CentOS7安装部署ELK6.2.4

最新推荐文章于 2024-09-11 19:27:08 发布
最新推荐文章于 2024-09-11 19:27:08 发布
阅读量297 收藏
点赞数
文章标签: linux centos 运维 elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjjhyd/article/details/112967215
版权

CentOS7安装部署ELK6.2.4(Elasticsearch+logstash+redis+beats+kibana+elasalert)

功能

该架构可将多台机器的日志收集起来,进行存储、搜索、分析、可视化管理、监控

ELK各组件功能

Elasticsearch:存储、搜索、分析数据
logstash:Logstash 是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。
redis:内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件
beats:全品类采集器
beats种类:
Filebeat:轻量型日志采集器,用于转发和汇总日志与文件。
Metricbeat:用于从系统和服务收集指标。Metricbeat 能够以一种轻量型的方式,输送各种系统和服务统计数据,从 CPU 到内存,从 Redis 到 Nginx,不一而足。
Packetbeat:是一款轻量型网络数据包分析器,能够将主机和容器中的数据发送至 Logstash 或 Elasticsearch。
Auditbeat:收集您 Linux 审计框架的数据,监控文件完整性。Auditbeat 实时采集这些事件,然后发送到 Elastic Stack 其他部分做进一步分析。
Heartebeat:通过主动探测来监测服务的可用性。通过给定 URL 列表,Heartbeat 仅仅询问:网站运行正常吗?Heartbeat 会将此信息和响应时间发送至 Elastic 的其他部分,以进行进一步分析。
Functionbeat:在作为一项功能部署在云服务提供商的功能即服务 (FaaS) 平台上后,Functionbeat 即能收集、传送并监测来自您的云服务的相关数据。
kibana:Kibana 是一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化,并让您在 Elastic Stack 中进行导航。您可以进行各种操作,从跟踪查询负载,到理解请求如何流经您的整个应用,都能轻松完成。
Elasalert:是一个简单的框架,用于从Elasticsearch中的数据中发出异常,spikes或其他感兴趣的模式的警报。

架构

ES集群:elk01(192.168.1.1)、elk02(192.168.1.2)、elk03(192.168.1.3)
redis集群:master:elk01、salve:elk02、elk03
logstash和beats:其中一台机器安装或者都安装启动均可以
kibana:其中一台机器安装或者都安装启动均可以,只要收集其中一台es的数据就可以

1. 安装配置Elasticsearch6.2.4

1)下载安装包
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.2.4/elasticsearch-6.2.4.rpm
2)安装配置(3台机器都需要)
[root@elkt01 ~]# rpm -ivh elasticsearch-6.2.4.rpm
[root@elkt01 ~]# mkdir /elk/elk01
[root@elk01 ~]# chown elasticsearch;elasticsearch /elk/elk01
[root@elk01 ~]# vim /etc/elasticsearch/elasticsearch.yml
cluster.name: elk
node.name: elktest
path.data: /elk/elk01 //数据存放目录,不同节点目录名不同
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true //禁用swap
network.host: 192.168.1.1 //es服务器IP,不同节点IP不同
http.port: 9200 //es服务器端口
transport.tcp.port: 9300
discovery.seed_hosts: [“elk01“、”elk02“、”elk03“”] //es服务器发现主机初始列表
discovery.zen.minimum_master_nodes: 2 //其中一个节点down,集群依然运行,自动将分片分配给其他节点
node.max_local_storage_nodes: 2
action.auto_create_index: true //自动创建index
[root@elk01 ~]# vim /etc/elasticsearch/jvm.options
-Xms30g // Set Xmx and Xms to no more than 50% of your physical RAM
-Xmx30g
-XX:HeapDumpPath=/elk/elk01 //在内存不足异常时将堆转储到该目录
[root@elk01 ~]# vim /etc/security/limits.conf //永久生效
soft nofile 65535 //打开文件的最大数量
hard nofile 65535
soft nproc 4096 //创建的线程数至少为4096
hard nproc 8192
[root@elk01 ~]# ulimit -n 65535 //临时设置打开文件的最大数量
[root@elk01 ~]# ulimit –a //查看是否生效
注:如果是systemd而非systemctl,则需要通过以下方式修改限制
[root@elk01 ~]# systemctl edit elasticsearch //
[Service]
LimitMEMLOCK=infinity
[root@elk01 ~]# systemctl daemon-reload

