Elasticsearch 8.6 install on Windows

Reference:

Install Elasticsearch with .zip on Windows

Install KIbana on Windows

elasticsearch-create-enrollment-token

ElasticSearch介紹(1) — 在 Windows 環境安裝Elasticsearch & Kibana

Windows中安装ElasticSearch（单机+集群+Kibana）

 

 

• Download the .zip archive for Elasticsearch 8.6.2 from:

https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.6.2-windows-x86_64.zip

• 解壓縮到 C:\elasticsearch-8.6.2

• 設定環境變數 ES_HOME = C:\elasticsearch-8.6.2

• 執行 C:\elasticsearch-8.6.2\bin\elasticsearch.bat 開始安裝

• 保存產生的 elastic password, fingerprint, enrollment token，之後會用到

• 測試 https://localhost:9200 用 elastic password 登入

• install Elasticsearch as a service

cd C:\elasticsearch-8.6.2\bin
elasticsearch-service.bat install
elasticsearch-service.bat start

• 重設 elastic 密碼的指令

cd C:\elasticsearch-8.6.2\bin
elasticsearch-reset-password -u elastic

• 如果有憑證檔要查詢SHA-256 fingerprint的方法

 openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]

• Download the .zip windows archive for Kibana v8.6.2 from

https://artifacts.elastic.co/downloads/kibana/kibana-8.6.2-windows-x86_64.zip

• 解壓縮到 C:\kibana-8.6.2

• 設定環境變數 KIBANA_HOME = C:\kibana-8.6.2

• 執行 C:\kibana-8.6.2\bin\kibana.bat 會產生一個和 elasticsearch 連結的網址

連上這個網址，填入 elasticsearch 安裝時產生的 enrollment token
這 token 只有30分鐘效期，如果過期可以用 C:\elasticsearch-8.6.2\bin\elasticsearch-create-enrollment-token -s kibana 重新產生

• 用 linux 的 openssl 產生憑證給 kibana

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout ./kibana.key -out ./kibana.crt
將這兩個檔案放到 C:\kibana-8.6.2\certs

• 修改 C:\kibana-8.6.2\config\kibana.yml 這幾行

#server.port: 443 #預設是https 5601，可以改為 443
server.host: W2022 #輸入hostname or IP
server.ssl.enabled: true
server.ssl.certificate: 'C:\kibana-8.6.2\certs\kibana.crt'
server.ssl.key: 'C:\kibana-8.6.2\certs\kibana.key'

• 執行 C:\kibana-8.6.2\bin\kibana.bat 啟動 Kibana
  

開啟Windows防火牆port 5601, 9200，允許連上 https://elk01:5601 (port 9200是傳log用的)

如果要把 kibana 做成 service，可測試 NSSM

https://nssm.cc/

 

• 安裝Winlogbeat將event log傳到Elasticsearch
  

Download the Winlogbeat Windows zip file
https://www.elastic.co/downloads/beats/winlogbeat

• 將zip檔解壓縮到 C:\Program Files\Winlogbeat

• 用administrator權限開一個 powershell，執行這兩個指令

 cd "C:\Program Files\Winlogbeat"
.\install-service-winlogbeat.ps1

• 修改檔案 C:\Program Files\Winlogbeat\winlogbeat.yml

output.elasticsearch:

  hosts: ["https://<elk01>:9200"]
  protocol: "https"
  username: "elastic"
  password: "<password>"
  ssl.ca_trusted_fingerprint: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

 setup.kibana:

   host: "https://<elk01>:5601"
   ssl.verification_mode: none

• Start Winlogbeat

.\winlogbeat.exe setup
Start-Service winlogbeat