ELK安装

ELK Stack 是 Elasticsearch、Logstash、Kibana 三个开源软件的组合。在实时数据检索和分析场合，三者通常是配合共用，而且又都先后归于 Elastic.co 公司名下，故有此简称。
ELK Stack 在最近两年迅速崛起，成为机器数据分析，或者说实时日志处理领域，开源界的第一选择。

和传统的日志处理方案相比，ELK Stack 具有如下几个优点：
- 处理方式灵活：Elasticsearch 是实时全文索引，不需要像 storm 那样预先编程才能使用；
- 配置简易上手：Elasticsearch 全部采用 JSON 接口，Logstash 是 Ruby DSL设计，都是目前业界最通用的配置语法设计；
- 检索性能高效：虽然每次查询都是实时计算，但是优秀的设计和实现基本可以达到全天数据查询的秒级响应；
- 集群线性扩展：不管是 Elasticsearch 集群还是 Logstash 集群都是可以线性扩展的；
- 前端操作炫丽：Kibana 界面上，只需要点击鼠标，就可以完成搜索、聚合功能，生成炫丽的仪表板。

首先看下三个软件的安装，其实安装方法都差不多

Elasticsearch

Elasticsearch是一个基于Apache Lucene(TM)的开源搜索引擎，与Solr类似，但在实时等方面性能优与Solr。这里有一个二者的对比。
再贴一个大牛的博客：http://blog.csdn.net/laigood12345/article/category/1113868
这里是官方文档的中文翻译
这里是另一个入门指南

安装

安装Elasticsearch唯一的要求是Java，从官网可以下载最新版本，包括zip、tar、deb、rpm等多种版本。

# curl -L -O https://download.elastic.co/elasticsearch/***/elasticsearch-***.rpm

安装

# rpm -ivh elasticsearch-***.rpm

启动服务

安装成功后会提示使用systemctl start elasticsearch.service启动服务，用systemctl status elasticsearch.service查看服务状态

此时，根据提示，可以使用“localhost:9200”访问服务。

配置远程访问

如果增加远程访问
（1）修改配置文件

vi /etc/elasticsearch/elasticsearch.yml 

修改network.host，修改为服务器IP地址，如果需要自定义端口，可以修改http.port参数。
需要注意的是在修改配置文件时，去掉注释符号“#”的话，行首都会有个空格，需要把这个空格去掉，否则后边会报错

（2）增加端口访问
一般http访问需要开放9200端口，如果要用Client API使用TransportClient访问则需要开放9300端口，在这里将它们全部打开。

firewall-cmd --list-all（查看规则）
firewall-cmd --add-port=9200/tcp --permanent
firewall-cmd --add-port=9300/tcp --permanent
firewall-cmd --reload

现在就可以使用地址和端口号进行远程访问了

安装Logstash

同样在官网可以找到各种格式的最新版本下载，推荐rpm，简单省事。和Elasticsearch安装方式一样。
然后看看安装在哪儿了

>whereis logstash

会显示logstash的安装位置，默认的话配置文件在/etc/logstash/conf.d/下，程序安装在/opt/logstash/bin/logstash

可以通过以下方式验证服务是否正常

logstash/bin/logstash -e 'input { stdin {} } output { stdout {} }'  

会按照上述配置运行logstash，实际上就是将输入定向到输出。关于其它具体配置下一篇再说。

安装Kibana

Kibana是可视化日志web展示工具，对Elasticsearch中存储的日志进行展示，还可以生成炫丽的仪表盘。
其安装和配置都和Elasticsearch类似，可以直接下载rpm文件使用rpm -ivh kibana****.rpm来安装，其配置文件在安装后的conf文件夹下，名为kibana.yml，打开后可以修改其需要绑定的elasticsearch的地址，默认是本机localhost。
访问Kibana需要打开5601端口，方法同上。