Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
procedure_d_installation_d_elk [2025/03/27 15:09] – [Ajout de nœuds au cluster (facultatif)] superadminprocedure_d_installation_d_elk [2025/05/22 15:44] (Version actuelle) – [Introduction] superadmin
Ligne 4: Ligne 4:
  
 Cette procédure permet de mettre en place un SIEM grâce à la suite ELK : le combo d'ElasticSearch, LogStash, Kibana et les beats. Cette procédure permet de mettre en place un SIEM grâce à la suite ELK : le combo d'ElasticSearch, LogStash, Kibana et les beats.
 +Pour installer la suite ELK sous forme de conteneur docker, voire [[deployer_la_suite_elk_grace_a_docker_compose|cette page]]
  
 ===== Topologie du LAB ===== ===== Topologie du LAB =====
Ligne 36: Ligne 37:
  
   * Pour Debian/Ubuntu, entrer la commande suivante :   * Pour Debian/Ubuntu, entrer la commande suivante :
-<code>echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list</code>+<code>echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-8.x.list</code>
  
   * __Pour les systèmes RedHat/CentOS/Fedora,__ créer un fichier nommé ''elastic.repo'' dans le répertoire ''/etc/yum.repos.d'' contenant :   * __Pour les systèmes RedHat/CentOS/Fedora,__ créer un fichier nommé ''elastic.repo'' dans le répertoire ''/etc/yum.repos.d'' contenant :
Ligne 139: Ligne 140:
 </code> </code>
  
-Lancer le service elasticsearch, la connexion HTTPS à elasticsearch doit être fonctionnelle.+Redémarrer le service elasticsearch, la connexion HTTPS à elasticsearch doit être fonctionnelle.
  
 ==== Ajout de nœuds au cluster (facultatif) ==== ==== Ajout de nœuds au cluster (facultatif) ====
Ligne 149: Ligne 150:
 <code>echo 'token' | base64 -d</code> <code>echo 'token' | base64 -d</code>
 Si ce n'est pas le cas, désactiver l'interface réseau problématique, redémarrer ES et regénérer le token en ajoutant un ''-f'' à la commande précédente. Si ce n'est pas le cas, désactiver l'interface réseau problématique, redémarrer ES et regénérer le token en ajoutant un ''-f'' à la commande précédente.
 +
 +Installer Elasticsearch sur le nouveau nœud et configurer les paramètres suivants dans ''/etc/elasticsearch/elasticsearch.yml'' :
 +  * cluster.name : nom du cluster (le même que sur le 1er nœud)
 +  * node.name : nom du nœud
 +  * network.host : adresse IP du nœud
 +  * http.port : port 9200 par défaut (décommenter la ligne)
 +
 +Puis, utiliser la commande suivante pour associer le nœud au cluster en lui indiquant le token du premier nœud :
 +<code>/usr/share/elasticsearch/bin/elasticsearch-reconfigure-node --enrollment-token token </code>
 +
 +Répondre ''y''pour confirmer puis démarrer Elasticsearch à la suite de l'opération. Le nœud est ajouté au cluster. 
 +
 +On peut lancer les requêtes curl suivantes sur le nouveau nœud avec le compte admin du premier pour valider que l'opération a réussi :
 +<code>curl -k -u elastic:smKNdSN1Fp8H=F0y8Heh https://172.16.10.2:9200/_cluster/health?pretty </code>
 +<code>curl -k -u elastic:smKNdSN1Fp8H=F0y8Heh https://172.16.10.2:9200/_cat/nodes</code>
  
 ==== Installation et configuration de Kibana ==== ==== Installation et configuration de Kibana ====
procedure_d_installation_d_elk.1743084592.txt.gz · Dernière modification : de superadmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International


  • Afficher la page
  • Anciennes révisions
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site