TL;DR — Résumé Rapide
Configurez Elasticsearch pour une analyse centralisée des logs robuste, le dépannage des nœuds et la gestion du cycle de vie des index.
Logs Centralisés avec Elasticsearch
Elasticsearch résout le problème des logs distribués en collectant, indexant et permettant des recherches ultra-rapides de manière centralisée.
Installation Étape par Étape
1. Installer (Ubuntu/Debian)
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update && sudo apt install elasticsearch -y2. Configurer la Mémoire JVM
Modifiez /etc/elasticsearch/jvm.options.d/heap.options :
-Xms4g
-Xmx4g3. Configurer le Cluster
Modifiez /etc/elasticsearch/elasticsearch.yml :
cluster.name: prod-logs-cluster
node.name: es-node-01
network.host: 192.168.1.50
http.port: 9200
xpack.security.enabled: true
xpack.security.http.ssl.enabled: true4. Démarrer le Service
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearchGestion des Données (ILM)
Créez une politique ILM pour éviter de remplir les disques :
PUT _ilm/policy/logs_policy
{
"policy": {
"phases": {
"hot": {
"actions": {
"rollover": { "max_size": "50GB", "max_age": "30d" }
}
},
"delete": {
"min_age": "90d",
"actions": { "delete": {} }
}
}
}
}Dépannage du Cluster
Exception d’Espace Disque (High Watermark)
Solution : Libérez de l’espace et débloquez les index manuellement :
PUT _all/_settings
{
"index.blocks.read_only_allow_delete": null
}