Observability:使用 Elastic Agent 来摄入日志及指标 - Elastic Stack 8.0

2024-01-11 09:50
文章标签 使用 日志 stack 指标 8.0 agent elastic observability 摄入

本文主要是介绍Observability:使用 Elastic Agent 来摄入日志及指标 - Elastic Stack 8.0,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

如果你已经安装过最近的 Elastic Stack 的话,你可能已经发现 Beats 已经不是推荐的数据摄入方式,取而代之的是 Elastic Agent。我们可以看一下如下的图:

上图展示的是 Elastic Stack 整体的栈的结构图。我们会发现其中最重要的一个变化是使用了 Integrations 而不是之前的 Beats 和 Logstash,尽管它们仍然适用。也就是推荐的办法是使用 Integration 来摄入数据。我们之前使用 Beats 来采集数据的架构是这样的:

所有的 Beats 的数据都可以发送至 Elasticsearch。它们都分别进行配置,但是不能在 Kibana 中进行集中管理和配置。

什么是 integration(集成)?

Elastic 集成是一组资产,定义了如何使用 Elastic Stack 观察特定产品或服务:

  • 数据摄取、存储和转换规则
  • 设置选项
  • 预构建的自定义仪表板和可视化
  • 文档
  • 测试

集成具有严格、定义明确的结构,并提供许多优于其他摄取选项的优势:

  • 围绕被观察的服务构建 — 而不是监控代理
  • 简单、不易出错的配置
  • 用户安装的监控代理更少
  • 只需点击几下即可部署
  • 从 Elastic Stack 解耦发布过程

使用 Elastic Agent 来采集数据可以给我带来如下的好处:

我们使用一个 Elastic Agent,但是它可以代替我们在之前的许多的 Beats:

以 Elastic Agent 为基础的数据摄入架构如下:

在今天的文章中,我们将介绍如何使用 Fleet 来设置 Elastic Agent 并摄入需要的数据。你将了解:

  • 配置 Fleet
  • 使用 Elastic Agent 来发送数据到 Elastic Stack
  • 监控整个公司的系统和服务的日志和指标

我们可以通过 Fleet 来对 Elastic Agents 进行集中管理和配置。 在每一个 Elastic Agent 中,它是实现了如下的功能:

它通过 Agent policy 的使用来配置相应的 Beats 来收集数据。 

在实际的使用中,我们需要把 Elastic Agent 部署到一个单独的服务器中。它可以被用来收集该服务器的指标,日志等信息。我们甚至也可以使用 Elastic Agent 来从一些服务或各种 API 中收集数据并传入到 Elasticsearch 中:

Elastic Agent 是一种向主机添加日志、指标和其他类型数据的监控的单一、统一的方法。 它还可以保护主机免受安全威胁、从操作系统查询数据、从远程服务或硬件转发数据等等。 单个代理可以更轻松、更快速地在您的基础架构中部署监控。 每个代理都有一个可以更新的策略,以添加新数据源、安全保护等的集成。

如下图所示,Elastic Agent 可以监控部署它的主机,并且可以从无法直接部署的远程服务和硬件收集和转发数据。

在今天的练习中,我将使用 Elastic Stack 8.0 来进行展示。我使用的测试环境如下:

 我在 macOS 上安装 Elastic Stack 8.0,而在 Ubuntu OS 的机器上安装 Fleet server 及 Elastic Agent。

在 Elastic Stack 8.0 中使用 Elastic Agent 来摄入日志及指标

在 Elastic Stack 8.0 中使用 Elastic Agent 来摄入日志及指标_哔哩哔哩_bilibili

安装

在进行下面的练习之前,我们必须安装好 Elasticsearch 及 Kibana。我们可以参考之前的文章:

