[controller] the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
启动:
systemctl daemon-reload
systemctl status elasticsearch.service
service elasticsearch start
排查启动报错的方法:
journalctl -xe
或
vim /var/log/elasticsearch/elasticsearch.log
安装kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.6.2-x86_64.rpm
rpm -ivh kibana-7.6.2-x86_64.rpm
vim /etc/kibana/kibana.yml
添加如下四行:
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
logging.dest: /var/log/kibana/kibana.log
启动:
systemctl start kibana
systemctl status kibana
查看进程:
[root@controller ~]# netstat -ntlp|grep -E "9200|9300|5601"
tcp 0 0 0.0.0.0:5601 0.0.0.0:* LISTEN 4962/node
tcp6 0 0 :::9200 :::* LISTEN 5023/java
tcp6 0 0 :::9300 :::* LISTEN 5023/java
安装winlogbeat
https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-7.6.2-windows-x86_64.zip
修改 winlogbeat.yml:
#============================== Kibana =====================================
setup.kibana:
host: "10.10.40.63:5601"
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["10.10.40.63:9200"]
管理员登录powershell:
安装服务:
PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1
运行测试命令检查是否出错:
.\winlogbeat.exe test config -c .\winlogbeat.yml -e
报错:
index [XXX] blocked by: [FORBIDDEN/12/index read-only / allow delete (api)]
原因为磁盘空间空间不足,当Elasticsearch运行时检测到磁盘空间超过了95%,为了防止节点耗尽磁盘空间,自动将索引设置为只读模式
打开Elasticsearch目录下的\config\elasticsearch.yml,添加
cluster.routing.allocation.disk.watermark.flood_stage: 99%
或
cluster.routing.allocation.disk.threshold_enabled: false
是索引只有只读和删除权限,将所有的索引设为非只读删除权限:
curl -XPUT -H 'Content-Type: application/json' http://127.0.0.1:9200/_all/_settings -d '{ "index" : { "blocks":{ "read_only_allow_delete":"false"}}}'
清理cache:
echo 1 > /proc/sys/vm/drop_caches
启动服务:
net start winlogbeat
在kibana 查看日志:
首页-Descover
联动win 原生日志转发监控
转发win 事件查看器 “转发事件” 日志到ES:
winlogbeat.event_logs:
- name: ForwardedEvents
https://www.elastic.co/guide/en/beats/winlogbeat/7.6/winlogbeat-modules.html
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!