作者:qinqin20082602898705 | 来源:互联网 | 2023-06-19 12:01
ELK是三个开源软件的缩写,分别表示:Elasticsearch ,Logstash,Kibana,它们都是开源软件。以上三款软件依赖jdk1.8,请自行安装,不再赘述。废话不多说
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。
以上三款软件依赖jdk1.8,请自行安装,不再赘述。
废话不多说,直接开始安装,此次使用版本
Logstash:7.17.1 (https://artifacts.elastic.co/downloads/logstash/logstash-7.17.1-linux-x86_64.tar.gz)
Elasticsearch:7.17.1 (https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.17.1-linux-x86_64.tar.gz)
Kibana:7.17.1 (https://artifacts.elastic.co/downloads/kibana/kibana-7.17.1-linux-x86_64.tar.gz)
一、下载软件安装包至/usr/local下,并依次解压
cd /usr/local
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.17.1-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.17.1-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.17.1-linux-x86_64.tar.gz
tar -zxvf elasticsearch-7.17.1-linux-x86_64.tar.gz
tar -zxvf logstash-7.17.1-linux-x86_64.tar.gz
tar -zxvf kibana-7.17.1-linux-x86_64.tar.gz
二、安装Elasticsearch(Logstash和Kibana都需要配置其地址,故优先安装)
1、因Elasticsearch、Kibana不支持用root启动,故新建用户elk,并将Elasticsearch所在文件夹的属组和属主都赋权给elk,并切换用户至elk
useradd elk
chown -R elk:elk elasticsearch-7.17.1
su elk
2、在config中修改elasticsearch.yml
ingest.geoip.downloader.enabled: false
xpack.security.enabled: true
xpack.security.authc.api_key.enabled: true
xpack.security.transport.ssl.enabled: true
cluster.name: es-cluster
node.name: node-1
path.data: /usr/local/elasticsearch-7.17.1/data ##此data文件夹默认无,需要用elk用户创建
path.logs: /usr/local/elasticsearch-7.17.1/logs
bootstrap.memory_lock: false
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.initial_master_nodes: ["node-1"]
3、在bin目录下启动Elasticsearch。初始搭建建议前台启动,能随时看到错误。调试无误后后台启动命令 ./elasticsearch -d
[elk@data-anal bin]$ ./elasticsearch
出现如下报错,原因为每个进城同时打开的文件数太小
退回至root用户,使用root用户修改/etc/security/limits.conf,添加如下内容,此文件修改完成后需退出用户重新登录
* soft nofile 65536
* hard nofile 65536
出现如下报错,原因为
使用root用户修改 /etc/sysctl.conf ,添加如下内容
vm.max_map_count=262144
/sbin/sysctl -p #执行此命令立即生效
重新切换回elk用户重新启动
4、启动成功后使用其端口访问http://192.168.2.34:9200,显示如下,此时需要设置ELK相关用户密码。
5、在bin目录下,出现如图下所示,依次设置密码即可!
[elk@data-anal bin]$ ./elasticsearch-setup-passwords interactive
6、在浏览其中输入账号(elastic)密码,出现如下图,则安装成功。
三、安装Logstash(在需要收集日志的服务器)
1、使用root用户编辑
cd /usr/local/logstash-7.17.1
vim config/logstash.yml
2、修改如下内容
node.name: logstash-node-1
path.data: /usr/local/logstash-7.17.1/data
config.reload.automatic: true
config.reload.interval: 3s
3、在config下创建日志收集配置文件
cp logstash-sample.conf logstash.conf
4、添加如下内容
input {
file {
path => "/opt/logs/2022-03-17/*.log"
start_position => beginning
sincedb_path => "/dev/null"
codec => multiline {
pattern => "^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}"
negate => true
auto_flush_interval => 3
what => previous
}
}
}
filter {
if [path] =~ "info" {
mutate { replace => { type => "sys-info" } }
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
date {
match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
}
} else if [path] =~ "error" {
mutate { replace => { type => "sys-error" } }
} else {
mutate { replace => { type => "random_logs" } }
}
}
output {
elasticsearch {
hosts => '192.168.2.34:9200'
user => 'elastic'
#password => 'changeme'
}
stdout { codec => rubydebug }
}
5、启动Logstash,这里启动较慢,出现如下图所示,表示启动成功。后台启动
./logstash -f ../config/logstash.conf
6、启动成功后,Logstash就会将监听的文件内容发送至 Elasticsearch
四、安装Kibana(elk用户)
1、因 Kibana 不允许用root用户启动,先设置Kibana所在文件夹属主与属组,再切换至elk用户,
chown -R elk:elk /usr/local/kibana-7.17.1-linux-x86_64
su elk
2、修改kibana.yml
cd /usr/local/kibana-7.17.1-linux-x86_64
vim config/kibana.yml
3、修改如下内容
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://192.168.2.34:9200"]
kibana.index: ".kibana"
elasticsearch.username: "kibana_system"
elasticsearch.password: "changeme"
i18n.locale: "zh-CN"
4、启动 kibana,后台启动 nohup ./kibana &
[elk@data-anal bin]$ ./kibana
5、通过http://192.168.2.34:5601访问kibana服务,出现如下图则 Kibana 安装成功。
6、使用elastic+密码登录后,添加集成
Management -> Stack Management -> 索引模式 -> 添加集成 -> 搜索 Elasticsearch -> 添加 Elasticsearch
7、创建索引,此条数据源即为从Logstash收集的日志信息存储到了 Elasticsearch 上。
8、创建完索引,即可在Analytics -> Discover 中查看日志信息
京公网安备 11010802041100号