  • Elastic Stack 8.0 安装 - 保护你的 Elastic Stack 现在比以往任何时候都简单

  • Elastic:使用 Docker 安装 Elastic Stack 8.0 并开始使用

我们按照上面的要求进行安装 Elasticsearch 及 Kibana。为了能够让 fleet 正常工作,内置的 API service 必须启动。我们必须为 Elasticsearch 的配置文件 config/elasticsearch.yml 文件配置:

xpack.security.authc.api_key.enabled: true

配置完后,我们再重新启动 Elasticsearch。针对 Kibana,我们也需要做一个额外的配置。我们需要修改 config/kibana.yml 文件。在这个文件的最后面,添加如下的一行:


xpack.encryptedSavedObjects.encryptionKey: 'fhjskloppd678ehkdfdlliverpoolfcr'

如果你不想使用上面的这个设置,你可以使用如下的方式来获得:

./bin/kibana-encryption-keys generate

从上面的输出中,我们可以看出来,有三个输出的 key。我们可以把这三个同时拷贝,并添加到 config/kibana.yml 文件的后面。当然,我们也可以只拷贝其中的一个也可。我们再重新启动 Kibana。

这样我们对 Elasticsearch 及 Kibana 的配置就完成。 针对 Elastic Stack 8.0 以前的版本安装,请阅读我之前的文章 “Observability:如何在最新的 Elastic Stack 中使用 Fleet 摄入 system 日志及指标”。 

除此之外,Kibana 需要 Internet 连接才能从 Elastic Package Registry 下载集成包。 确保 Kibana 服务器可以连接到https://epr.elastic.co 的端口 443 上 。如果你的环境有网络流量限制,有一些方法可以解决此要求。 有关详细信息,请参阅气隙环境。

目前,Fleet 只能被具有 superuser role 的用户所使用。

配置 Fleet

使用 Kibana 中的 Fleet 将日志、指标和安全数据导入 Elastic Stack。第一次使用 Fleet 时,你可能需要对其进行设置并添加 Fleet Server。在做配置之前,我们首先来查看一下有没有任何的 integration 被安装:

 

我们打开 Fleet 页面:

由于我们还没有指定 Fleet server 的地址,所以我们点击 Edit hosts:

 在我们的配置中,我们想把 Fleet server 安装到 Ubuntu OS 的机器上,所以在上面的输入框中,我们输入 Ubuntu OS 的地址 192.168.0.4。端口地址 8220 是默认的地址。点击上面的 Save and apply settings:

 

在上面,我们查看 Elasticsearch 的地址也是对的。

点击 Agents 选项卡:

 对于我们自管型的不是中,有一个默认的 Default Fleet Server Policy。我们也可以创建一个自己的 Policy。

Fleet Server policy 到底是什么呢?

它是包含 Fleet Server 集成的 agent policy。 在自管型的集群中,第一次运行 Fleet 时会自动创建默认的 Fleet Server 策略。 如果你要部署一个自我管理的 Fleet Server 以使用我们托管的 Elasticsearch 服务,你必须明确创建一个包含 Fleet Server 集成的新代理策略。

由于我们的 Ubuntu OS 系统是 Linux 64-bit,我们选择上面的选项进行下载。我们在 Ubuntu 机器的 terminal 中打入如下的命令:

curl -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-linux-x86_64.tar.gz
liuxg@liuxgu:~/fleet$ curl -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-linux-x86_64.tar.gz% Total    % Received % Xferd  Average Speed   Time    Time     Time  CurrentDload  Upload   Total   Spent    Left  Speed
100  256M  100  256M    0     0  9775k      0  0:00:26  0:00:26 --:--:-- 9257k

 我们使用如下的命令来进行安装:

tar xzf elastic-agent-8.0.0-linux-x86_64.tar.gz

 

在上面,我选择 “Quick Start” 来进行部署。在实际的生产环境中,被推荐的办法是使用 “Production” 选项来部署以确保 Fleet server 和 Elastic Agent 之间的安全连接。详细阅读请参阅文章 “Observability:在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全”。点击上面的 Generate service token:

在上面的界面中,我们可以看到它一直显示 Waiting for Fleet Server to connect ...。我们点击上面的两个文档按钮以拷贝并保存 Service token。 我们在 Ubuntu 机器下运行上面的命令:

我们再次回到 Kibana 的界面:

 

上面显示 Fleet Server connected。它清楚地表明我们的 Fleet 已经成功地连接起来了。我们点击上面的 Continue:

上面显示我们的 Agents 已经成功地部署,并且它的状态是 Healthy 的。

如果你有多个 Fleet Server,建议你为每个 Fleet Server 创建一个唯一的 service token。你可以参考链接 elasticsearch-service-tokens 来生成 service token。有关 Fleet Server 的更多信息,请参考链接。

在上面,我们已经成功地为 Default Fleet Server policy 创建了一个 Agent。它安装了 Fleet Server。这个是必须的步骤,一个 Fleet Server 可以管理许多的 Agents。有关 Fleet 的架构更多信息,请参阅文章 “Observability:运用 Fleet 来轻松地导入 Nginx 日志及指标”。

添加 Elastic Agent 到 Fleet

Elastic Agent 是一个单一的统一代理,你可以将其部署到主机或容器以收集数据并将其发送到 Elastic Stack。 在后台,Elastic Agent 运行你的配置所需的 Beats shippers 或 Elastic Endpoint。

要将日志和指标发送到 Elastic Stack。你首先要在那个机器上下载 Elastic Agent,并解压缩:

  • macOS
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-darwin-x86_64.tar.gz
tar xzvf elastic-agent-8.0.0-darwin-x86_64.tar.gz
  • Linux OS
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-linux-x86_64.tar.gz
tar xzvf elastic-agent-8.0.0-linux-x86_64.tar.gz
  • Windows
# PowerShell 5.0+
wget https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-windows-x86_64.zip -OutFile elastic-agent-8.0.0-windows-x86_64.zip
Expand-Archive .\elastic-agent-8.0.0-windows-x86_64.zip
  • DEB
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-amd64.deb
sudo dpkg -i elastic-agent-8.0.0-amd64.deb
  • RPM
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-x86_64.rpm
sudo rpm -vi elastic-agent-8.0.0-x86_64.rpm

更多关于 Elastic Agent 的下载信息,请参阅官方链接 Download Elastic Agent。

针对我们的情况,我们需要手机的是 Ubuntu OS 上的日志及指标,所以我们下载的是 Linux 的版本。在我们之前安装 Fleet Server 时已经解压缩,并运行了,所以我们并不需要做任何其它特别的。

我们接下来添加 Agent:

 

在上面,我们选择 Default policy,它目前含有一个叫做 system 的 integration。你也可以创建自己的 policy。选择 Default policy 会让我们的练习进展更快。我们按照 Go to download page 去下载相应的 Agent。这个和我们之前的 Fleet Server 是一样的页面。这里就不再累述了。

我们点击上面的文档按钮来进行注册:

sudo ./elastic-agent install --url=http://192.168.0.4:8220 --enrollment-token=amw2a0FIOEJnUDdoZ29vRmJBVkY6TDRCZ3liNnpTSFNZdENnLXFrOExSZw==

请注意,在上面 http://192.168.0.4:8220 是我们的 Fleet Server 的地址,也就是说 Agent 的注册是直接发向 Fleet Server 的。当然如果你是其它的平台,你需要在上面的页面进行选择。

运行上面的命令:

因为之前,我们在安装 Fleet Server 的时候,已经按照好 Elastic Agent 了,所以会出现上面的错误信息。如果你还有其它的 Linux 机器,你可以通过上面的方法来注册你的 Elastic Agent。

