Centos7 elasticsearch-7.2.0+logstash-7.2.0+kibana-7.2.0+rsyslog 单机部署

最新推荐文章于 2023-04-09 21:33:46 发布
最新推荐文章于 2023-04-09 21:33:46 发布
阅读量808 收藏 3
点赞数
分类专栏: 日志分析 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fsdgfdsgdfg/article/details/96433363
版权

ELKR分别指elasticsearch-7.2.0、logstash-7.2.0、kibana-7.2.0、rsyslog,用的当前官网最新版本7.2.0,这次测试用于读取操作系统登录和操作日志。

系统版本

CentOS Linux release 7.5.1804 (Core)

1、安装包下载

官方地址:https://www.elastic.co/cn/downloads/

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.2.0-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.2.0.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.2.0-linux-x86_64.tar.gz

2、创建elk用户
elasticsearch和kibana 必须在非root用户启动

groupadd elk
useradd elk -g elk

3、 解压

tar -xzf elasticsearch-7.2.0-linux-x86_64.tar.gz -C /home/elk/
tar -xzf logstash-7.2.0.tar.gz -C /home/elk/
tar -xzf kibana-7.2.0-linux-x86_64.tar.gz -C /home/elk/

4、赋予elk权限
chown -R elk:elk elasticsearch-7.2.0
chown -R elk:elk kibana-7.2.0-linux-x86_64

5、elasticsearch部署
5.1、创建数据和日志文件夹,并修改权限

mkdir  -p  /home/elk/es-data/logs
chown -R elk:elk /home/elk/

5.2、修改配置文件
vim elasticsearch-7.2.0/config/elasticsearch.yml

path.data: /home/elk/es-data
path.logs: /home/elk/es-data/logs
#其他项默认,可以按需求修改

5.4、启动脚本
vim /home/elk/es-start.sh

#!/bin/sh
cd  /home/elk/elasticsearch-7.2.0 
nohup bin/elasticsearch &
tail -f nohup.out

5.5、 启动

su - elk
sh es-start.sh

5.6、测试
curl 127.0.0.1:9200

{
  "name" : "study01",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "7XETJBiFRJKALJPvzhGklQ",
  "version" : {
    "number" : "7.2.0",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "508c38a",
    "build_date" : "2019-06-20T15:54:18.811730Z",
    "build_snapshot" : false,
    "lucene_version" : "8.0.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

6、logstash部署
***注:root用户操作 ***
6.1、增加配置文件
vim /home/elk/logstash-7.2.0/conf/logstash-rsyslog.conf

input {
    syslog {
        port => 514
        type => "rsyslog"
    }
}

filter {
    if [type] == 'rsyslog' {
        urldecode {  # 编码转换#
            all_fields=>true
        }
        mutate {
            split => ["message","||"]  # 拆分日志#
            add_field => {"HostName" => "%{[message][0]}"}
            add_field => {"Facility" => "%{[message][1]}"}
            add_field => {"Mes" => "%{[message][5]}"}
            remove_field => ["message","facility_label","facility","severity_label","severity","priority","timestamp","program"]
        }
        if [Facility] == "local5" {
        mutate {
            split => ["Mes",","]  # 拆分日志#
            add_field => {"ClientIp" => "%{[Mes][0]}"}
            add_field => {"LoginUserName" => "%{[Mes][1]}"}
            add_field => {"SessionId" => "%{[Mes][2]}"}
            remove_field => ["Mes"]
            }
        }
        if [Facility] == "user" {
        mutate {
            split => ["Mes",","]  # 拆分日志#
            add_field => {"Euid" => "%{[Mes][0]}"}
            add_field => {"WhoInfo" => "%{[Mes][1]}"}
            add_field => {"ExecPath" => "%{[Mes][2]}"}
            add_field => {"ExecCmd" => "%{[Mes][3]}"}
            remove_field => ["Mes"]
            }
        }
    }
}
output {
   if [type] == 'rsyslog' and [Facility] == "local5" {
             elasticsearch {
                        hosts => ["localhost:9200"]
                        index => ["logstash-login-%{+YYYY.MM.dd}"]
             }
    }else if [type] == 'rsyslog' and [Facility] == "user" {
             elasticsearch {
                        hosts => ["localhost:9200"]
                        index => ["logstash-user-%{+YYYY.MM.dd}"]
             }
    }
}

6.2 、启动

cd /home/elk/logstash-7.2.0/
nohup bin/logstash -f /home/elk/logstash-7.2.0/conf/logstash-rsyslog.conf