swap对性能和节点稳定性非常不利,应该不惜一切代价加以避免。它会导致垃圾回收持续几分钟而不是几毫秒,并且会导致节点响应缓慢,甚至与集群断开连接
[root@elk01 ~]# swapoff –a //临时禁用swap
[root@elk01 ~]# cat /etc/fstab将swap注释掉
[root@elk01 ~]# vim /etc/elasticsearch/elasticsearch.yml
bootstrap.memory_lock: true

Elasticsearch使用mmapfs目录存储其索引。默认操作系统对mmap计数的限制可能太低,这可能导致内存不足异常
[root@elk01 ~]# sysctl -w vm.max_map_count=524288 //临时修改mmap限制
[root@elk01 ~]# vim /etc/sysctl.conf //永久修改mmap限制
vm.max_map_count=524288
重启服务器之后查看是否生效:
[root@elk01 ~]# sysctl vm.max_map_count
vm.max_map_count = 524288

3)启动服务(3台机器都需要)
[root@elk01 ~]# chkconfig --add elasticsearch
[root@elk01 ~]# systemctl daemon-reload
[root@elk01 ~]# systemctl enable elasticsearch.service
[root@elk01 ~]# systemctl start elasticsearch.service
此时可以web访问 http://192.168.1.1:9200
在这里插入图片描述

2. 安装配置redis4.0.9

1)下载
http://download.redis.io/releases/redis-4.0.9.tar.gz
2)elk01主节点安装配置
tar zxvf redis-4.0.9.tar.gz -C /usr/local/etc/
vim /usr/local/etc/redis-4.0.9/redis.conf
在这里插入图片描述
[root@elk01 ~]# cd /usr/local/etc/redis-4.0.9/src/
[root@elk01 src]# make & make install
3)启动服务
[root@elk01 src]# redis-server /usr/local/etc/redis-4.0.9/redis.conf
4)进入redis查看keys
[root@elk01 src]# redis-cli
127.0.0.1:6379> keys *
“syslog”
5)elk02和elk03安装配置redis
tar zxvf redis-4.0.9.tar.gz -C /usr/local/etc/
vim /usr/local/etc/redis.conf (配置文件与master不同之处如下,其余相同)
slaveof 192.168.1.1 6379
masterauth 123456
redis-server /usr/local/etc/redis-4.0.9/redis.conf
[root@elk02 src]# redis-cli
127.0.0.1:6379> keys *
“syslog”

3. 安装配置logstash6.2.4

1)下载
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.2.4/logstash-6.2.4.rpm
2)安装配置(其中一台机器安装即可)
rpm -ivh logstash-6.2.4.rpm
[root@elk01 ~]# vim /etc/logstash/logstash.yml
node.name: elk01
path.data: /var/lib/logstash
pipeline.workers: 8
pipeline.batch.size: 1000
pipeline.batch.delay: 50
pipeline.ordered: auto
log.level: info
path.logs: /var/log/logstash
[root@elk01 ~]# vim /etc/logstash/jvm.options
-Xms4g
-Xmx4g
3)测试标准输入和输出
[root@elk01 ~]# cd /usr/share/logstash/bin/
./logstash -e ‘input { stdin {}} output { stdout {codec => rubydebug}}’
输入123456
输出:
{
“message” => “123456”,
“@version” => “1”,
“host” => “elk01”,
“@timestamp” => 2020-08-11T02:39:48.704Z
}
4)测试输出到文件
[root@elk01 ~]# vim /etc/logstash/conf.d/logstash-sample.conf
input {
stdin {}
}
output {
file {
path => “/tmp/test20200811.log”
}
}
[root@elk01 ~]# ./logstash -f /etc/logstash/conf.d/logstash-sample.conf //开启服务
5)将redis接收到的数据输出到es
[root@elk01 ~]# vim /etc/logstash/conf.d/logstash-sample.conf
input {
redis {
port => “6379”
host => “elk01”
data_type => “list”
key => “syslog”
password => “123123”
}
}
filter {
grok {
match => { “message” => “%{SYSLOGPAMSESSION}” }
}
}
output {
elasticsearch {
hosts => [“http://elk01:9200”,“http://elk02:9200”,“http://elk03:9200”]
index => “logstash-%{+YYYY.MM.dd}”
}
}
6)验证配置
[root@elk01 ~]# cd /usr/share/logstash/bin/
[root@elk01 bin]# ./logstash -f /etc/logstash/conf.d/logstash-sample.conf --config.test_and_exit
7)开启服务
[root@elk01 ~]# systemctl daemon-reload
[root@elk01 ~]# systemctl enable logstash.service
[root@elk01 ~]# systemctl start logstash.service
8)查看数据是否传输到es
curl -XGET http://elk01:9200/_cat/indices | grep logstash

