Fleet 和 Elastic Agent 概述
编辑Fleet 和 Elastic Agent 概述
编辑Elastic Agent
编辑Elastic Agent 是一种统一的方式,用于为主机添加日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,查询操作系统的数据,转发来自远程服务或硬件的数据等等。单个代理可以更轻松、更快速地在整个基础设施中部署监控。每个代理都有一个策略,您可以更新该策略以添加新数据源、安全保护等集成。
如下图所示,Elastic Agent 可以监控其部署的主机,并且可以收集和转发来自无法直接部署的远程服务和硬件的数据。
要了解安装选项,请参阅安装 Elastic Agent。
将 Fleet 和 Elastic Agent 与 Elastic Cloud Serverless 一起使用?请注意这些限制。
正在寻找探索所有数据摄取选项的通用指南?请查看向 Elasticsearch 添加数据。
集成
编辑Elastic 集成提供了一种将 Elastic 连接到外部服务和系统的简单方法,并快速获取见解或采取行动。它们可以收集新的数据源,并且通常附带开箱即用的资产,如仪表板、可视化和管道,以从日志和事件中提取结构化字段。这使得在几秒钟内获得见解变得更容易。集成适用于流行的服务和平台,如 Nginx 或 AWS,以及许多通用输入类型,如日志文件。
Kibana 提供了一个基于 Web 的 UI 来添加和管理集成。您可以浏览可用集成的统一视图,其中显示 Elastic Agent 和 Beats 集成。
Elastic Agent 策略
编辑Agent 策略指定您想要运行哪些集成以及在哪些主机上运行。您可以将 Elastic Agent 策略应用于多个代理,从而更轻松地大规模管理配置。
当您添加集成时,您将配置日志和指标的输入,例如 Nginx 访问日志的路径。完成后,您将集成保存到 Elastic Agent 策略。下次注册的代理签入时,它们将收到更新。自动部署策略比使用 SSH、Ansible Playbook 或其他工具自己部署要方便得多。
有关更多信息,请参阅策略。
如果您喜欢基础设施即代码,则可以使用 YAML 文件和 API。Fleet 采用 API 优先的设计。您可以在 UI 中执行的任何操作,也可以使用API来执行。这使得可以轻松地自动化并与其他系统集成。
Elastic Package Registry
编辑Elastic Package Registry 是一个在线软件包托管服务,用于托管 Kibana 中可用的 Elastic Agent 集成。
Kibana 使用 Elastic Package Manager 连接到 epr.elastic.co 上的 Elastic Package Registry,下载最新的集成包,并将其资产存储在 Elasticsearch 中。此过程通常需要互联网连接,因为集成会定期更新和发布。您可以在有关气隙环境的部分中找到有关在气隙环境中运行 Elastic Package Registry 的更多信息。
Elastic Artifact Registry
编辑Fleet 和 Elastic Agent 需要访问公共 Elastic Artifact Registry。在任何内部主机上运行的 Elastic Agent 都应有权访问 artifacts.elastic.co,以便执行自我升级和安装某些数据集成所需的组件。
此外,使用 Elastic Defend 时,还需要访问 artifacts.security.elastic.co,以进行 Elastic Agent 更新和安全工件。
您可以在有关气隙环境的部分中找到有关在气隙环境中运行上述资源的更多信息。
Fleet 中的集中管理
编辑Fleet 在 Kibana 中提供了一个基于 Web 的 UI,用于集中管理 Elastic Agent 及其策略。
您可以在 Fleet 中查看所有 Elastic Agent 的状态。在代理页面上,您可以查看哪些代理运行正常或不正常,以及它们上次签入的时间。您还可以查看 Elastic Agent 二进制文件和策略的版本。
Fleet 用作与 Elastic Agent 通信的渠道。代理定期签入以获取最新更新。您可以将任意数量的代理注册到每个代理策略中,这使您可以扩展到数千台主机。
当您更改代理策略时,所有代理将在下次签入时收到更新。您不再需要自己分发策略更新。
当您准备好升级 Elastic Agent 二进制文件或集成时,您可以在 Fleet 中启动升级,并且您主机上运行的 Elastic Agent 将自动升级。
快速向多个 Elastic Agent 推出更改
编辑某些订阅级别支持批量选择操作,包括
- 选择性二进制更新
- 选择性代理策略重新分配
- 选择性取消代理注册
此功能使您能够跨多个 Elastic Agent 应用更改并触发更新,以便您可以快速在组织中推出更改。
有关更多信息,请参阅Elastic Stack 订阅。
Fleet Server
编辑Fleet Server 是将 Elastic Agent 连接到 Fleet 的机制。它允许可扩展的基础架构,并且在 Elastic Cloud 和自管理集群中受支持。Fleet Server 是一个单独的进程,它与已部署的 Elastic Agent 通信。它可以从任何可用的 x64 架构 Elastic Agent 工件启动。
有关更多信息,请参阅什么是 Fleet Server?。
Elasticsearch 作为通信层
编辑Fleet UI 和 Fleet Server 之间的所有通信都通过 Elasticsearch 进行。Fleet 将策略、操作和任何更改写入 Elasticsearch 中的 fleet-* 索引。每个 Fleet Server 都会监视索引,获取更改,并将其发送到 Elastic Agent。为了向 Fleet 传达有关 Elastic Agent 状态和策略部署的信息,Fleet Server 会将更新写入 fleet-* 索引。
Elastic Agent 自我保护
编辑在 macOS 和 Windows 上,当将 Elastic Defend 集成添加到代理策略时,Elastic Endpoint 可以阻止恶意软件在主机上执行。有关更多信息,请参阅Elastic Endpoint 自我保护。
数据流使索引管理更轻松
编辑Elastic Agent 收集的数据存储在比您使用 Beats 发货商或 APM Server 获得的默认索引更精细的索引中。这使您可以更清楚地了解数据量来源,并控制生命周期管理策略和索引权限。这些索引称为数据流。