ELK Stack (Elasticsearch, Logstash, Kibana)

Publikováno , autor:
ELK

ELK Stack je sada tří open-source nástrojů od společnosti Elastic, která umožňuje sběr, ukládání, analýzu a vizualizaci logů a dat v reálném čase:

  • Elasticsearch – vysoce výkonný vyhledávací a analytický engine, který ukládá a indexuje data.
  • Logstash – nástroj pro zpracování a přenos dat (např. z logů, senzorů nebo aplikací) do Elasticsearch.
  • Kibana – webové rozhraní pro vizualizaci a analýzu dat uložených v Elasticsearch (grafy, dashboardy, alerty).

K čemu se ELK Stack používá

  • Centrální sběr a analýza logů ze serverů, kontejnerů nebo síťových zařízení.
  • Bezpečnostní monitoring (např. detekce útoků, sledování síťového provozu, integrace s IDS).
  • Analýza výkonu a provozu aplikací (APM, systémové logy, Docker logy).
  • Domácí laboratorní použití – např. sběr dat z Raspberry Pi, IoT senzorů nebo vlastního mail serveru.

Instalace ELK Stacku na Raspberry Pi (Debian / Ubuntu 64bit)

Raspberry Pi 5 je dostatečně výkonné pro běh kompletního ELK Stacku, zejména s SSD úložištěm a alespoň 4 GB RAM.

Aktualizace systému:

sudo apt update && sudo apt upgrade -y
sudo apt install apt-transport-https curl gnupg lsb-release -y

Instalace Elasticsearch:

curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | \
sudo tee /etc/apt/sources.list.d/elastic-8.x.list

sudo apt update
sudo apt install elasticsearch -y

Nastavení konfigurace

Soubor: /etc/elasticsearch/elasticsearch.yml

cluster.name: "rpi-cluster"
node.name: "rpi5-node"
network.host: 0.0.0.0
discovery.type: single-node

Spuštění a aktivace služby:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Ověření:

curl -X GET "http://localhost:9200/"

Instalace Logstash

sudo apt install logstash -y

Vytvoření základní konfigurace: /etc/logstash/conf.d/syslog.conf

input {
  file {
    path => "/var/log/syslog"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "%{SYSLOGBASE}" }
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }
}

Spuštění služby:

sudo systemctl enable logstash
sudo systemctl start logstash

Instalace Kibany

sudo apt install kibana -y

Konfigurace /etc/kibana/kibana.yml

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]

Spuštění služby:

sudo systemctl enable kibana
sudo systemctl start kibana

Přístup k webovému rozhraní:
http://<IP_Raspberry_Pi>:5601

ELK Stack lze na Raspberry Pi 5 spolehlivě provozovat pro domácí nebo laboratorní účely. Umožňuje:

  • Centrální správu logů
  • Bezpečnostní monitoring s vizualizací
  • Snadné rozšíření o další zdroje dat

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *