centos7安装配置ELK(Elasticsearch+Logstash+Kibana)

lanxi256

　　1.server端安装
　　#安装elasticsearch
　　yum install java-1.8.0-openjdk ruby
　　yum install elasticsearch-2.1.0.rpm
　　vi /etc/elasticsearch/elasticsearch.yml
　　# cluster.name: my-application
　　cluster.name: wc
　　# network.host: 192.168.0.1
　　network.host: 127.0.0.1
　　systemctl start elasticsearch
　　rpm -qc elasticsearch
　　curl -X GET http://localhost:9200/
　　vi /etc/nginx/conf.d/elasticsearch.conf
　　server {
　　listen 80;
　　server_name 110.110.110.110;:
　　location / {
　　proxy_pass http://110.110.110.110:9200;
　　proxy_redirect  off;
　　proxy_set_header Host $host;
　　proxy_set_header X-Real-IP $remote_addr;
　　proxy_set_header X-Forwarded-Proto https;
　　proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
　　}
　　}
　　浏览器输入http://110.110.110.110:9200/
　　

　　#安装redis
　　yum install redis
　　mkdir -p /opt/redis
　　cd /opt/redis
　　mkdir {db,log,etc}
　　redis-server /etc/redis.conf &   启动默认的redis配置文件
　　

　　#安装kibana
　　tar -zxvf kibana-5.0.0-snapshot-linux-x64.tar.gz
　　mv kibana-5.0.0-snapshot-linux-x64 kibana
　　cp -R kibana /opt/
　　vi /etc/systemd/system/kibana.service
　　[Service]
　　ExecStart=/opt/kibana/bin/kibana
　　[Install]
　　WantedBy=multi-user.target
　　systemctl start kibana
　　systemctl enable kibana
　　systemctl status kibana
　　http://IP:5601
　　报错1：Unable to connect to Elasticsearch at http://localhost:9200. Retrying in 2.5 seconds
　　解决1：
vi /etc/elasticsearch/elasticsearch.yml
network.host: 127.0.0.1
报错2：No existing Kibana index found
解决2：
　　报错3：Warning No default index pattern. You must select or create one to continue.
　　解决3：
　　

　　#安装logstash
　　yum install logstash-2.1.0-1.noarch.rpm
　　cd /etc/pki/tls
　　openssl req -config /etc/pki/tls/openssl.cnf -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt
　　vi /etc/logstash/conf.d/logstasg-hello.conf
　　input {
　　lumberjack {
　　# The port to listen on
　　port => 5000
　　# The paths to your ssl cert and key
　　ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
　　ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
　　type => "this forwarder's file have no type!"
　　}
　　}
　　

　　filter {
　　if [type] == "syslog" {
　　grok {
　　match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
　　add_field => [ "received_at", "%{@timestamp}" ]
　　add_field => [ "received_from", "%{host}" ]
　　}
　　syslog_pri { }
　　date {
　　match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
　　}
　　}
　　}
　　

　　output {
　　elasticsearch { host => localhost }
　　stdout { codec => rubydebug }
　　}
　　/opt/logstash/bin/logstash -f /etc/logstash/conf.d/logstash-hello.conf
　　

　　#安装lnmp环境
　　yum install nginx php
　　vi /etc/nginx/conf.d/logstash.conf
　　server {
　　listen       80;
　　server_name   IP;
　　location / {
　　proxy_pass  http://localhost:5601;
　　proxy_redirect  off;
　　proxy_set_header Host $host;
　　proxy_set_header X-Real-IP $remote_addr;
　　proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
　　client_max_body_size 10m;
　　client_body_buffer_size 128k;
　　proxy_connect_timeout 90;
　　proxy_send_timeout 90;
　　proxy_read_timeout 90;
　　proxy_buffer_size 4k;
　　proxy_buffers 4 32k;
　　proxy_busy_buffers_size 64k;
　　proxy_temp_file_write_size 64k;
　　}
　　}
　　systemctl start nginx
　　

　　2.client端安装
　　

　　3.elasticsearch配置文件详解
　　cat /etc/elasticsearch里的logging.yml用默认配置，elasticsearch.yml配置如下：
　　

　　cluster.name: elasticsearch
　　配置es的集群名称，默认是elasticsearch，es会自动发现在同一网段下的es，如果在同一网段下有多个集群，就可以用这个属性来区分不同的集群。
　　

　　node.name: "Franz Kafka"
　　节点名，默认随机指定一个name列表中名字，该列表在es的jar包中config文件夹里name.txt文件中，其中有很多作者添加的有趣名字。
　　

　　node.master: true
　　指定该节点是否有资格被选举成为node，默认是true，es是默认集群中的第一台机器为master，如果这台机挂了就会重新选举master。
　　