4. 客户端安装配置Auditbeat

1)下载
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.2.4/auditbeat-6.2.4-x86_64.rpm
2)安装配置
rpm -ivh auditbeat-6.2.4-x86_64.rpm
[root@elk01 ~]# vim /etc/auditbeat/auditbeat.yml
在这里插入图片描述
禁用elasticsearch,开启输出到redis
在这里插入图片描述
3)验证配置
[root@elk01 bin]# auditbeat test config –e
4)开启服务
[root@elk01 ~]# systemctl daemon-reload
[root@elk01 ~]# systemctl enable auditd.service
[root@elk01 ~]# systemctl start auditd.service
5)查看rules
[root@elk01 ~]# auditbeat show auditd-rules
-a never,exit -S all -F pid=27838
-w /bin/rm -p x -k exec

5. 客户端安装配置Filebeat

1)下载
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.2.4/filebeat-6.2.4-x86_64.rpm
2)安装配置
rpm -ivh filebeat-6.2.4-x86_64.rpm
vim /etc/filebeat/filebeat.yml
在这里插入图片描述
禁用elasticsearch,开启输出到redis
在这里插入图片描述
3)启动服务
[root@elk01 ~]# systemctl daemon-reload
[root@elk01 ~]# systemctl enable filebeat.service
[root@elk01 ~]# systemctl start filebeat.service

6. 服务器端安装配置Kibana

1)下载
https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.2.4/kibana-6.2.4-x86_64.rpm
2)安装
rpm -ivh kibana-6.2.4-x86_64.rpm
[root@elk01 ~]# vim /etc/kibana/kibana.yml
server.port: 5601
server.host: “0.0.0.0”
server.maxPayloadBytes: 1048576
server.name: “elk01”
elasticsearch.hosts: [“http://elkt01:9200”]
kibana.index: “.kibana”
elasticsearch.requestTimeout: 30000
ops.interval: 5000
3)启动服务
[root@elk01 ~]# systemctl daemon-reload
[root@elk01 ~]# systemctl enable kibana.service
[root@elk01 ~]# systemctl start kibana.service
如果启动后web无法打开,需将elasticsearch重启再启动kibana

7. 服务器端安装配置Elasalert

1)Python环境
[root@elk01 ~]# python3 --version
Python 3.6.8
[root@elk01 ~]# pip3 --version
pip 9.0.3 from /usr/lib/python3.6/site-packages (python 3.6)
You have mail in /var/spool/mail/root
2)下载安装
查看需要的pip包以及版本
在这里插入图片描述
在这里插入图片描述
离线安装:
在官网 https://github.com/Yelp/elastalert将requirement.txt和requirement-dev.txt文件下载到elk01和一台可以连接外网的服务器,在可以连接外网的服务器使用以下命令下载pip包到/tmp目录
python3 -m pip download --destination-directory /tmp/ -r requirements.txt
python3 -m pip download --destination-directory /tmp/ -r requirements-dev.txt
将包传到elk01的/elk/tools/目录下,在elk01运行以下命令安装pip包
pip3 install --no-index --find-links=/elk/tools/ -r /elk/tools/requirements.txt
pip3 install --no-index --find-links=/elk/tools/ -r /elk/tools/requirements-dev.txt
pip3 install elastalert
3)配置
创建index
elastalert-create-index
New index name (Default elastalert_status)
Name of existing index to copy (Default None)
New index elastalert_status created
Done!
[root@elk01 ~]# vim /opt/elastalert-0.2.4/config.yaml
rules_folder: example_rules
run_every:
minutes: 1
buffer_time:
minutes: 15
es_host: 192.168.1.1
es_port: 9200
writeback_index: elastalert_status
writeback_alias: elastalert_alerts
alert_time_limit:
days: 2
从官网下载rules文件
https://github.com/Yelp/elastalert/tree/master/example_rules
修改文件,设置邮件报警,当logstash-*匹配到的index中message含有Package temperature above threshold发送邮件报警
在这里插入图片描述
4)测试配置正确与否
elastalert-test-rule --config config.yaml example_rules/example_frequency.yaml
5)启动服务
python3 -m elastalert.elastalert --verbose --rule example_frequency.yaml
创建服务文件
f
启动服务
[root@elk01 ~]# systemctl start elastalertd.service
6)收到邮件报警
在这里插入图片描述

