合到一块儿了。
原来是这样啊!
3. 安装X-Pack
3-1) 为elasticsearch安装X-Pack插件
进入 elasticsearch根目录
执行:
bin/elasticsearch-plugin install x-pack
3-2) 配置elasticsearch.yml
进入config目录
修改配置文件,在末尾加上如下行:
action.auto_create_index: .security,.monitoring*,.watches,.triggered_watches,.watcher-history*
这是为elasticsearch增加自动创建索引功能
3-3) 启动elasticsearch
bin/elasticsearch
3-4) 为Kibana安装X-Pack插件
进入Kibana根目录
执行命令:
bin/kibana-plugin install x-pack
3-5) 启动Kibana
bin/kibana
3-6) 为Logstash节点安装X-Pack插件
进入Logstash根目录
执行命令:
bin/logstash-plugin install x-pack
3-7) 用配置文件启动Logstash
bin/logstash -f config/log4j_multi_input.conf
3-8) 验证
浏览器打开路径:
http://localhost:5601/ 你看回到登录对话框如下:
默认用户名和密码是:
elastic
changeme
4. LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL
这个时候,你可能认为我们已经大功告成了,然而并不是这样。
当你用用户名和密码登录Kibana了以后,你会发现没有任何索引,你之前使用Java程序写的日志到哪里去了呢?
笔者十分纳闷,后来查看了Logstash的控制台,笔者发现了如下错误:
LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL
因为我们刚才安装了X-Pack插件,因此,我们需要在我们logstash的配置文件中指定用户名和密码,不然是没有权限访问的,
笔者的配置文件如下:
input {
file {
path => ["/Users/KG/Documents/logs/app-a/*.log"]
type => "app-a"
}
file {
path => ["/Users/KG/Documents/logs/app-b/*.log"]
type => "app-b"
}
}
output {
stdout {
codec => rubydebug
}
if [type] == "app-a" {
elasticsearch {
hosts => "localhost:9200"
index => "app-a-%{+YYYY.MM.dd}"
document_type => "log4j_type"
user => elastic
password => changeme
}
}
else if [type] == "app-b" {
elasticsearch {
hosts => "localhost:9200"
index => "app-b-%{+YYYY.MM.dd}"
document_type => "log4j_type"
user => elastic
password => changeme
}
}
}
红色字体部分为新加的
然后,再次重新启动Logstash
5. 无法查看索引下的日志问题解决
好事多磨,我们还是无法在Kibana下看到数据,究竟是怎么一回事呢?
笔者再次查看了logstash的控制台,又发现了如下错误:
logstash outputs elasticsearch error 404 >>index_not_found_exception
上网查了下资料,原来需要在elasticsearch中创建自动索引
还记得刚才我们在elasticsearch.yml配置文件最后一行加的那句代码吗,看一下:
笔者修改如下:
action.auto_create_index: .security,.monitoring*,.watches,.triggered_watches,.watcher-history*,app-a-*,app-b-*其中红色字体部分为笔者测试程序所用的索引
再次重新启动elasticsearch
6. 最后的验证
好了,笔者使用Java代码进行验证(之前的博文中有提到怎么使用log4j进入日志到ELK)
再次访问Kibana,...看到如下结果:
好了,这回真的成功了,哈哈,是不是很有成就感啊?^_^