7、rsyslog配置
***注:root用户操作 ***
7.1 、添加如下配置到 /etc/bashrc 文件末尾

up_client_ip=`(who am i|cut -d\( -f2|cut -d\) -f1)`
logger -p local5.info -- $up_client_ip,$(whoami),$$
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger -p user.notice "[euid=$(whoami)]",$(who am i),`pwd`",$msg"; }'
readonly PROMPT_COMMAND

7.2 、修改配置 /etc/rsyslog.conf
vim /etc/rsyslog.conf
新增文件末尾:

$template StdLOGFormat,"%fromhost%||%syslogfacility-text%||%syslogpriority-text%||%timereported:::date-mysql%||%timegenerated:::date-mysql%||%msg%||%iut%||%programname%||%syslogtag%"

*.* @@127.0.0.1:514;StdLOGFormat

7.3 、重启

service rsyslog restart

8、 kibana部署

8.1 、修改配置
vim /home/elk/kibana-7.2.0-linux-x86_64/config/kibana.yml

server.host: "0.0.0.0"
#其他项按需求自行修改

8.2、 启动脚本
vim /home/elk/kb-start.sh

#!/bin/sh
cd  /home/elk/kibana-7.2.0-linux-x86_64
nohup bin/kibana &
tail -f nohup.out

8.3 、启动

su - elk
sh kb-start.sh

8.4、 浏览器访问
在浏览器里,输入yourip:5601 访问成功即代表启动成功
在这里插入图片描述
8.5、 Kibana界面
启动好了之后,在浏览器里访问前端页面