Callie2099
关注
Centos7下搭建ELK日志分析系统
11-02
本文档记录了个人在centos7环境下搭建ELK日志分析系统的步骤及遇到的问题、处理记录。明细罗列了本次搭建的系统环境和软件版本,操作系统为centos7.6,elk对应版本为7.9.3, redis版本为6.0.6。受限于更明细的环境差别,安装过程中报错可能不尽相同,主要记录了ELK各组件软件的安装步骤,供各位有需要的人参考!!!
Centos6下搭建ELK
weixin_30273175的博客
02-27 116
网上关于ELk的搭建有很多,下面是我搭建的过程,记录下来。 一、概念 ELK由三个部分组成。 logstash: 分析和收集日志,logstash有agent和indexer两个角色. elasticsearch: 搜索功能。 kibana: 提供Web功能。 二、搭建ElasticSearch 2.1 基本环境搭建 关闭防火墙或者放...
centos 7 elk安装与搭建_elk安装 centos
2401_87112256的博客
09-11 881
• ./logstash –path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf//这样可以在屏幕上查看到日志输出,不能敲命令。• 132上 编辑配置文件 vi /etc/logstash/conf.d/nginx.conf//加入如下内容。• 编辑配置文件 vi /etc/logstash/conf.d/syslog.conf//加入如下内容。• vim /etc/filebeat/filebeat.yml //增加或者更改。
ELK 6.2.4搭建
weixin_30814329的博客
04-23 101
开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。 官方网站:https://www.elastic.co/products Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 ...
ELK6.2.4
u012557298的专栏
06-01 302
下载软件   Java: http://www.oracle.com/technetwork/java/javase/downloads/index.htmlLogstash: https://www.elastic.co/downloads/logstashElasticsearch: https://www.elastic.co/downloads/elasticsearchKibana: h...
Centos7安装ElasticSearch6.2.4
ToFate_的博客
08-22 525
1.下载ElasticEearch 下载地址:https://www.elastic.co/cn/downloads/elasticsearch 当前最新版本是7.3.0,在下方的 past release可以下载之前的版本,根据自己的需求自行下载所需的版本 ElasticSearch是对Lucene全文检索引擎的封装,而Lucene是用java编写的,因此想正常使用ElasticSear...
CentOS7.5搭建ELK6.2.4集群与简单测试
Frank409167848的博客
07-09 855
一 简介 Elasticsearch是一个高度可扩展的开源全文搜索和分析引擎。它允许您快速,近实时地存储,搜索和分析大量数据。它通常用作支持具有复杂搜索功能和需求的应用程序的底层引擎/技术。 下载地址:https://www.elastic.co/cn/downloads       版本:elasticsearch-6.2.4.tar.gz     logstash-6.2.4.tar.gz...
ELK 6.2.4环境搭建及日志收集配置详情 (20~40字范围内)
首先,我们搭建了一个 ELK( Elasticsearch, Logstash, Kibana) 版本为 6.2.4 的环境,使用的操作系统为 centOS 7.4。我们使用 Logstash 来收集 tomcat 和系统日志,然后将数据写入 Elasticsearch 中。为了解耦操作,...
elk(都是6.2.4重点-版本2-收集各类java日志-用filebeat
07-09
首先,我们需要安装 CentOS 7.4 作为操作系统。在安装完成后,我们需要配置系统设置,包括增加文件描述符数量、增加进程数量和配置虚拟内存等。 二、安装 Elasticsearch Elasticsearch 是 ELK Stack 的核心组件之...
ELK/EFK — 安装部署(主机安装
烟云的计算
01-08 1762
目录 文章目录目录部署拓扑安装 ElasticSearch安装 Logstash安装 Kibana 部署拓扑 操作系统:Centos7 内存:大于或等于4G ElasticSearch:6.1.0 Logstash:6.1.0 Kibana:6.1.0 Filebeat :6.2.4 安装 ElasticSearch 安装 JDK: yum -y install java-1.8.0-openjdk 安装 ElasticSearch: rpm -ivh elasticsearch-6.1.0
