概述
Elastic Agent是Elastic Stack中的一个全新组件,旨在简化和统一监控和集成管理流程。它是一个轻量级的代理,可以部署到各种不同类型的主机和容器中,用于收集系统指标、日志和事件数据,并将其发送到Elasticsearch进行存储和分析。
在es7及以前的版本中,使用 elastic stack 监控主机、采集日志分别要使用filebeat、metribeat,且要进入到后台完成相关配置。使用elastic-agent后则可一个组件完成相关工作,且其背后对filebeat、metribeat的策略修改都可以通过界面完成,无需再到后台修改配置文件。
关键功能与优势
-
统一管理: Elastic Agent提供了一个统一的管理界面,让用户可以轻松地管理所有代理的配置、部署和监控。
-
灵活的部署: 无论是在物理服务器、虚拟机还是容器中,Elastic Agent都可以轻松部署,适用于各种不同类型的环境。
-
轻量级和高效: Elastic Agent设计为轻量级,占用资源少,对系统性能影响小,同时具有高效的数据收集和传输能力。
-
多功能集成: Elastic Agent支持多种不同类型的数据收集和集成,包括系统指标、日志、安全事件等,可以满足各种不同的监控和管理需求。
-
实时监控与分析: 收集的数据可以实时地发送到Elasticsearch进行存储和分析,用户可以通过Kibana等工具实时监控和分析系统状态和性能。
使用案例
-
基础设施监控: Elastic Agent可以用于监控服务器、网络设备和数据库等基础设施组件的性能和健康状态。
-
应用程序性能管理: 通过收集应用程序日志和指标数据,Elastic Agent可以帮助用户监控和分析应用程序的性能和行为。
-
安全事件监测: Elastic Agent还可以用于收集和分析安全事件和日志数据,帮助用户及时发现和应对安全威胁。
部署fleet服务器
fleet服务器并不是一个单独的服务器,而是依附在elastic agent上的一个功能模块,因此,部署fleet服务器即时部署elastic agent服务器。
添加fleet服务器
如下图所示,点击添加fleet服务器
输入fleet服务器信息
输入以下fleet服务器信息后,点击继续
点击继续后,会出现如下界面:
此时返回设置界面,可以看到添加了一个fleet主机路径,如果配置了多个路径 ,则将要使用的设置为默认路径:
接下来要设置输出 信息:
Elasticsearch CA 受信任的指纹 通过es 的ca证书生成,我们要找到es安装时 的根证书,我这里叫:elasticsearch-ca.pem,在根证书所在目录下执行以下命令生成:
openssl x509 -in elasticsearch-ca.pem -sha256 -fingerprint|grep SHA256 |sed 's/://g'
在做完这些后我们再回到fleet服务器部署界面,按下图给的命令到即将部署elastic agent的机器上执行:
按如下顺序执行下列代码,按界面中的提示顺序执行可能会出现问题。注意,命令具体的参数内容按照界面上的展示来:
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.11.3-x86_64.rpm
sudo rpm -vi elastic-agent-8.11.3-x86_64.rpm
sudo systemctl enable elastic-agent
sudo systemctl start elastic-agent
注意,按界面提示顺序命令执行后如果出现证书验证失败,则在命令末尾添加--insecure,重新执行:
sudo elastic-agent enroll \--fleet-server-es=https://192.168.10.161:9200 \--fleet-server-service-token=AAEAAWVsYXN0aWMvZmxlZXQtc2VydmVyL3Rva2VuLTE3MTAzNzkzMTQ2MjM6TVcxX08xTmlRdHFPZmp5ODdHR0EtZw \--fleet-server-policy=fleet-server-policy \--fleet-server-es-ca-trusted-fingerprint=683ECB666C8BD47177F0C065AC2E24C1153B6E7BE7B4FF01B3BDA63F02618792 \--fleet-server-port=8220 --insecure
一般上述命令执行成功后,我们回到界面上会到 确认连接 模块停止旋转,提示成功,这时整个elastic-agent 已安装完成,即elastic-agent机器上已经部署了metricbeat、filebeat。我们可以通过界面来管理他们的配置以及策略。
注意事项:
在/ect/hosts文件中,一定要有对localhost的解析
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6