上官网 https://www.elastic.co/downloads 下载最新的包,elasticsearch,kibana,beats(filebeat),logstash
安装jdk,现在只支持JDK1.8
[root@www5 ~]# tar -xf jdk-8u181-linux-x64.tar.gz -C /usr/local/
[root@www5 ~]# cd /usr/local/
[root@www5 local]# mv jdk1.8.0_181/ jdk1.8
解压后不用编译安装,只解压就可以了,将解压的jre目录放到jdk中
安装的时候这个版本不可用,logstash不识别,换了jdk1.8,没有再装jre
[root@www5 local]# vim /etc/profile
export JAVA_HOME=/usr/local/jdk1.8
export JAVACMD=${JAVA_HOME}/bin
export CLASSPATH=.:${JAVA_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
[root@www5 local]# source /etc/profile
[root@www5 local]# java -version
java version "1.8.0_181"
Java(TM) SE Runtime Environment (build 1.8.0_181-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.181-b13, mixed mode)
安装elk准备工作
elk平台对服务器内存的要求比较高,低于3G的内存elasticsearch会启动不了
#将下载的安装包放入普通用户elk的家目录下,并进行解压
#启动elastic需要使用普通用户,使用root用户无法启动
useradd elk
passwd elk
cd /home/elk
[root@www5 elk]# ls #解压后的目录如下
elasticsearch filebeat kibana Kibana_Hanization-master logstash packetbeat
[root@www5 elk]# chown -R elk:elk /home/elk/
需要修改几个参数,不然启动会报错
vim /etc/security/limits.conf #在末尾追加以下内容(elk为启动用户,当然也可以指定为*)
* soft nofile 65536
* hard nofile 65536
* soft nproc 2048
* hard nproc 4096
vim /etc/security/limits.d/20-nproc.conf #将里面的1024改为2048(ES最少要求为2048)
* soft nproc 2048
* hard nproc 4096
vim /etc/sysctl.conf
vm.max_map_count=655360
[root@www2 logstash-6.4.0]# sysctl -p
安装elasticsearch
su - elk
[elk@www5 ~]$ cd elasticsearch/
[elk@www5 elasticsearch]$ vim config/elasticsearch.yml #修改elasticsearch的配置文件
找到配置文件中的cluster.name,打开该配置并设置集群名称
cluster.name: demon
找到配置文件中的node.name,打开该配置并设置节点名称
node.name: elk-1
修改data存放的路径
path.data: /home/elk/elasticsearch/data
修改logs日志的路径
path.logs: /home/elk/elasticsearch/logs
配置内存使用用交换分区
bootstrap.memory_lock: false
监听的网络地址
network.host: 0.0.0.0
开启监听的端口
http.port: 9200
增加新的参数,这样head插件可以访问es (5.x版本,如果没有可以自己手动加)
http.cors.enabled: true
http.cors.allow-origin: "*"
#启动elasticsearch服务
[elk@www5 elasticsearch]$ ./bin/elasticsearch
#验证服务是否启动成功,如果出现类似下面的配置就证明已经启动成功
[root@www5 ~]# curl localhost:9200
{
"name" : "node-1",
"cluster_name" : "my-elk",
"cluster_uuid" : "xhGwYo98T26uq7kR5NBmfg",
"version" : {
"number" : "6.4.0",
"build_flavor" : "default",
"build_type" : "tar",
"build_hash" : "595516e",
"build_date" : "2018-08-17T23:18:47.308994Z",
"build_snapshot" : false,
"lucene_version" : "7.4.0",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
安装kibana
[root@www5 ~]# cd /home/elk/kibana/
[root@www5 kibana]# vim config/kibana.yml
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.url: "http://192.168.100.150:9200"
kibana.index: ".kibana"
#启动kibana
[root@www5 kibana]# ./bin/kibana
#在浏览器里面进行验证,出现kibana的web页面则表示已经成功启动
elk汉化
# 下载并解压
wget https://github.com/anbai-inc/Kibana_Hanization/archive/master.zip unzip master.zip cd master
unzip master.zip
cd master
# 汉化,汉化的过程可能有点慢,出现“恭喜,Kibana汉化完成!” 表示已经汉化完成
[root@www5 Kibana_Hanization-master]# python main.py /home/elk/kibana/
# 汉化完成重新启动elasticsearch 和kibana,在浏览器里面就可以看到转化成中文的效果
安装logstash
[root@www5 config]# cd /home/elk/logstash/
[root@www5 logstash]# vim config/logstash.yml
path.data: /home/elk/logstash/data/
path.config: /home/elk/logstash
[root@www5 logstash]# cd config/
[root@www5 config]# cp logstash-sample.conf logstash.conf
[root@www5 config]# vim logstash.conf
input {
file {
path => ["/home/elk/logs/*.log"]
type => "elk"
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "elk-log-%{+YYYY.MM.dd}"
}
}
#启动logstash
[root@www5 logstash]# ./bin/logstash -f config/logstash.conf
#如果成功,可以在系统管理-->索引模式-->新建索引的第一步就可以看到相应的索引名称
启动成功后,在web页面看到上图红框中索引与配置文件的配置一致,表示成功。
