ELK日志群集服务部署

实验名称：ELK日志群集服务部署
实验目的：进行实验操作：完成Elk日志服务实验
实验环境：
准备两台CentOS 7
1、主机名为：elk-n1.mystic.org
IP:192.168.22.5
2、主机名为：elk-n2.mystic.org
IP:192.168.22.6
实验步骤：
一、第一台部署elasticsearch集群
1、设置虚拟机名字
[root@localhost ~]# vim /etc/hostname

2、添加映射条件，第一个是第一台虚拟机的映射
[root@localhost ~]# vim /etc/hosts

3、关闭SEKinux：
[root@bogon ~]# vim /etc/selinux/config //更改SELINUX=permissive

4、修改系统限制
[root@localhost ~]# vim /etc/security/limits.conf
在配置文件中最后的End下加上以下内容

• soft nofile 65536
• hard nofile 131072
• soft nproc 4096
• hard nproc 8192
• soft memlock unlimited
• hard memlock unlimited
  以下为解释：
  

5、重新启动虚拟机
[root@localhost ~]# reboot
6、安装java环境（java环境必须是1.8版本以上的）
将jdk1.8版本的包复制粘贴到虚拟机的./目录下
[root@elk-n1~]#cp’//tmp/VMwareDnD/3f4050ff/jdk-8u161-linux-x64.tar.gz’ ./
解包：
[root@elk-n1 ~]# tar zxvf jdk-8u161-linux-x64.tar.gz ==

7、将jdk1.8.0_161/ 移动到/usr/local/jdk1.8.0下：
[root@elk-n1 ~]# mv jdk1.8.0_161/ /usr/local/jdk1.8.0
编辑主配置文件：
8、[root@elk-n1 ~]# vim /etc/profile==
//在第53行的export下添加以下三行内容：
export JAVA_HOME=/usr/local/jdk1.8.0
exportCLASSPATH=./:$JAV{A}_{H}OME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$JAV{A}_{H}OME/bin:$PATH

9、启用主配置文件：
[root@elk-n1 ~]# source /etc/profile
[root@elk-n1 ~]# java -version

10、安装elasticsearch
将jdk1.8版本的包复制粘贴到虚拟机的./目录下
[root@elk-n1~]#cp’//tmp/VMwareDnD/aec9e207/elasticsearch-7.6.0-x86_64.rpm’ ./
[root@elk-n1 ~]# rpm -ivh elasticsearch-7.6.0-x86_64.rpm

11、创建elasticsearch data的存放目录，并修改该目录的属主属组
12、[root@elk-n1 ~]# mkdir -p /var/es-data
13、[root@elk-n1 ~]# chown -R elasticsearch:elasticsearch /var/es-data/
14、修改elasticsearch的日志属主属组
[root@elk-n1~]#chown-Relasticsearch:elasticsearch/var/log/elasticsearch/
15、修改elasticsearch的配置文件
[root@elk-n1 ~]# vim /etc/elasticsearch/elasticsearch.yml

解释：

16、关闭防火墙
[root@elk-n1 ~]# systemctl stop firewalld
17、修改elasticsearch的Service配置文件
[root@elk-n1 ~]# vim /usr/lib/systemd/system/elasticsearch.service
//在LimitFSIZE下添加LimitMEMLOCK=infinity

18、启动elasticsearch
[root@elk-n1 ~]# systemctl daemon-reload
[root@elk-n1 ~]# systemctl start elasticsearch.service
19、在火狐访问http：//127.0.0.1:9200(查询到uuid号)

二、第二台部署elasticsearch集群。
1、设置虚拟机名字
[root@localhost ~]# vim /etc/hostname

2、添加映射条件，第一个是第二台虚拟机的映射
[root@localhost ~]# vim /etc/hosts

3、关闭SEKinux：
[root@bogon ~]# vim /etc/selinux/config //更改SELINUX=permissive
进入配置文件更改以下内容

4、修改系统限制
[root@localhost ~]# vim /etc/security/limits.conf
在配置文件中最后的End下加上以下内容

• soft nofile 65536
• hard nofile 131072
• soft nproc 4096
• hard nproc 8192
• soft memlock unlimited
• hard memlock unlimited

解释：


5、重新启动虚拟机
[root@localhost ~]# reboot
6、安装java环境（java环境必须是1.8版本以上的）
将jdk1.8版本的包复制粘贴到虚拟机的./目录下
[root@elk-n2~]#cp’//tmp/VMwareDnD/3f4050ff/jdk-8u161-linux-x64.tar.gz’ ./
7、解包：
[root@elk-n2 ~]# tar zxvf jdk-8u161-linux-x64.tar.gz ==

8、将jdk1.8.0_161/ 移动到/usr/local/jdk1.8.0下：
[root@elk-n2 ~]# mv jdk1.8.0_161/ /usr/local/jdk1.8.0
9、编辑主配置文件：
[root@elk-n2 ~]# vim /etc/profile
//在第53行的export下添加以下三行内容：
export JAVA_HOME=/usr/local/jdk1.8.0
exportCLASSPATH=./:$JAV{A}_{H}OME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$JAV{A}_{H}OME/bin:$PATH

10、启用主配置文件：
[root@elk-n2 ~]# source /etc/profile
[root@elk-n2 ~]# java -version

11、安装elasticsearch
将jdk1.8版本的包复制粘贴到虚拟机的./目录下
[root@elk-n2~]#cp’//tmp/VMwareDnD/aec9e207/elasticsearch-7.6.0-x86_64.rpm’ ./
[root@elk-n2 ~]# rpm -ivh elasticsearch-7.6.0-x86_64.rpm

12、创建elasticsearch data的存放目录，并修改该目录的属主属组
13、[root@elk-n2 ~]# mkdir -p /var/es-data==
14、[root@elk-n2 ~]# chown -R elasticsearch:elasticsearch /var/es-data/
修改elasticsearch的日志属主属组
[root@elk-n2~]#chown-Relasticsearch:elasticsearch/var/log/elasticsearch/
15、修改elasticsearch的配置文件
[root@elk-n2 ~]# vim /etc/elasticsearch/elasticsearch.yml ==

16、关闭防火墙
[root@elk-n2 ~]# systemctl stop firewalld
17、修改elasticsearch的Service配置文件
//在LimitFSIZE下添加LimitMEMLOCK=infinity
[root@elk-n2 ~]# vim /usr/lib/systemd/system/elasticsearch.service
//在LimitFSIZE下添加LimitMEMLOCK=infinity

18、启动elasticsearch
[root@elk-n2 ~]# systemctl daemon-reload
[root@elk-n2 ~]# systemctl start elasticsearch.service
19、在火狐访问http：//127.0.0.1:9200（查询到uuid：与第一台uuid相同）

三、第一台配置
1、安装Head插件，在elk-n1主机上
安装EPEL源
[root@elk-n1 ~]# yum -y install epel-release

2、将phantomjs的包复制到虚拟机的./目录下
[root@elk-n1~]#cp’//tmp/VMwareDnD/7820d6e8/phantomjs-2.1.1-linux-x86_64.tar.bz2’ ./
先安装phantomjs
[root@elk-n1 ~]# tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2

3、将phantomjs移动到/usr/local/phantomjs下
[root@elk-n1~]#mv phantomjs-2.1.1-linux-x86_64 /usr/local/phantomjs
4、建立软连接
[root@elk-n1 ~]# ln -s /usr/local/phantomjs/bin/phantomjs /usr/bin/
5、再测试以下
[root@elk-n1 ~]# phantomjs --version
2.1.1
6、安装Head插件
head插件本质上是一个nodejs 工程，因此需要安装node，使用npm来安装依赖的包。
将node（13.8）安装包复制粘贴到/tmp目录下
[root@elk-n1 ~]# cp ‘/tmp/VMwareDnD/7a23d045/node-v13.8.0-linux-x64.tar.gz’ ./
[root@elk-n1 ~]# tar zxvf node-v13.8.0-linux-x64.tar.gz
7、[root@elk-n1 ~]# mv node-v13.8.0-linux-x64/ /usr/local/node13.8==
8、[root@elk-n1 ~]# vim /etc/profile
//在配置文件中export下添加以下两行
export NODE_HOME=/usr/local/node13.8
export PATH=$PATH:$NODE_HOME/bin

