Différences

Ci-dessous, les différences entre deux révisions de la page.

--- procedure_d_installation_d_elk [2025/03/25 18:39] – superadmin
+++ procedure_d_installation_d_elk [2025/05/22 15:44] (Version actuelle) – [Introduction] superadmin
@@ Ligne 4: / Ligne 4: @@
 Cette procédure permet de mettre en place un SIEM grâce à la suite ELK : le combo d'ElasticSearch, LogStash, Kibana et les beats.
+Pour installer la suite ELK sous forme de conteneur docker, voire [[deployer_la_suite_elk_grace_a_docker_compose|cette page]]
 ===== Topologie du LAB =====
@@ Ligne 28: / Ligne 29: @@
   * Puis ajouter la clé :
-<code>wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -</code>
+<code>wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg</code>
   * Sous RedHat/CentOS/Fedora, c'est différent :
@@ Ligne 36: / Ligne 37: @@
   * Pour Debian/Ubuntu, entrer la commande suivante :
-<code>echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list</code>
+<code>echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-8.x.list</code>
   * __Pour les systèmes RedHat/CentOS/Fedora,__ créer un fichier nommé ''elastic.repo'' dans le répertoire ''/etc/yum.repos.d'' contenant :
@@ Ligne 139: / Ligne 140: @@
 </code>
-Pour terminer, relancer le service elasticsearch. La connexion à elasticsearch en HTTPS doit être fonctionnelle.
+Redémarrer le service elasticsearch, la connexion HTTPS à elasticsearch doit être fonctionnelle.
+==== Ajout de nœuds au cluster (facultatif) ====
+Pour ajouter des nœuds au cluster, on doit d'abord générer un token pour le nœud principal :
+<code> /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s node</code>
+Copier le token et le convertir en texte pour vérifier que l'adresse IP et la version d'elasticsearch sont corrects :
+<code>echo 'token' | base64 -d</code>
+Si ce n'est pas le cas, désactiver l'interface réseau problématique, redémarrer ES et regénérer le token en ajoutant un ''-f'' à la commande précédente.
+Installer Elasticsearch sur le nouveau nœud et configurer les paramètres suivants dans ''/etc/elasticsearch/elasticsearch.yml'' :
+  * cluster.name : nom du cluster (le même que sur le 1er nœud)
+  * node.name : nom du nœud
+  * network.host : adresse IP du nœud
+  * http.port : port 9200 par défaut (décommenter la ligne)
+Puis, utiliser la commande suivante pour associer le nœud au cluster en lui indiquant le token du premier nœud :
+<code>/usr/share/elasticsearch/bin/elasticsearch-reconfigure-node --enrollment-token token </code>
+Répondre ''y''pour confirmer puis démarrer Elasticsearch à la suite de l'opération. Le nœud est ajouté au cluster.
+On peut lancer les requêtes curl suivantes sur le nouveau nœud avec le compte admin du premier pour valider que l'opération a réussi :
+<code>curl -k -u elastic:smKNdSN1Fp8H=F0y8Heh https://172.16.10.2:9200/_cluster/health?pretty </code>
+<code>curl -k -u elastic:smKNdSN1Fp8H=F0y8Heh https://172.16.10.2:9200/_cat/nodes</code>
 ==== Installation et configuration de Kibana ====