点击Discover
在这里插入图片描述
8.6、 操作系统追加数据
创建新的测试日志

logger "跟我一起学猫叫,一起喵喵喵"
echo '测试中文' >> test.txt
cat test.txt

刷新kibana,即可看到新的日志
在这里插入图片描述

soso 攻城狮
关注
专栏目录
CentOS 7 搭建ElasticSearch+Kibana+Logstash
xiongyingli博客
01-28 409
CentOS 7 搭建ElasticSearch 1.安装ElasticSearch-7.10.2 获取es安装包: [root@cnetos7 software]# wget [root@cnetos7 software]# https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.2-linux-x86_64.tar.gz 2.安装kibana-7.10.2 [root@cnetos7 software]# wget
Centos7搭建Elasticsearch + Logstash + filebeat + Kibana
GGGoodLuck的博客
08-24 641
一、什么是ELK ELKElasticsearch + Logstash + Kibana 这种架构的简写。这是一种日志分平台析的架构。 二、ELK常见的几种架构 1 Elasticsearch + Logstash + Kibana 这是一种最简单的架构。这种架构,通过logstash收集日志,Elasticsearch分析日志,然后在Kibana(web界面)中展示。 2Elasticsearch + Logstash + filebeat + Kibana 与上一种架构相比,这种架构增.
logstash-7.2.0.zip
07-19
Logstash作为Elasicsearch常用的实时数据采集引擎,可以采集来自不同数据源的数据,并对数据进行处理后输出到多种输出源,是Elastic Stack 的重要组成部分。
Docker部署Logstash 7.2.0
疯狂小草的博客
09-02 1176
Docker 部署 logstash 7.2.0
ELK系列之KibanaLogstash安装部署
夏夜凉月
05-06 393
前言 上一篇咱们安装了elasticsearch,本篇咱们将安装KibanaLogstashLogstash负责读取和结构化各类日志,kibana作为ElastciSearch的数据查询展示界面,集成了很多的功能。 官网地址:https://www.elastic.co/cn/downloads/ 百度云盘:百度云下载地址 提取码:vaul 1、安装Kibana #使用elk用户进行解压 [e...
Kibana安装与使用 、 Logstash配置扩展插件 、 总结和答疑
qq_36345864的博客
03-25 473
kibana安装与配置 kibana是什么 -数据可视化平台工具 特点: -灵活的分析和可视化平台 -实时总结流量和数据的图标 -为不同的用户显示直观的界面 -即时分享和嵌入的仪表盘 kibana安装 [root@kibana ~]# vim /opt/kibana/config/kibana.yml 2 server.port: 56...
logstash
qq_40861391的博客
06-27 188
logstash logstash insatll 安装jok 下载 logstash-7.2.0.tar.gz tar -zxvf logstash-7.2.0.tar.gz 进入解压的logstash-7.2.0的目录 启动logstash(bin/logsatsh -f ogstash配置文件) logstash 配置文件 logstash 有三个插件 Input, filter,...
centos7使用docker-compose安装es(包括IK分词器扩展)+kibana
04-13
环境:centos7.7_x86_64 1、虚拟机内存要稍大些至少2G 2、es需要修改linux宿主机的一些参数 设置vm.max_map_count=262144 vim /etc/sysctl.conf vm.max_map_count=262144 不重启, 直接生效当前的命令 ...
配置rsysloglogstash_syslog+rsyslog+logstash+elasticsearch+kibana搭建日志收集
weixin_39576270的博客
12-20 225
最近rancher平台上docker日志收集捣腾挺久的,尤其在配置上,特写下记录Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安...
ELKelasticsearch+logstash+kibana】企业级日志分析系统
最新发布
shanjun12的博客
04-09 781
ELKelasticsearch+logstash+kibana】企业级日志分析系统
logstash-7.2.1.rpm
04-29
官方开源 logstash-7.2.1.rpm安装包
centos7 rpm 离线安装 logstash
justlpf的专栏
01-09 5478
参考文章: https://www.elastic.co/guide/en/logstash/6.5/installing-logstash.html rpm下载地址:https://www.elastic.co/downloads/logstash logstash实践: 分布式系统的日志监控 windows安装logstash6.2.3 前提 ...
Logstash——安装Logstash并完成一个简单的日志收集功能
大风的博客
04-12 6904
下载和安装 下载logstash Logstash可以在以下地址下载 https://www.elastic.co/cn/downloads/logstash 需要注意在安装ELK环境的时候需要保证三者系统版本一致。假如需要下载历史版本可以在此下载 https://www.elastic.co/cn/downloads/past-releases#logstash ps.此网站访问可能会非常慢,...
elk】网络设备syslog日志收集
机智的埃努
11-15 6239
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
安装logstash7.3.2遇到的坑及解决方案
热门推荐
小蜜蜂1010的博客
10-02 2万+
一、安装logstash 1.1安装logstash7.3.2版本 国庆节的前几天下载了elasticsearchkibana,当时elastic stack系列最新版本还是7.3.2,当时只下载了elasticsearchkibana的最新版7.3.2练习,今天,项目中需要用到logstash收集数据信息,进入官网,发现就在今天10月2日,官网发布了新版本7.4版本,我们知道...
centos7.2上安装logstash7.3.2
weixin_30815469的博客
09-24 458
一、下载logstash:https://www.elastic.co/cn/downloads/logstash 二、安装: 如果下载的是logstash-7.3.2.zip 上传至 /usr/local 解压:unzip logstash-7.3.2.zip 修改内存大小: 视服务器配置而定: 自定义配置文件 cd /usr/local/...
Docker--ElasticsearchKibanaLogstash安装
sunies-的博客
07-15 531
Elasticsearch安装 1、前言 最近想把ELK技术栈总结一番,包括安装、部署及使用,一切推倒重来,今天先来一篇ES的安装,后面的慢慢更新。之前也安装过ES,但是是直接使用tar包在虚拟机上安装,安装倒是不麻烦,就是各种参数调整配置比较头大,比如内核要求、文件权限、线程数、进程的虚拟内存等。Docker普及之后,也是尝到了甜头,所以今天尝试下ES的Docker安装,Docker对虚拟机内核...
Logstash插件下载地址:
laiyijian的博客
12-02 2226
Logstash插件下载地址: input: https://www.elastic.co/guide/en/logstash/current/input-plugins.html filter: https://www.elastic.co/guide/en/logstash/current/filter-plugins.html output : https://www.elastic....
ELKElasticsearch 7 + Logstash 7 + Kibana 7)实时日志分析平台
前尘忆梦Memory的博客
10-30 1388
一、ELK 是什么? “ELK”是三个开源项目的首字母缩写,这三个项目分别是:ElasticsearchLogstashKibanaElasticsearch:是一个搜索和分析引擎。 Logstash:是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。 Kibana:则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。 二、ELK环境 2.1、软件版本 软件 版本 Ce
ELKB 6.4:日志系统搭建指南 - Elasticsearch+Logstash+Kibana+Beats详解
ELKB 6.4部署文档详细介绍了如何在企业环境中构建一个高效、灵活的日志管理系统,它基于ElasticsearchLogstashKibana和Beats这四款开源工具。这套解决方案主要服务于收集、处理、存储和可视化系统日志,为企业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值