ELK(Elastic Search + Logstash + Kibana)의 이름이 Elastic Stack으로 바뀌었다.
1. 설치는 아래 링크를 따라 하면 쉽게 설치가 된다.
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
2. 설정
2.1 Elastic Search
x-pack을 설치를 하게 되면 authentication을 써야 하는데 /etc/elasticsearch/elasticsearch.yml 에 아래 설정을 추가하면 무시하게 된다
xpack.security.enabled: false
2.2 Logstash
filebeat로 부터 로그를 가져오기 위해서 아래 디렉토리에 input, filter, output을 설정한다.
/etc/logstash/conf.d
오픈스택의 경우에는 아래의 필터를 참조 한다.
https://github.com/sorantis/elkstack/tree/master/elk/logstash
아래 링크의 grok에서 custom filter 선언이 있는데 이 부분은 filter파일에서 아래와 같이 수정한다. (경로가 절대 경로가 되야 한다)
filter {
if [type] == "nova" {
grok {
patterns_dir => ["/etc/logstash/conf.d/patterns"]
match => [
..................
2.3 filebeat
로그를 모으기 위해 /etc/filebeat/filebeat.yml을 filebeat.full.yml로 부터 가져와서 수정한다. logstash를 사용할 것이기 때문에 elastic search 부분은 주석 처리하고 logstash 서버의 ip와 위 input에서 설정한 5044 포트로 설정한다.
3. kibana에서 검색
kibana에서 아래와 같은 패턴으로 검색을 하면 된다
host:controller01 AND source:"/var/log/neutron"
host:juju-cd351a-0-lxd-10 AND message:"warning"