Bộ ELK (Elasticsearch – Logstash – Kibana) kết hợp với Beats là một trong những stack phổ biến nhất để thu thập, phân tích và hiển thị log hệ thống. Trong bài viết này, chúng ta sẽ đi từng bước từ cài đặt đến cấu hình cơ bản để chạy được ELK Stack trên máy Ubuntu.
1. Cập nhật hệ thống và cài đặt Java
Cập nhật package manager
sudo apt-get update sudo apt-get upgrade -y
Cài đặt Java Runtime Environment
Elasticsearch yêu cầu Java để chạy, cài thêm default-jre:
sudo apt-get install default-jre -y
2. Cài đặt Elasticsearch
Thêm GPG Key và Repository
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \ | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" \ | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Cài Elasticsearch
sudo apt-get update sudo apt-get install elasticsearch -y
Cấu hình mạng cho Elasticsearch
Mở file cấu hình:
sudo vim /etc/elasticsearch/elasticsearch.yml
Thêm:
network.host: "localhost"
http.port: 9200
Khởi động dịch vụ
sudo service elasticsearch start
Kiểm tra
sudo curl http://localhost:9200
azureadmin@elk:~$ sudo curl http://localhost:9200
{
"name" : "elk",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "8Eio5Vn9T76MCce3170cEw",
"version" : {
"number" : "7.17.29",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "580aff1a0064ce4c93293aaab6fcc55e22c10d1c",
"build_date" : "2025-06-19T01:37:57.847711500Z",
"build_snapshot" : false,
"lucene_version" : "8.11.3",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
3. Cài đặt Logstash
sudo apt-get install logstash -y
4. Cài đặt Kibana
Cài đặt
sudo apt-get install kibana -y
Cấu hình mạng
sudo vim /etc/kibana/kibana.yml
Thêm:
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
Khởi động Kibana
sudo service kibana start
5. Cài đặt Metricbeat
sudo apt-get install metricbeat -y sudo service metricbeat start
6. Gửi log mẫu qua Logstash
Tạo file cấu hình Logstash
sudo vim /etc/logstash/conf.d/apache-01.conf
Thêm nội dung:
input {
file {
path => "/home/ubuntu/apache-daily-access.log"
start_position => "beginning"
sincedb_path => "/dev/null"
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
date {
match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
}
geoip {
source => "clientip"
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
}
}
Khởi động Logstash
sudo service logstash start
7. Kiểm tra kết quả
- Truy cập Kibana qua trình duyệt:
http://<server-ip>:5601 - Tạo Index Pattern trong Kibana để bắt đầu xem log và metric.
Đến đây bạn đã hoàn tất quá trình cài đặt Elasticsearch, Logstash, Kibana, và Metricbeat trên Ubuntu, sẵn sàng để thu thập và phân tích log.
