Last Updated on 30/10/2023 by administrator
Instalace Elastic Agenta Windows (Elastic Stack)
Instalace Elastic Agenta Windows (Elastic Stack)
Prerekvizita:
Prerekvizita pro tuto instalaci Elastic Agenta na Windows je mít nainstalovaný Elastic Fleet server.
Motivace:
Elastic Agent na Windows je nástroj určený pro sběr a odesílání různých typů dat z Windows prostředí do Elastic Stack. Elastic Agent umožňuje sbírat logy z různých zdrojů v Windows, včetně Windows Event Log, log souborů aplikací a systémových logů. Elastic Agent může sbírat metriky z Windows strojů, jako je vytížení procesoru, využití paměti, počet uživatelů, síťová aktivita a další. Elastic Agent může také sbírat trace data z Windows aplikací a služeb
OS:
Instalace byla prováděna na Ubuntu 22.04 LTS pro Elasticsearch 8.8.1. Postup byl také odzkoušen na Elasticsearch 8.10.4. Vše konkrétně otestováno přes VirtualBox 7.0.8.
Instalace Elastic Agenta byla prováděna na Windows 10 Pro verze 22H2, ale také na Windows 11 Pro 22H2 .
Implementace:
1. Příprava Agent policy a přidání Windows agenta:
Nejdřív je nutné vytvořit Agent policy který určuje, jaké moduly a konfigurace budou použity v agentech na Windows strojích.
V okně pro vyhledávání napsat fleet a zvolit Fleet Management. Kliknout na Rubriku Agent policies a na Create agent policy:
Zvolit libovolné jméno politiky. V tomto případě byla politika pojmenována jako Windows. Další parametry jsou nastavené v defaultním nastavení, které lze případně customizovat. Kliknout na Create agent policy:
Kliknout na rubriku Agents a přidat agenta kliknutím na Add agent:
V prvním bodu vybrat již vytvořenou agent policy se jménem Windows. Vše ostatní je ponecháno v defaultu:
Pro instalaci Elastic Agenta na Windows, kliknout Windows a zkopírovat do schránky pomocí diskety napravo nahoře – tyto příkazy se budou aplikovat v Powershellu ve Windows, což je popsáno níže:
2. Instalace a konfigurace Elastic Agenta ve Windows:
Pozn. Windows Agent může být za NATem – odzkoušeno.
1. Otevřít Powershell jako administrátor:
2. Přejít do složky Program Files a vytvořit novou složku s libovolným názvem. V tomto případě jde o složku Elastic_agent:
cd 'C:\Program Files\'
mkdir Elastic_agent
Z bodu 3 zkopírovat příkazy přímo v Powershellu:
Upozornění: Na konci řádku posledního příkazu je potřeba zadat parametr –insecure
Po úspěšné instalaci lze vidět, že byl Elastic Agent „enrolnutý“:
V rubrice Agents lze vidět, že Agent je ve statusu Healthy:
V powershellu spustit příkaz níže. Nyní by měl být jako proces spustěn Elastic Agent:
tasklist.exe | findstr elastic
Výpis příkazu tasklist.exe | findstr elastic ukazuje, že proces běží:
elastic-agent.exe 2800 Services 0 41,840 K
V Elastic webovém rozhraní je možné kliknout na Observability > Infrastructure > Inventory vidět sesbírané metriky (např. vytížení procesoru, využití paměti, síťová aktivita) z nově přidané pracovní stanice Windows 11:
3. Restart Elastic Agenta ve Windows:
1. Otevřít Powershell jako administrátor:
2. Vepsat příkaz níže:
C:\"Program Files"\Elastic\Agent\elastic-agent.exe restart
3. Odinstalování Elastic Agenta ve Windows:
1. Otevřít Powershell jako administrátor:
Odinstalování Elastic agenta po Linuxem se může hodit např. pokud je u daného Hosta, měněna Agent policy. Nicméně to je jeden z mnoha případů.
2. Vepsat příkaz níže:
C:\"Program Files"\Elastic\Agent\elastic-agent.exe uninstall
Výstup příkazu C:\“Program Files“\Elastic\Agent\elastic-agent.exe uninstall může vypadat následovně:
Elastic Agent will be uninstalled from your system at C:\Program Files\Elastic\Agent. Do you want to continue? [Y/n]:Y failed to uninstall component "endpoint-default": failed starting the command: failed to start "C:\\Program Files\\Elastic\\Agent\\data\\elastic-agent-4ac18b\\components\\endpoint-security.exe": fork/exec C:\Program Files\Elastic\Agent\data\elastic-agent-4ac18b\components\endpoint-security.exe: The parameter is incorrect. Elastic Agent has been uninstalled.
Řešení problémů:
1. Chyba – Error: fail to enroll: fail to execute request to fleet-server: x509: certificate signed by unknown authority.
Při zadání posledního příkazu v Powershellu níže:
.\elastic-agent.exe install --url=https://192.168.0.162:8220 --enrollment-token=Qjh5VUlJa0I0M1lWU2VIZGtJVlI6UUlULVRocUlSZS1rSVZYLUVYMFNLQQ==
se zobrazí chyba
1. Error: fail to enroll: fail to execute request to fleet-server: x509: certificate signed by unknown authority. For help, please see our troubleshooting guide at https://www.elastic.co/guide/en/fleet/8.8/fleet-troubleshooting.html. Error: enroll command failed with exit code: 1
Řešení problému:
Na konci řádku posledního příkazu je potřeba zadat parametr –insecure
Příklad:
.\elastic-agent.exe install --url=https://192.168.0.162:8220 --enrollment-token=Qjh5VUlJa0I0M1lWU2VIZGtJVlI6UUlULVRocUlSZS1rSVZYLUVYMFNLQQ== --insecure