CentOS部署ELK
weixin_40133285的博客
01-06 2118
CentOS部署ELK http://mirrors.neusoft.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-DVD-2009.iso 1.sudo /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf提示Logstash could not be started because there is already another instan elasticvue
centos环境下部署ELK
qq_43402287的博客
05-17 917
centos环境下部署ELK
CentOSELK的搭建
程序员必须坚持写博客,没人看也要写
06-22 2188
JDK安装教程 ELK下载安装教程 Kibana使用教程
CentOS7 搭建ELK笔记
fake_hydra的博客
10-12 795
系统环境 [root@elk ~]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) [root@elk ~]# getenforce Permissive [root@elk ~]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/sy
CentOS7.2部署ELK5.2.2(yum安装
热门推荐
Loyal-Wang的博客
03-10 1万+
CentOS7.2部署ELK5.2.2(yum安装
CentOS7安装ELK
Badrains的博客
07-26 586
       最近在进行微服务的开发,发现传统的日志的收集处理方式如logback、log4J等已经不是很能满足需求,虽然现在才12个微服务,但是在看日志查找问题时已经很不方便了,于是搜寻更好的日志收集和集中式处理的方式,发现了ELK(Elasticsearch、Logstash、Kibana)。      项目中还没有用到,未雨绸缪先学习一下。大致的思路是利用logback把日志传给Logst...
centos7安装ELK
小高工作室
11-28 717
参考:两台机子:192.168.42.128 elasticsearch(E) elasticsearch-head(这个是插件)LogStash(L) kibana(K)以下是命令:修改源编辑repo文件安装 elasticsearch 这一步很慢,我用公司网络才10k/s 而且会一直切换镜像,耐心等候安装JAVA环境 使用yum安装 快一点创建elasticsearch data的存放目录,并修改该目录的属主属组,修改elasticsearch的日志属主属组。
Centos7安装ELK
ruiace的博客
07-29 1097
ELK是Elasticsearch、Logstash、Kibana的简称,是近乎完美的开源实时日志分析平台。这三者是日志分析平台的核心组件,而并非全部。
centos7安装elk
最新发布
10-16
CentOS 7上安装ELK(Elasticsearch、Logstash 和 Kibana)堆栈通常用于日志管理和分析。以下是基本步骤: 1. **更新系统**: ``` sudo yum update -y ``` 2. **安装依赖**: ``` sudo yum install -y epel-release sudo yum install -y elasticsearch systemctl start elasticsearch systemctl enable elasticsearch ``` 4. **配置防火墙** (如果需要): ``` sudo firewall-cmd --add-port=9200/tcp sudo firewall-cmd --reload ``` 5. **安装Logstash**: ``` sudo yum install -y logstash ``` 6. **启动并配置Logstash** (通常需要自定义配置文件,例如`logstash.conf`): ``` cp /etc/logstash/journald.conf /etc/logstash/conf.d/journald.conf logstash -f /etc/logstash/conf.d/journald.conf ``` 7. **安装Kibana**: ``` sudo yum install -y kibana ``` 8. **启动Kibana**: ``` sudo systemctl start kibana sudo systemctl enable kibana ``` 9. **访问Kibana**: 打开浏览器访问 `http://your_server_ip:5601`,首次运行可能会提示设置管理员账户。 **相关问题--:** 1. 如何验证Elasticsearch服务是否已成功安装? 2. 如何配置Logstash接收其他日志源的数据? 3. 如何在Kibana中创建第一个可视化报告?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值