![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="920" height="920" viewBox="0 0 920 920" fill="none">
<path d="M728.333 115H191.667C149.5 115 115 149.5 115 191.667V728.333C115 748.667 123.077 768.167 137.455 782.545C151.833 796.923 171.333 805 191.667 805H728.333C770.883 805 805 770.883 805 728.333V191.667C805 171.333 796.923 151.833 782.545 137.455C768.167 123.077 748.667 115 728.333 115ZM460 613.333C375.283 613.333 306.667 544.717 306.667 460C306.667 375.283 375.283 306.667 460 306.667C544.717 306.667 613.333 375.283 613.333 460C613.333 544.717 544.717 613.333 460 613.333Z" fill="white"/>
</svg>)
![Icon ELK](data:image/svg+xml;utf8,<svg width="920" height="920" viewBox="0 0 920 920" fill="none" xmlns="http://www.w3.org/2000/svg">
<path fill-rule="evenodd" clip-rule="evenodd" d="M621.639 340.069V429.522C653.881 429.522 684.141 437.827 710.592 452.236L808 340.069H621.639Z" fill="%23F04E98"/>
<path d="M332.216 379.045L332.202 379.073C328.213 383.841 323.862 388.095 319.21 392.003C310.258 399.523 298.869 403.546 287.169 403.546H124.107C144.583 362.443 187.063 334.177 236.173 334.177C274.766 334.177 309.267 351.63 332.216 379.045Z" fill="%23FEC514"/>
<path d="M369.355 490.261H466.538V428.417C466.538 379.623 426.985 340.069 378.19 340.069H369.355V490.261Z" fill="%23FEC514"/>
<path d="M111.02 459.5C111.02 470.709 112.524 481.561 115.302 491.895H268.945C286.902 491.895 301.459 477.391 301.459 459.5C301.459 441.609 286.902 427.106 268.945 427.106H115.302C112.524 437.44 111.02 448.292 111.02 459.5Z" fill="%23343741"/>
<path d="M621.639 429.521V554.671L710.592 452.236C684.141 437.826 653.881 429.521 621.639 429.521Z" fill="%23343741"/>
<path d="M466.538 583.026H462.121C410.888 583.026 369.355 541.494 369.355 490.261H466.538V583.026Z" fill="%23343741"/>
<path d="M729.614 464.017L630.104 578.609H804.26C794.705 531.528 767.379 490.919 729.614 464.017Z" fill="%2300BFB3"/>
<path d="M332.202 539.504L332.216 539.532C309.267 567.206 274.766 584.824 236.173 584.824C187.063 584.824 144.583 556.291 124.107 514.8H287.169C298.869 514.8 310.258 518.861 319.21 526.452C323.862 530.396 328.213 534.691 332.202 539.504Z" fill="%2300BFB3"/>
<path d="M572.556 583.026H488.625V490.261H572.556V583.026Z" fill="%2300BFB3"/>
</svg>)
Aprende ELK desde cero
¡Bienvenido al emocionante mundo de Elk! Si estás interesado en aprender cómo aprovechar al máximo esta poderosa plataforma de análisis de registros y búsqueda en tiempo real, has llegado al lugar correcto. En este tutorial de primeros pasos de Elk, te guiaremos a través de los fundamentos de la configuración y el uso de Elk para gestionar y analizar tus registros de manera eficiente. Además, si deseas seguir formándote en este ámbito, en nuestro curso de Elk aprenderás desde cero cómo configurar, gestionar y analizar tus registros de manera eficiente. Con instrucciones paso a paso, te enseñaremos a crear paneles personalizados e informes detallados. ¿Estás listo para sumergirte en el fascinante mundo del análisis de registros?
¿Qué es ELK?
Cuando estás desarrollando en un servidor puedes tener una gran cantidad de logs, y un problema al que estos pueden ser muy diferentes entre sí, ya que cada servicio puede tener su propio formato de log. Para solucionar esto se utilizan los tres componentes, al tener todos los logs de una forma unificada y fácil de manipular.
Cada componente se encarga de una actividad:
- Elasticsearch: Es una base de datos para almacenar los logs que queremos revisar, permitiendo una gran variedad de consultas diferentes. Está construida en Java lo que permite que se utilice en diferentes plataformas. Recomendado: Curso ElasticSearch
- Losgstash: Es procesador de datos de código abierto que procesa los logs, los transforma al formato que queramos y se los envía a Elasticsearch para que podamos visualizarlos.
- Kibana: Genera un interfaz web para buscar y visualizar los logs, generando las búsquedas y visualizaciones a través de los datos de Elasticsearch
Cómo instalar ELK
Antes de nada debemos tener el JDK de Java, que descargamos de aquí, una vez lo hayamos instalado comprobamos que todo haya ido bien en la instalación, utilizaremos el comando:
java -versionQue nos devolverá algo como esto:
java version "1.8.0_201"
Java(TM) SE Runtime Environment (build 1.8.0_201-b09)
Java HotSpot(TM) 64-Bit Server VM (build 25.201-b09, mixed mode)Ahora ya podemos descargamos de aquí los archivos Elasticsearch, Kibana y Logstash. Luego los descomprimimos donde queramos.
También nos vamos a descargar un servidor apache del cual recibir los logs, en nuestro caso será Xampp. Esto es tan fácil como descargarlo y utilizar el instalador.