现在,我把我的一台树莓派的 Ubuntu OS 机器开起来,我们使用如下的方法来进行注册:

liuxg@liuxgarm:~/fleet$ curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.0.0-linux-arm64.tar.gz% Total    % Received % Xferd  Average Speed   Time    Time     Time  CurrentDload  Upload   Total   Spent    Left  Speed
100  241M  100  241M    0     0  5615k      0  0:00:44  0:00:44 --:--:-- 5953k
liuxg@liuxgarm:~/fleet$ ls
elastic-agent-8.0.0-linux-arm64.tar.gz
liuxg@liuxgarm:~/fleet$ tar xzf elastic-agent-8.0.0-linux-arm64.tar.gz 
liuxg@liuxgarm:~/fleet$ cd elastic-agent-8.0.0-linux-arm64/
liuxg@liuxgarm:~/fleet/elastic-agent-8.0.0-linux-arm64$ sudo ./elastic-agent install --url=http://192.168.0.4:8220 --enrollment-token=amw2a0FIOEJnUDdoZ29vRmJBVkY6TDRCZ3liNnpTSFNZdENnLXFrOExSZw==
[sudo] password for liuxg: 
Elastic Agent will be installed at /opt/Elastic/Agent and will run as a service. Do you want to continue? [Y/n]:Y
Error: Error: connection to fleet-server is insecure, strongly recommended to use a secure connection (override with --insecure)
For help, please see our troubleshooting guide at https://www.elastic.co/guide/en/fleet/8.0/fleet-troubleshooting.html
Error: enroll command failed with exit code: 1
For help, please see our troubleshooting guide at https://www.elastic.co/guide/en/fleet/8.0/fleet-troubleshooting.html
liuxg@liuxgarm:~/fleet/elastic-agent-8.0.0-linux-arm64$ sudo ./elastic-agent install --url=http://192.168.0.4:8220 --enrollment-token=amw2a0FIOEJnUDdoZ29vRmJBVkY6TDRCZ3liNnpTSFNZdENnLXFrOExSZw== --insecure
Elastic Agent will be installed at /opt/Elastic/Agent and will run as a service. Do you want to continue? [Y/n]:Y
{"log.level":"warn","@timestamp":"2022-02-16T16:34:20.428+0800","log.logger":"tls","log.origin":{"file.name":"tlscommon/tls_config.go","file.line":105},"message":"SSL/TLS verifications disabled.","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2022-02-16T16:34:20.544+0800","log.origin":{"file.name":"cmd/enroll_cmd.go","file.line":456},"message":"Starting enrollment to URL: http://192.168.0.4:8220/","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2022-02-16T16:34:21.501+0800","log.origin":{"file.name":"cmd/enroll_cmd.go","file.line":256},"message":"Successfully triggered restart on running Elastic Agent.","ecs.version":"1.6.0"}
Successfully enrolled the Elastic Agent.
Elastic Agent has been successfully installed.

如上所示,因为我们尝试去注册一个使用自签名证书的 Fleet Server,在上面我们出现了一个错误。我在上面的命令后面添加一个选项 --insecure:

sudo ./elastic-agent install --url=http://192.168.0.4:8220 --enrollment-token=amw2a0FIOEJnUDdoZ29vRmJBVkY6TDRCZ3liNnpTSFNZdENnLXFrOExSZw== --insecure

那么我们这次运行是成功的。我们回到 Kibana 的界面:

这个时候,我们看到了一个新增加的叫做 liuxgarm 的 agent。在上面的两个 agent 中,Fleet server 是运行于 liuxgu 机器上的。如过我们想收集这个机器的日志及指标的话,我们需要在 Default Fleet Server policy 中去添加 System integration。

这我们的 liuxgu agent 就可以收集 system 指标及日志了。

我们点击 Data streams:

我们可以看到两个机器都有日志信息。

这篇关于Observability:使用 Elastic Agent 来摄入日志及指标 - Elastic Stack 8.0的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/593973

相关文章

C++使用栈实现括号匹配的代码详解

C++使用栈实现括号匹配的代码详解

《C++使用栈实现括号匹配的代码详解》在编程中,括号匹配是一个常见问题,尤其是在处理数学表达式、编译器解析等任务时,栈是一种非常适合处理此类问题的数据结构,能够精确地管理括号的匹配问题,本文将通过C+... 目录引言问题描述代码讲解代码解析栈的状态表示测试总结引言在编程中,括号匹配是一个常见问题,尤其是在
阅读更多...
Java中String字符串使用避坑指南

