Elastic Defend部署的一些问题解决方案

FD丶纸鸢

可以参考这个知乎的帖子和龟大的帖子：
https://bbs.kafan.cn/thread-2249543-1-1.html
https://zhuanlan.zhihu.com/p/686633405

Linux和Windows的部署方式大同小异，Windows更方便一点而已。Linux还需要额外创建一个账户（或者自己的也行，理论上来说非root就ok），然后记录下来elasticsearch第一次运行生成的管理员密码和Enrollment Key即可。记录下来之后运行Kibana，然后直接前往服务器IP+5601端口，输入Enrollment Key之后登陆就行了。接下来就可以按给的两个帖子操作了。

主要说几个让人容易很头疼的问题：
1.ElasticSearch访问不到，报错和https有关
配置文件修改这里即可：

2.Linux上报bootstrap xxx之类：
首先找到node.name行，取消注释，然后滑到下方，修改节点名为默认的node-1。

然后修改linux上的/etc/security/limits.conf和/etc/security/limits.conf.d文件夹中的文件（文件名都不一样，但是应该只有一个），修改linux的软硬资源限制即可，具体可百度。参考如下：
* soft nofile 65535
* hard nofile 65535
基本就ok了。具体可以参照错误提示百度搜索，会有更详细的修改方法。我怎么改的忘了反正（）
如果仍然存在这个问题，可以参考上一条。
3.Kibana无法启动，报错身份验证问题
找到elasticsearch中的bin/elasticsearch-reset-password文件（windows带bat），执行命令如下：
elasticsearch-reset-password -i -u kibana_system（或者kibana）
把修改过的账号密码填入kibana.yml中elasticsearch.username和password两行即可，记得取消注释。
4.全部配置完毕，Fleet也OK了，但是安装代{过}{滤}理客户端后提示Unhealthy，进入详情提示规则应用降级，无法连接ElasticSearch服务器：

将这里修改为你自己的ElasticSearch服务器IP和端口号即可，应用后一会就好了。

我自己踩得坑就这些了，其他人有问题也可以问（
本人菜鸡，讲得不对或者有笼统的地方还请斧正（（（（

nikonikoni

感谢分享，看着教程用linode部署了一个玩，等啥时候编码问题解决了就日用的
话说部署elasticsearch，arm架构支持么，家里有个小的arm主机想搭个玩玩

胖墩蚂蚁

无论是windows还是linux
需要敲命令的方式，始终是落后低级的
如果软件实力强，完全可以制作一个双击安装的deb格式或rpm格式的包
提供友好的Linux下的图形界面

nikonikoni

胖墩蚂蚁 发表于 2024-6-7 18:46
无论是windows还是linux
需要敲命令的方式，始终是落后低级的
如果软件实力强，完全可以制作一个双击安装 ...

首先在一些linux发行版中安装wayland和xorg是很困难的事
第二目前大部分云服务器提供商默认不带桌面环境
第三在一台不必须要桌面的设备上运行桌面环境，占用很大

胖墩蚂蚁

nikonikoni 发表于 2024-6-7 18:51
首先在一些linux发行版中安装wayland和xorg是很困难的事
第二目前大部分云服务器提供商默认不带桌面环境 ...

目前的服务器内存G数和内核数已经是3位数
如果支撑不起一个gui的负荷，有两种可能
1、芯片科技停滞了几十年
2、软件开发者没想着做大做强

一般服务器很少装安全软件，因为安全软件没有想着去发展这个领域
所以服务器一般用网络的手段来达到安全

安静的Snow

我是卡在了命令安装agent时候 Fleet Server - Error - x509  好像是什么证书问题 至今未解决 放弃了。。。

t0kenzero

胖墩蚂蚁 发表于 2024-6-7 18:46
无论是windows还是linux
需要敲命令的方式，始终是落后低级的
如果软件实力强，完全可以制作一个双击安装 ...

后端业务不需要在linux下提供图形界面, 只需要提供相应接口给前端的web调用即可.
复杂的逻辑直接修改配置文件反而比网页上点点点来得方便.

t0kenzero

安静的Snow 发表于 2024-6-7 22:25
我是卡在了命令安装agent时候 Fleet Server - Error - x509  好像是什么证书问题 至今未解决 放弃了。。。

如果是自签发证书,需要使用--insecure进行安装agent

胖墩蚂蚁

t0kenzero 发表于 2024-6-7 23:11
后端业务不需要在linux下提供图形界面, 只需要提供相应接口给前端的web调用即可.
复杂的逻辑直接修改配 ...

需要敲命令才能修改配置=落后
好一点的用配置中心，界面修改配置
linux如果不求变好，就让WSL慢慢蚕食

DisaPDB

胖墩蚂蚁 发表于 2024-6-8 00:17
需要敲命令才能修改配置=落后
好一点的用配置中心，界面修改配置
linux如果不求变好，就让WSL慢慢蚕食

为什么要迎合windows用户的需求来做出改变？受众群体一样吗？
命令行可以非常方便的做成脚本／操作说明书／设计文档等等。图形界面你怎么搞？一歩一截屏？人家10多行半页就能搞定的事，你2，30页都不一定能搞定。
再举个例子，比如昨天半夜服务器抽风了，要你把2点到4点之间所有访问特定URL出500错误的用户名统计出来，客服那边要，很急。日志文件不算大，就100MB吧，你拿Excel统计一个试试，看看要多久？