ELK日志分析系统X-Pack插件安装与配置指南

一、X-Pack概述

X-Pack是Elastic Stack的扩展插件，集成了安全、警报、监控、报告和图形功能于一体。主要功能包括：

监控各组件运行状态
提供安全认证机制
实时告警功能
可视化报告功能

在Elasticsearch 5.0.0之前，需要分别安装Shield、Watcher和Marvel插件才能获得X-Pack的全部功能。从6.3.0版本开始，X-Pack已默认集成在ELK组件中。

二、环境准备

测试环境配置：

操作系统：Ubuntu 14.04 x86_64
组件版本：
- Elasticsearch 6.3.0
- Kibana 6.3.0
- Logstash 6.3.0
- Filebeat 6.3.0

三、X-Pack安装与配置

3.1 Elasticsearch配置

安装X-Pack（6.3.0版本默认已安装，无需额外安装）
```
bin/elasticsearch-plugin install x-pack
```
开启安全功能
修改elasticsearch.yml文件：
```
xpack.security.enabled: true
```
初始化用户名密码
```
bin/elasticsearch-setup-passwords [auto | interactive]
```
- auto：自动配置
- interactive：交互式配置
- 必须在Elasticsearch运行状态下执行

3.2 Kibana配置

安装X-Pack（6.3.0版本默认已安装）
```
bin/kibana-plugin install x-pack
```

配置认证信息
修改kibana.yml文件：

elasticsearch.username: "kibana"
elasticsearch.password: "your_password"

验证配置
- 验证失败：访问Kibana页面会显示错误
- 验证成功：可正常访问并看到监控界面

3.3 Logstash配置

安装X-Pack（6.3.0版本默认已安装）
```
bin/logstash-plugin install x-pack
```

配置监控
修改logstash.yml文件：

xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.url: "http://192.168.18.130:9200"
xpack.monitoring.elasticsearch.username: "logstash_system"
xpack.monitoring.elasticsearch.password: "logstash_system"

输出配置
在Logstash配置文件中，输出到Elasticsearch时需要添加认证信息：

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    user => "elastic"
    password => "your_password"
  }
}

3.4 Filebeat配置

基本要求
- 只有Filebeat 6.2及以上版本支持监控功能
输出到Elasticsearch时的配置
```
xpack.monitoring.enabled: true
```

输出到Logstash时的配置

xpack.monitoring:
  enabled: true
  elasticsearch:
    hosts: ["http://192.168.18.130:9200"]
    username: "beats_system"
    password: "beats_system"

四、监控功能使用

4.1 Elasticsearch监控

Overview：查看查询速率、建立索引速率
Nodes：查看节点状态、CPU、JVM等信息
Indices：查看节点的索引情况

4.2 Kibana监控

Overview：查看客户端请求和响应时间
Instance：查看节点状态及内存使用情况

4.3 Filebeat监控

Overview：查看事件速率、错误信息、Top5事件
Instance：查看节点状态信息

五、告警功能

X-Pack安装后自动启用告警功能：

登录Kibana
切换到Monitoring页面
点击"View all alerts"查看所有告警信息

六、功能开关配置

可通过修改各组件配置文件开启或关闭特定功能：

配置项	描述
`xpack.graph.enabled`	控制图形功能开关
`xpack.ml.enabled`	控制机器学习功能开关
`xpack.watcher.enabled`	控制Watcher功能开关
`xpack.monitoring.enabled`	控制监控功能开关
`xpack.reporting.enabled`	控制报告功能开关
`xpack.security.enabled`	控制安全功能开关

七、注意事项

6.3.0版本X-Pack默认已安装，无需手动安装
重置密码必须在Elasticsearch运行状态下执行
Logstash监控必须使用logstash_system账户
Filebeat 6.2+版本才支持监控功能
配置变更后需要重启相应服务

通过X-Pack插件，管理员可以全面监控ELK各组件运行状态，及时获取告警信息，有效提高运维效率并保障系统安全。

ELK日志分析系统X-Pack插件安装与配置指南一、X-Pack概述 X-Pack是Elastic Stack的扩展插件，集成了安全、警报、监控、报告和图形功能于一体。主要功能包括：监控各组件运行状态提供安全认证机制实时告警功能可视化报告功能在Elasticsearch 5.0.0之前，需要分别安装Shield、Watcher和Marvel插件才能获得X-Pack的全部功能。从6.3.0版本开始，X-Pack已默认集成在ELK组件中。二、环境准备测试环境配置：操作系统：Ubuntu 14.04 x86_ 64 组件版本： Elasticsearch 6.3.0 Kibana 6.3.0 Logstash 6.3.0 Filebeat 6.3.0 三、X-Pack安装与配置 3.1 Elasticsearch配置安装X-Pack （6.3.0版本默认已安装，无需额外安装）开启安全功能修改 elasticsearch.yml 文件：初始化用户名密码 auto ：自动配置 interactive ：交互式配置必须在Elasticsearch运行状态下执行 3.2 Kibana配置安装X-Pack （6.3.0版本默认已安装）配置认证信息修改 kibana.yml 文件：验证配置验证失败：访问Kibana页面会显示错误验证成功：可正常访问并看到监控界面 3.3 Logstash配置安装X-Pack （6.3.0版本默认已安装）配置监控修改 logstash.yml 文件：输出配置在Logstash配置文件中，输出到Elasticsearch时需要添加认证信息： 3.4 Filebeat配置基本要求只有Filebeat 6.2及以上版本支持监控功能输出到Elasticsearch时的配置输出到Logstash时的配置四、监控功能使用 4.1 Elasticsearch监控 Overview ：查看查询速率、建立索引速率 Nodes ：查看节点状态、CPU、JVM等信息 Indices ：查看节点的索引情况 4.2 Kibana监控 Overview ：查看客户端请求和响应时间 Instance ：查看节点状态及内存使用情况 4.3 Filebeat监控 Overview ：查看事件速率、错误信息、Top5事件 Instance ：查看节点状态信息五、告警功能 X-Pack安装后自动启用告警功能：登录Kibana 切换到Monitoring页面点击"View all alerts"查看所有告警信息六、功能开关配置可通过修改各组件配置文件开启或关闭特定功能： | 配置项 | 描述 | |--------|------| | xpack.graph.enabled | 控制图形功能开关 | | xpack.ml.enabled | 控制机器学习功能开关 | | xpack.watcher.enabled | 控制Watcher功能开关 | | xpack.monitoring.enabled | 控制监控功能开关 | | xpack.reporting.enabled | 控制报告功能开关 | | xpack.security.enabled | 控制安全功能开关 | 七、注意事项 6.3.0版本X-Pack默认已安装，无需手动安装重置密码必须在Elasticsearch运行状态下执行 Logstash监控必须使用 logstash_system 账户 Filebeat 6.2+版本才支持监控功能配置变更后需要重启相应服务通过X-Pack插件，管理员可以全面监控ELK各组件运行状态，及时获取告警信息，有效提高运维效率并保障系统安全。