uptime 20+ ans
sla 99.9%
formations 1075 jours
serveurs 264 infogérés
certif QUALIOPI ✓
libra-linux.com --:--:--

Centralisation logs avec ELK Stack — Elasticsearch, Kibana, Filebeat

23 avril 2026 — par

 

1. Objectif

  • Déployer un serveur central avec Elasticsearch (moteur de recherche) et Kibana (interface web).

  • Installer Filebeat sur des serveurs Linux distants (hébergeant Apache, Nginx, MySQL, etc.).

  • Configurer Filebeat pour envoyer les logs vers Elasticsearch via un pipeline sécurisé.

2. Prérequis

Sur le serveur central :

  • Debian/Ubuntu récent (20.04+)

  • 4 Go RAM minimum recommandé

  • Accès root ou sudo

Sur les serveurs agents :

  • Debian/Ubuntu

  • Services applicatifs actifs : Apache2, Nginx, MySQL, etc.

    Accès réseau vers le serveur central

3. Installation d’Elasticsearch et Kibana sur le serveur central

3.1 Ajouter le dépôt Elastic

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | 
  sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update

3.2 Installer Elasticsearch

sudo apt install elasticsearch

Activer et démarrer :

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Vérifier :

curl -k https://localhost:9200 -u elastic

📌 Remarque : par défaut, Elasticsearch génère un mot de passe elastic à l’installation. Vérifiez avec :

sudo cat /etc/elasticsearch/elasticsearch.keystore

3.3 Installer Kibana

sudo apt install kibana

Activer et démarrer :

sudo systemctl enable kibana
sudo systemctl start kibana

Accès : http://<ip_du_serveur>:5601

 

4. Sécurisation Elasticsearch (optionnel mais recommandé)

Elastic 8+ active TLS et l’authentification par défaut.

  • Récupérer les mots de passe initiaux :

sudo /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic

  • Générer un certificat pour Filebeat :

sudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s beats

Ou utiliser une CA pour des certificats manuels si besoin.

 

5. Installation de Filebeat sur les serveurs applicatifs

5.1 Ajouter le dépôt

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | 
  sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update

5.2 Installer Filebeat

sudo apt install filebeat

6. Configuration de Filebeat

6.1 Fichier principal : /etc/filebeat/filebeat.yml

🔗 Connexion à Elasticsearch

output.elasticsearch:
  hosts: ["https://<IP_SERVEUR_ELASTIC>:9200"]
  username: "elastic"
  password: "<mot_de_passe>"
  ssl.verification_mode: none   # À désactiver si vous utilisez un certificat valide

🔗 (Optionnel) Connexion via Logstash

output.logstash:
  hosts: ["<IP>:5044"]

6.2 Activer les modules pour services applicatifs

Apache2
sudo filebeat modules enable apache

Modifiez la config si nécessaire :

sudo nano /etc/filebeat/modules.d/apache.yml
Exemple apache.yml :
- module: apache
  access:
    enabled: true
    var.paths: ["/var/log/apache2/access.log*"]
  error:
    enabled: true
    var.paths: ["/var/log/apache2/error.log*"]
Nginx
sudo filebeat modules enable nginx
MySQL
sudo filebeat modules enable mysql

Modifiez /etc/filebeat/modules.d/mysql.yml si vos logs sont ailleurs.

 

7. Activer et démarrer Filebeat

sudo systemctl enable filebeat
sudo systemctl start filebeat

Tester la config :

sudo filebeat test config
sudo filebeat test output

 

8. Ingestion dans Elasticsearch et visualisation

8.1 Charger les dashboards (optionnel)

sudo filebeat setup --dashboards

8.2 Chargement des pipelines et templates

sudo filebeat setup --modules apache nginx mysql

9. Visualisation avec Kibana

  • Rendez-vous sur : http://<ip_serveur>:5601

  • Allez dans Discover

  • Choisissez l’index filebeat-*

  • Visualisez les logs d’Apache, Nginx, MySQL, etc.

 

10. Exemple multi-agent : Apache + Nginx + MySQL

Exemple de modules activés sur un seul hôte

sudo filebeat modules enable apache nginx mysql

Chaque service aura son propre pipeline et dashboard prédéfini dans Kibana.

 

11. Sécurisation avancée (certificats, firewall)

  • Utilisez TLS avec des certificats signés

  • Limitez le port 9200 uniquement aux agents autorisés via firewall ou VPN

  • Utilisez des utilisateurs restreints pour Filebeat (pas elastic)

 

12. Supervision

Vous pouvez visualiser l’état des agents via :

  • Kibana > Observability > Logs > Stream

  • Ou créer des visualisations personnalisées (nombre d’erreurs par application, etc.)