Java中String字符串使用避坑指南

《Java中String字符串使用避坑指南》Java中的String字符串是我们日常编程中用得最多的类之一,看似简单的String使用,却隐藏着不少“坑”,如果不注意,可能会导致性能问题、意外的错误容... 目录8个避坑点如下:1. 字符串的不可变性:每次修改都创建新对象2. 使用 == 比较字符串,陷阱满
阅读更多...
Python使用国内镜像加速pip安装的方法讲解

Python使用国内镜像加速pip安装的方法讲解

《Python使用国内镜像加速pip安装的方法讲解》在Python开发中,pip是一个非常重要的工具,用于安装和管理Python的第三方库,然而,在国内使用pip安装依赖时,往往会因为网络问题而导致速... 目录一、pip 工具简介1. 什么是 pip?2. 什么是 -i 参数?二、国内镜像源的选择三、如何
阅读更多...
使用C++实现链表元素的反转

使用C++实现链表元素的反转

《使用C++实现链表元素的反转》反转链表是链表操作中一个经典的问题,也是面试中常见的考题,本文将从思路到实现一步步地讲解如何实现链表的反转,帮助初学者理解这一操作,我们将使用C++代码演示具体实现,同... 目录问题定义思路分析代码实现带头节点的链表代码讲解其他实现方式时间和空间复杂度分析总结问题定义给定
阅读更多...
Linux使用nload监控网络流量的方法

Linux使用nload监控网络流量的方法

《Linux使用nload监控网络流量的方法》Linux中的nload命令是一个用于实时监控网络流量的工具,它提供了传入和传出流量的可视化表示,帮助用户一目了然地了解网络活动,本文给大家介绍了Linu... 目录简介安装示例用法基础用法指定网络接口限制显示特定流量类型指定刷新率设置流量速率的显示单位监控多个
阅读更多...
JavaScript中的reduce方法执行过程、使用场景及进阶用法

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程
阅读更多...
如何使用Java实现请求deepseek

如何使用Java实现请求deepseek

《如何使用Java实现请求deepseek》这篇文章主要为大家详细介绍了如何使用Java实现请求deepseek功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1.deepseek的api创建2.Java实现请求deepseek2.1 pom文件2.2 json转化文件2.2
阅读更多...
python使用fastapi实现多语言国际化的操作指南

python使用fastapi实现多语言国际化的操作指南

《python使用fastapi实现多语言国际化的操作指南》本文介绍了使用Python和FastAPI实现多语言国际化的操作指南,包括多语言架构技术栈、翻译管理、前端本地化、语言切换机制以及常见陷阱和... 目录多语言国际化实现指南项目多语言架构技术栈目录结构翻译工作流1. 翻译数据存储2. 翻译生成脚本
阅读更多...
C++ Primer 多维数组的使用

C++ Primer 多维数组的使用

《C++Primer多维数组的使用》本文主要介绍了多维数组在C++语言中的定义、初始化、下标引用以及使用范围for语句处理多维数组的方法,具有一定的参考价值,感兴趣的可以了解一下... 目录多维数组多维数组的初始化多维数组的下标引用使用范围for语句处理多维数组指针和多维数组多维数组严格来说,C++语言没
阅读更多...
在 Spring Boot 中使用 @Autowired和 @Bean注解的示例详解

在 Spring Boot 中使用 @Autowired和 @Bean注解的示例详解

《在SpringBoot中使用@Autowired和@Bean注解的示例详解》本文通过一个示例演示了如何在SpringBoot中使用@Autowired和@Bean注解进行依赖注入和Bean... 目录在 Spring Boot 中使用 @Autowired 和 @Bean 注解示例背景1. 定义 Stud
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2