[转帖]新版 Elasticsearch 中的强悍插件 X-pack

https://zhuanlan.zhihu.com/p/36337697

 

3 人赞同了该文章

作者：Alan 岂安科技运维工程师

努力踏上一条为后人留坑的运维之路。（逃

1 前言

Elk 日志可视化管理系是目前比较主流的一套日志管理工具。对日志查找，阅读、收集都非常方便。所以今天的正文来了，今天文章的内容写的是 elk 的系统组件 x-pack。一个集安全、警报、监视、报告和图形功能于身的扩展，轻松开启或关闭那你想要的功能。

注意：在 Elasticsearch 5.0 之前须安装单独的 Shield，Watcher 和 Marvel 插件才能获得在 X-Pack 中所有的功能。

2 安装

插件安装一如既往的方便。分别列出elk安装方式。

✦Elasticsearh：

./bin/elasticserch-plugin install x-pack  //ps:如果搭建了集群必须每台集群上都安装。

✦Kibana：

./bin/kibana-plugin  install x-pack

✦Logstash:

./bin/kibana-plugin  install x-pack 

新版6.2.2安装完x-pack必须手动设置密码，系统默认三个用户名，elastic 、logstash-system、kibana：

./bin/x-pack/setup-passwords interactive  //ps:自定义是密码
./bin/x-pack/setup-passwords auto   //ps:随机设置密码

3 功能介绍

x-pack安装完毕会默认开始所有的功能。

安全

• 用户管理

开启 x-pack 安全功能之后，对 es 请求、kibana 的访问都需要用户名和密码。例如掉用api添加一个静态 mapping 的模板

curl -XPOST -u elastic 'localhost:9200/_template/test' -H "Content-Type: application/json" -d@template.json

例如访问 kibana 需要登入用户密码。

每个用户可以配置不同的规则，及分配不同的权限。只读、监控、查看某个索引、增加删除索引，对某个字段加密。

• 日志审计

在elasticsearch.yml 配置中设置 xpack.security.audit.enabled: true ，会将用户操作详细的记录在日志中，便于问题追踪。

Monitor

X-pack monitor会快速提供elasticsearch 、logstash、kibana的的性能。实时展示他们的健康状况！

elk系统整体监控

Elasticsearch单节点性能监控

索引监控

Kibana监控

Logstash监控

强大的监控系统清晰的数据，有利于我们对资源的合理利用。

告警功能（alerting）

对日志中出现的敏感的字段进行监控告警、快速报告管理员前方发生的问题，结束响应解决。

例如: ret_code返回码大量报错、例如request_time时间过长等等所有关心的东西都可触发相应的告警功能。

Alerting 自动邮件方式告警

报告功能 Reporting

一个能将查询结果、生成的报表导出的一个功能。将查询的结果保存到dashboard里面，然后点击右上角菜单栏的reporting。就会出现导出文件的选项：

也可以直接用下面的url用api直接调用。

当然这个reporting的前提条件是要有报表。我们可以用visualize这个功能去统计一个自己关注的数据。 例如我们需要判断A 和B字段同时满足的情况有多少数据。

图中画框是需要设置的地方

• Add a filter : 添加查询条件
• Metrics：聚合方式（我们这选择count）

这样一个多条件查询的数据图表就出来了，当然还有其他的组合方式，可以根据自己需要进行搭配。

x-pack功能虽然强大，很多实用的功能也都集成在一起了。但对一个初学者来说上手却不是这么的容易，需要花时间去探索研究。还有最重要的一点：x-pack 现在必须付费使用，官网上可以申请一年的基础版本，但是没有大多数功能。

申请地址： https://www.elastic.co/subscriptions。

还有其他的版本需要付费使用，购买流程不是很方便，必须先在官网上填写信息。

ps：PLATINUM 版本支持所有功能。

---

附上体验版和白金版的界面图

☟

体验版

白金版