Centos7_ELK5.4.1配置部署

hao0089

Centos7_ELK5.4.1配置部署

一、概念
　　1、核心组成
　　ELK由Elasticsearch、Logstash和Kibana三部分组件组成；
　　Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。
　　Logstash是一个完全开源的工具，它可以对你的日志进行收集、分析，并将其存储供以后使用
　　kibana 是一个开源和免费的工具，它可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志
　　2.下载
　　
　　官网下载地址：https://www.elastic.co/downloads
　　
　　从中获取最新版软件包软件包列表：
　　https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.4.1.tar.gz
　　https://artifacts.elastic.co/downloads/kibana/kibana-5.4.1-linux-x86_64.tar.gz
　　https://artifacts.elastic.co/downloads/logstash/logstash-5.4.1.tar.gz
　　https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.4.1-linux-x86_64.tar.gz
　　3.注意事项
　　  a、所有节点操作系统版本最好保持一致，centos6.5测试最新版本内核不支持，尽可能使用目前centos7.3稳定版本。Elk服务器配置需要，如果条件运行使用为2C4G，
　　  b、本文档为单机版，即将Elasticsearch、Logstash和Kibana安装在一台服务器上，生产环境建议将其在docker中分开安装，以便快速迁移至物理服务器。
　　  c、关闭selinux，关闭firewalld或添加端口例外.修改主机名称。
二、安装部署
　　1.安装jdk
yum install -y java-1.8.0-openjdk
hostnamectl set-hostname elk-1            #修改主机名
systemctl stop firewalld                  #关闭firewalld
setenforce 0　　2.下载软件包

　　3.安装elasticsearch
cd /usr/local/tools
tar zxf elasticsearch-5.4.1.tar.gz
mv elasticsearch-5.4.1 /usr/local/elasticsearch
cd /usr/local/elasticsearch/config/　　编辑elasticsearch.yml

mkdir -p /usr/local/elasticsearch/data /usr/local/elasticsearch/logs
useradd elasticsearch
chown -R elasticsearch:elasticsearch /usr/local/elasticsearch
echo "vm.max_map_count = 655360" >>/etc/sysctl.conf && sysctl -p　　elasticsearch不可用root用户启动，新建elasticsearch运行用户

编辑/etc/security/limits.conf文件，新增以下内容

* soft nofile 65536
* hard nofile 65536
* soft nproc 65536
* hard nproc 65536　　启动elasticsearch
su - elasticsearch
cd /usr/local/elasticsearch
bin/elasticsearch &

　　查看端口监听信息
　　
　　curl测试

　　4.安装logstash
cd /usr/local/tools
tar -zxvf logstash-5.4.1.tar.gz
mv logstash-5.4.1 /usr/local/logstash
cd /usr/local/logstash/config
vim 01-syslog.conf　　

　　安装filebeat
cd /usr/local/tools/
tar -zxvf filebeat-5.4.1-linux-x86_64.tar.gz
mv filebeat-5.4.1-linux-x86_64 /usr/local/filebeat
vim /usr/local/filebeat/filebeat.yml

启动filebeat

/usr/local/filebeat
./filebeat &

启动logstash（加载配置文件启动）

cd /usr/local/logstash/
bin/logstash -f config/01-syslog.conf &

查看监听端口

稍等以后屏幕会输出返回的结果

可以用名称测试：curl http://172.17.10.198:9200/_search?pretty

我们想以web形式展现数据，就需要安装kibana

5.安装kibana

cd /usr/local/tools/
tar -zxf kibana-5.4.1-linux-x86_64.tar.gz
mv kibana-5.4.1-linux-x86_64 /usr/local/kibana
cd /usr/local/kibana/config
vim /usr/local/kibana/config/kibana.yml

启动

/bin/kibana &

查看端口监听情况

三、测试

通过web界面访问，创建index patterns

　　查看创建对应的日志

　　本文为个人测试ELK最新版本最基础的搭建，可以将其在docker中各应用拆分开部署，后期学习elk的高级用法。