Linux 服務器上安裝和配置 ELK 堆棧（Elasticsearch、Logstash 和 Kibana）

1. 安裝 Elasticsearch

1. 更新您的系統軟件包並安裝必要的工具：

   bash

   sudo apt-get update
   sudo apt-get install apt-transport-https ca-certificates wget curl gnupg
   

2. 將 Elasticsearch 的 GPG 密鑰添加到系統：

   bash

   wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
   

3. 添加 Elastic 的存儲庫：

   bash

   echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list
   

4. 安裝 Elasticsearch：

   bash

   sudo apt-get update
   sudo apt-get install elasticsearch
   

5. 啟用並啟動 Elasticsearch：

   bash

   sudo systemctl enable elasticsearch
   sudo systemctl start elasticsearch
   

2. 安裝 Logstash

1. 使用相同的 Elastic 存儲庫來安裝 Logstash：

   bash

   sudo apt-get install logstash
   

2. 配置 Logstash 的管道以處理日誌數據。例如，創建一個配置文件：

   bash

   sudo nano /etc/logstash/conf.d/logstash.conf
   

   添加以下內容作為示例：

   bash

   input {
       beats {
           port => 5044
       }
   }
   output {
       elasticsearch {
           hosts => ["http://localhost:9200"]
       }
       stdout { codec => rubydebug }
   }
   

3. 啟用並啟動 Logstash：

   bash

   sudo systemctl enable logstash
   sudo systemctl start logstash
   

3. 安裝 Kibana

1. 使用相同的 Elastic 存儲庫安裝 Kibana：

   bash

   sudo apt-get install kibana
   

2. 啟用並啟動 Kibana：

   bash

   sudo systemctl enable kibana
   sudo systemctl start kibana
   

3. 編輯配置文件以允許外部訪問（如果需要）：

   bash

   sudo nano /etc/kibana/kibana.yml
   

   修改如下（根據需要調整）：

   yaml

   server.host: "0.0.0.0"
   

4. 使用瀏覽器訪問 Kibana：

   • 前往 http://<您的服務器IP>:5601 來訪問 Kibana 的圖形界面。

4. 測試 ELK 堆棧

• 通過 curl 測試 Elasticsearch 是否正常工作：

  bash

  curl -X GET "localhost:9200/"
  

• 通過日誌文件測試 Logstash 是否能處理數據。

• 最後在 Kibana 中設置視覺化和儀表板來監控攻擊模式。