Para iniciar Elasticsearch tenemos que iniciar la consola en el directorio en el que lo hayamos descomprimido y utilizar el comando:
binelasticsearchY para iniciar Kibana hay que realizar el mismo procedimiento, abrir otra consola en el directorio en el que fue descomprimido y ejecutar el comando:
binkibanaAhora podemos acceder a http// localhost:5601/ para ver Kibana, pero nos dirá que no tiene ningún dato, así que ahora es turno de configurar Logstash.
Configurar Logstash
Logstash necesita que configuremos que tipo de datos, así como las direcciones de entrada y salida.
Para esto crearemos un archivo llamado logstash.conf dentro del directorio descomprimido de Logstash.
En este archivo añadimos el siguiente código:
input {
file {
path => "/xampp/apache/logs/access.log"
type => "apache_access"
start_position => "beginning"
}
file {
path => "/xampp/apache/logs/error.log"
type => "apache_error"
start_position => "beginning"
}
}
filter {
if [type] in [ "apache" , "apache_access" , "apache-access" ] {
grok {
match => [
"message" , "%{COMBINEDAPACHELOG}+%{GREEDYDATA:extra_fields}",
"message" , "%{COMMONAPACHELOG}+%{GREEDYDATA:extra_fields"
]
overwrite => [ "message" ]
}
mutate {
convert => ["response", "integer"]
convert => ["bytes", "integer"]
convert => ["responsetime", "float"]
}
geoip {
source => "clientip"
target => "geoip"
add_tag => [ "apache-geoip" ]
}
date {
match => [ "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
remove_field => [ "timestamp" ]
}
useragent {
source => "agent"
}
}
if [type] in ["apache_error","apache-error"] {
grok {
match => ["message",
"[%{WORD:dayname} %{WORD:month} %{DATA:day} %{DATA:hour}:%{DATA:minute}:%{DATA:second} %{YEAR:year}] [%{NOTSPACE:loglevel}]
(?:[client %{IPORHOST:clientip}] ){0,1}%{GREEDYDATA:message}"
]
overwrite => [ "message" ]
}
mutate
{
add_field =>
{
"time_stamp" => "%{day}/%{month}/%{year}:%{hour}:%{minute}:%{second}"
}
}
date {
match => ["time_stamp", "dd/MMM/YYYY:HH:mm:ss"]
remove_field => [ "time_stamp","day","dayname","month","hour","minute","second","year"]
}
}
}
output {
elasticsearch {
hosts => "localhost:9200"
index => "apache"
}
stdout{codec => rubydebug}
}Este código está dividido en tres partes, la ruta de entrada de los archivos, que es el apartado input, con las rutas de los logs de petición y error de Apache en Xampp.
La segunda parte consiste en el filtrado por tipo de archivo y el formateo de datos para poderlos leer fácilmente.
Y la última corresponde a la salida de los datos, que en este caso es Elasticsearch, pasandole el puerto en el que se ejecuta y el nombre de los datos que le pasamos.
Una vez hecho esto ya podemos abrir otra consola en la carpeta en la que descomprimimos Logstash y utilizamos el comando:
binlogstash -f logstash.conf -tCon este comando comprobamos que la configuración que hemos realizado no contenga ningún fallo sintáctico, si es así nos devolverá un mensaje como este indicando que todo está bien:
[2019-05-02T13:18:31,637][INFO ][logstash.runner ] Using config.test_and_exit mode. Config Validation Result: OK. Exiting LogstashAhora que hemos comprobado que la configuración no tiene ningún fallo ya solo nos queda iniciar Logstash con el comando:
binlogstash -f logstash.confInterfaz Kibana
A continuación, con todo preparado ya volvemos a la url de Kibana, http//localhost:5601/, y nos preguntara qué datos queremos filtrar, dándole como valor el index que le pasamos en la configuración de Logstash, en nuestro caso apache:
Después elegimos el filtro de tiempo por el que queremos que se ordenen y ya tendríamos acceso a nuestros logs en Kibana:
Ahora nos aparecerán todos los datos a los que podríamos acceder en nuestros logs. Así que le daremos al botón Discover para ver el aspecto de nuestros logs:
Ahora intentaremos realizar una gráfica según si son error o petición, por lo que le daremos al botón Visualice:
Aquí, elegimos que tipo de visualización queremos que sea, eligiendo una de Barras Verticales:
Después le indicamos que el eje X tiene que ser type.keyword y añadimos una separación por tiempo:
Ahora tenemos que hacer que los cambios se trasladen al gráfico y después guardarlo con Save:
Ya tenemos nuestro primer gráfico realizado utilizando Elasticsearch, Logstash y Kibana. Para acabar lo importamos a una herramienta para poder todos nuestros gráficos en conjunto. Para esto utilizamos Dashboard:
Le indicamos Create a new Dashboard y luego pulsamos add para indicarle el gráfico que hemos creado. Después de configurarlo tenemos que guardas el nuevo Dashboard.
Con esto hemos conseguido crear nuestra primera interacción con ELK, Elasticsearch, Logstash y Kibana.
Curso completo de ELK
En resumen, Elk es una plataforma poderosa y versátil para el análisis de registros en tiempo real. No dudes en consultar nuestra página del curso de Elk para continuar tu aprendizaje y descubrir aún más posibilidades. ¡Te esperamos para ayudarte a dominar por completo el potencial de Elk!