https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Elk_%28Elasticsearch_Logstash_Kibana%29Elk (Elasticsearch Logstash Kibana) - Versionsgeschichte2026-06-28T22:42:18ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Elk_(Elasticsearch_Logstash_Kibana)&diff=20716&oldid=prevThomas.will: Die Seite wurde neu angelegt: „=Übersicht= ==Filebeat== Filebeat schickt per Beats-Protokoll Datenströme an einen bestimmen Port auf dem Logstash-Server. Filebeat kann theoretisch direkt…“2020-06-22T08:31:57Z<p>Die Seite wurde neu angelegt: „=Übersicht= ==Filebeat== Filebeat schickt per Beats-Protokoll Datenströme an einen bestimmen Port auf dem Logstash-Server. Filebeat kann theoretisch direkt…“</p>
<p><b>Neue Seite</b></p><div>=Übersicht=<br />
==Filebeat==<br />
Filebeat schickt per Beats-Protokoll Datenströme an einen bestimmen Port auf dem Logstash-Server. Filebeat kann theoretisch direkt an Elasticsearch ausliefern, was in der Konfiguration die Voreinstellung ist. Oder Filebeat verschickt seine Daten an Logstash.<br />
==Logstash==<br />
Logstash verarbeitet und normalisiert Logdateien. Die Anwendung zieht ihre Informationen aus unterschiedlichen Datenquellen, die Benutzer als Input-Module definieren. Quellen können beispielsweise Datenströme von Syslog oder Protokolldateien sein. In einem zweiten Schritt verarbeiten Filter-Plugins die Daten nach Benutzervorgaben weiter.<br />
==Elasticsearch==<br />
Elasticsearch ist in Java implementiert und basiert auf Apache Lucene, einer extrem leistungsfähigen Volltext-Suchmaschine, deren Funktionen über ein REST-API bereitstehen. Alle Texte, Dokumente genannt, indexiert Elasticsearch automatisch.<br />
==Kibana==<br />
Kibana erzeugt aus den Elasticsearch-Daten ansprechende Darstellungen und Berichte. Diese werden auf einem Webserver dargestellt.<br />
<br />
=Installation=<br />
*apt -y install default-jre<br />
*wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -<br />
*echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list<br />
*apt update<br />
*apt -y install elasticsearch kibana logstash default-jre geoip-database filebeat<br />
=Anpassungen=<br />
;/etc/kibana/kibana.yml <br />
server.port: 5601<br />
server.host: "0.0.0.0"<br />
<br />
=Systemd Services=<br />
*systemctl daemon-reload<br />
*systemctl enable kibana.service<br />
*systemctl enable elasticsearch.service<br />
*systemctl enable logstash.service<br />
<br />
<br />
<br />
<br />
=Links=<br />
*https://www.howtoforge.com/tutorial/suricata-with-elk-and-web-front-ends-on-ubuntu-bionic-beaver-1804-lts/<br />
*https://www.linux-magazin.de/ausgaben/2016/02/elk-stack/<br />
*https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html<br />
*https://www.elastic.co/blog/use-elk-display-security-datasources-iptables-kippo-honeypot<br />
*https://streamsets.com/documentation/datacollector/latest/help/datacollector/UserGuide/Apx-GrokPatterns/GrokPatterns_title.html</div>Thomas.will