9、启用主配置文件：
[root@elk-n1 ~]# source /etc/profile
10、安装git，下载Head插件

[root@elk-n1 ~]# git clone https://github.com/mobz/elasticsearch-head.git

11、将elasticsearch-head移动到/opt目录下
[root@elk-n1 ~]# mv elasticsearch-head/ /opt/
12、安装grunt
[root@elk-n1 ~]# cd /opt/elasticsearch-head/
[root@elk-n1 elasticsearch-head]# npm install -g grunt --registry=https://registry.npm.taobao.org

13、[root@elk-n1 elasticsearch-head]# npm config set registry https://registry.npm.taobao.org //（不会有安装过程）
[root@elk-n1 elasticsearch-head]# npm install == //安装插件

一定要看到这个进度条，如果没有可能是因为网卡，看到进度条在往下进行

14、配置elasticsearch-head下Gruntfile.js文件
[root@elk-n1 elasticsearch-head]# vim Gruntfile.js
搜索connect：在94行
添加主机名，本机
修改_site/app.js文件

15、[root@elk-n1 elasticsearch-head]# vim _site/app.js
第4388行：IP地址
this.base_uri = this.config.base_uri || this.prefs.get(“app-base_uri”) || “http://192.168.22.5:9200”; （将原内容改为IP地址：9200）

16、启动head插件服务（后台运行）
[root@elk-n1 elasticsearch-head]# ./node_modules/grunt/bin/grunt server &
出来IP地址即可终止

或者用[root@elk-n1 elasticsearch-head]# npm run start &==
17、在火狐查看一下
http：//192.168.68.99:9100
要显示出elk-n1，elk-n2两个

四、Logstash的安装配置。
1、安装配置logstash（你要采集哪里的日志，就装在哪里）
将logstash的包复制到虚拟机的./目录下
[root@elk-n1 ~]# cp ‘//tmp/VMwareDnD/870fdced/logstash-7.6.0.rpm’ ./
[root@elk-n1 ~]# rpm -ivh logstash-7.6.0.rpm

2、建立软连接
[root@elk-n1 ~]# ln -s /etc/logstash/ /usr/share/logstash/config
[root@elk-n1 ~]# vim /etc/logstash/logstash.yml
在第64行，搜索path.config后加上/etc/logstash/conf.d/*.conf

3、logstash的测试
[root@elk-n1 ~]# /usr/share/logstash/bin/logstash -t ‘input{stdin{}}output{stdout{codec=>rubydebug}}’
//要注意查看，确保成功
也可以用-f

4、日志采集信息配置：
给与权限
[root@elk-n1 ~]# chmod a+r /var/log/messages ==
[root@elk-n1 ~]# vim /etc/logstash/conf.d/system.conf
在编辑器写入以下内容
input {
file {
path => “/var/log/messages”
//收集Linux系统日志
type => “system”
start_position => “beginning”
}
}
output {
elasticsearch {
hosts => [“192.168.22.5:9200”]
//输出到elasticsearch
index => “system-%{+YYYY.MM.dd}”
}
}
如图：

5、测试或启动Logstash，并在ESL主机上验证，别忘记防火墙设置
[root@elk-n2 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/apache_access.conf
//需要等一会

6、[root@elk-n2 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/apache_error.conf==
如果一段时间后还没反应按Ctrl+C

7、启动Logstash
[root@elk-n1 ~]# systemctl enable logstash
[root@elk-n1 ~]# systemctl start logstash

8、访问
在第2台访问输入第一台IP
192.168.22.5：9100

访问Kibana页面
192.168.22.5：5601

【至此，ELK日志群集服务部署实验完成】