 

 

Index complet

Tous les articles (41)

Date Article Tags
07/06/2026 Docker : comment récupérer de l'espace disque cache conteneurs debian 07/06/2026 Graylog 7 — Centralisation et analyse de logs : l'alternative à ELK sur Debian/Ubuntu centralisation debian elk 07/06/2026 OpenZFS : tiering avec L2ARC et SLOG pour les workloads mixtes cache l2arc nvme 07/06/2026 Scripting Bash avancé — pièges, bonnes pratiques et optimisation automatisation bash bonnes-pratiques 07/06/2026 AppArmor sur Debian/Ubuntu : profils, modes et confinement applicatif apparmor audit confinement 07/06/2026 Durcissement SSH — au-delà des clés publiques 2fa authentification cryptographie 27/05/2026 LXD 6.x : orchestration de conteneurs Linux avec profils et clustering administration clustering conteneurs 27/05/2026 Keepalived — VIP flottante et load balancing sans matériel dédié debian failover haute-disponibilité 27/05/2026 Btrfs sur Linux — snapshots, sous-volumes et compression en pratique administration btrfs compression 21/05/2026 CVE-2026-42945 (NGINX Rift) : analyse et remédiation sur Debian/Ubuntu cve debian heap-overflow 21/05/2026 Tuning kernel Linux — paramètres sysctl essentiels pour la production debian kernel mémoire 21/05/2026 DRBD : réplication de blocs entre deux serveurs en temps réel cluster debian drbd 15/05/2026 CVE-2026-23918 — vulnérabilité Apache 2.4.66 : analyse et correctifs sur Debian/Ubuntu (hors Debian 11) apache cve debian 15/05/2026 CVE-2026-31431 (Copy Fail) — Analyse et remédiation sur Debian/Ubuntu algif_aead copy-fail cve 12/05/2026 Pacemaker et Corosync — cluster haute disponibilité Linux cluster corosync debian 12/05/2026 WireGuard : monter un VPN mesh entre plusieurs serveurs Linux chiffrement linux mesh 12/05/2026 Netdata — monitoring temps réel sans configuration complexe alertes dashboard linux 12/05/2026 nftables en pratique — remplacer iptables sur Debian/Ubuntu debian firewall iptables 12/05/2026 Podman : alternative rootless à Docker — installation et migration conteneurs docker kubernetes 02/05/2026 Prometheus et Grafana sur Debian — installation, configuration et dashboards pratiques alertmanager dashboard debian 02/05/2026 Ansible : automatiser la gestion de serveurs Linux avec des playbooks administration ansible automation 28/04/2026 ZFS sur Linux : snapshots, clones et RAID-Z en pratique administration compression filesystem 28/04/2026 eBPF sur Linux : observabilité et traçage kernel avec bpftrace et BCC bcc bpftrace diagnostic 23/04/2026 Analyse de la mémoire sur Linux — vmstat, free, smem diagnostic mémoire monitoring 23/04/2026 Sécurité Linux — Firewall iptables et nftables firewall iptables nftables 23/04/2026 ZFS sur Linux — Installation et gestion avancée administration filesystem stockage 23/04/2026 Gestion des services avec systemd sur Debian et Ubuntu administration debian services 23/04/2026 Gestion des ressources cgroups v1/v2 avec LXC cgroups conteneurs lxc 23/04/2026 Centralisation logs avec ELK Stack — Elasticsearch, Kibana, Filebeat elasticsearch elk filebeat 23/04/2026 Supervision avec Zabbix 7.0 LTS sur Debian/Ubuntu debian monitoring supervision 23/04/2026 Plusieurs versions PHP-FPM sur Apache Debian/Ubuntu apache debian php-fpm 23/04/2026 Sécurisation avancée PHP-FPM — Multi-VirtualHosts Apache/Nginx apache nginx php-fpm 23/04/2026 Optimisation PHP-FPM — Guide de tuning d'un pool optimisation performance php-fpm 29/07/2025 Docker sur Debian/Ubuntu : Installation, Configuration et Utilisation conteneurs debian docker 03/07/2025 Serveur VPN WireGuard sous linux réseau sécurité vpn 03/07/2025 Authentification par clé publique sur un serveur SSH authentification cryptographie sécurité 27/06/2025 Surveillance et diagnostic d’un serveur Linux avec vmstat, iotop et htop diagnostic htop monitoring 27/06/2025 Mémoire : Utilisation des Huge Pages et implémentation hugepages mémoire noyau 27/06/2025 Mémoire Swap et paramétrage swappiness mémoire noyau performance 18/06/2025 Installation et Configuration des Conteneurs LXC sur Linux administration conteneurs lxc 18/06/2025 Gestion des journaux avec syslog et journalctl administration journalctl logs