　　node.data: true
　　指定该节点是否存储索引数据，默认为true。
　　

　　index.number_of_shards: 5
　　设置默认索引分片个数，默认为5片。
　　

　　index.number_of_replicas: 1
　　设置默认索引副本个数，默认为1个副本。
　　

　　path.conf: /path/to/conf
　　设置配置文件的存储路径，默认是es根目录下的config文件夹。
　　

　　path.data: /path/to/data
　　设置索引数据的存储路径，默认是es根目录下的data文件夹，可以设置多个存储路径，用逗号隔开，例：
　　path.data: /path/to/data1,/path/to/data2
　　

　　path.work: /path/to/work
　　设置临时文件的存储路径，默认是es根目录下的work文件夹。
　　

　　path.logs: /path/to/logs
　　设置日志文件的存储路径，默认是es根目录下的logs文件夹
　　

　　path.plugins: /path/to/plugins
　　设置插件的存放路径，默认是es根目录下的plugins文件夹
　　

　　bootstrap.mlockall: true
　　设置为true来锁住内存。因为当jvm开始swapping时es的效率 会降低，所以要保证它不swap，可以把ES_MIN_MEM和ES_MAX_MEM两个环境变量设置成同一个值，并且保证机器有足够的内存分配给es。 同时也要允许elasticsearch的进程可以锁住内存，linux下可以通过`ulimit -l unlimited`命令。
　　

　　network.bind_host: 192.168.0.1
　　设置绑定的ip地址，可以是ipv4或ipv6的，默认为0.0.0.0。
　　

　　network.publish_host: 192.168.0.1
　　设置其它节点和该节点交互的ip地址，如果不设置它会自动判断，值必须是个真实的ip地址。
　　

　　network.host: 192.168.0.1
　　这个参数是用来同时设置bind_host和publish_host上面两个参数。
　　

　　transport.tcp.port: 9300
　　设置节点间交互的tcp端口，默认是9300。
　　

　　transport.tcp.compress: true
　　设置是否压缩tcp传输时的数据，默认为false，不压缩。
　　

　　http.port: 9200
　　设置对外服务的http端口，默认为9200。
　　

　　http.max_content_length: 100mb
　　设置内容的最大容量，默认100mb
　　

　　http.enabled: false
　　是否使用http协议对外提供服务，默认为true，开启。
　　

　　gateway.type: local
　　gateway的类型，默认为local即为本地文件系统，可以设置为本地文件系统，分布式文件系统，hadoop的HDFS，和amazon的s3服务器，其它文件系统的设置方法下次再详细说。
　　

　　gateway.recover_after_nodes: 1
　　设置集群中N个节点启动时进行数据恢复，默认为1。
　　

　　gateway.recover_after_time: 5m
　　设置初始化数据恢复进程的超时时间，默认是5分钟。
　　

　　gateway.expected_nodes: 2
　　设置这个集群中节点的数量，默认为2，一旦这N个节点启动，就会立即进行数据恢复。
　　

　　cluster.routing.allocation.node_initial_primaries_recoveries: 4
　　初始化数据恢复时，并发恢复线程的个数，默认为4。
　　

　　cluster.routing.allocation.node_concurrent_recoveries: 2
　　添加删除节点或负载均衡时并发恢复线程的个数，默认为4。
　　

　　indices.recovery.max_size_per_sec: 0
　　设置数据恢复时限制的带宽，如入100mb，默认为0，即无限制。
　　

　　indices.recovery.concurrent_streams: 5
　　设置这个参数来限制从其它分片恢复数据时最大同时打开并发流的个数，默认为5。
　　

　　discovery.zen.minimum_master_nodes: 1
　　设置这个参数来保证集群中的节点可以知道其它N个有master资格的节点。默认为1，对于大的集群来说，可以设置大一点的值（2-4）
　　

　　discovery.zen.ping.timeout: 3s
　　设置集群中自动发现其它节点时ping连接超时时间，默认为3秒，对于比较差的网络环境可以高点的值来防止自动发现时出错。
　　

　　discovery.zen.ping.multicast.enabled: false
　　设置是否打开多播发现节点，默认是true。
　　

　　discovery.zen.ping.unicast.hosts: ["host1", "host2:port", "host3[portX-portY]"]
　　设置集群中master节点的初始列表，可以通过这些节点来自动发现新加入集群的节点。
　　

　　下面是一些查询时的慢日志参数设置
　　index.search.slowlog.level: TRACE
　　index.search.slowlog.threshold.query.warn: 10s
　　index.search.slowlog.threshold.query.info: 5s
　　index.search.slowlog.threshold.query.debug: 2s
　　index.search.slowlog.threshold.query.trace: 500ms
　　

　　index.search.slowlog.threshold.fetch.warn: 1s
　　index.search.slowlog.threshold.fetch.info: 800ms
　　index.search.slowlog.threshold.fetch.debug:500ms
　　index.search.slowlog.threshold.fetch.trace: 200ms