快速搭建ELK(7.2.0)

最新推荐文章于 2024-05-18 19:03:28 发布
最新推荐文章于 2024-05-18 19:03:28 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Architect DevOps ELK 文章标签: elk elasticsearch kibana logstash filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prufeng/article/details/95733467
版权
ELK 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
Architect
18 篇文章 0 订阅
订阅专栏
DevOps
11 篇文章 0 订阅
订阅专栏

文章目录


真正用ELK,才发现ELK的文档那么多,眼花缭乱。
也难怪,每一个单独起来也都是挺好的小工具。
有必要稍微梳理一下。

Elastic Stack

  • Beats
  • Logstash
  • Elasticsearch
  • Kibana

Elasticsearch是核心搜索引擎,用于数据缓存、搜索和分析。

Beats是轻量级的数据采集器,有很多种,按需取用。

Elastic BeatsTo capture
AuditbeatAudit data
FilebeatLog files
FunctionbeatCloud data
HeartbeatAvailability monitoring
JournalbeatSystemd journals
MetricbeatMetrics
PacketbeatNetwork traffic
WinlogbeatWindows event logs

Logstash是数据收集管道,数据通过它进行归集,同时可以对经过的数据进行简单处理,如清洗过滤和润色等。

Kibana是ElasticSearch的可视化平台,提供了数据分析和监控的界面和工具集。

https://www.elastic.co/guide/index.html

ELK架构

比较简单实用的架构应该是下面这种,Beats装在要采集数据的终端,将数据发给Logstash,再转给ElasticSearch。

Beats也可以直接发数据给ElasticSearch,但经Logstash可以先进行一些预处理。它们之间也可以进一步引入消息队列。
在这里插入图片描述

ELK安装

先不管那么多,把四个软件都下载安装了再说。这里用的是解压版。
需要注意的是:要安装相同的版本。

  • elasticsearch-7.2.0-linux-x86_64.tar.gz
  • filebeat-7.2.0-linux-x86_64.tar.gz
  • kibana-7.2.0-linux-x86_64.tar.gz
  • logstash-7.2.0.tar.gz

要monitor log files,则装Filebeat。

https://www.elastic.co/guide/en/elastic-stack-get-started/current/get-started-elastic-stack.html

Elasticsearch

直接启动会遇到如下错误。

Can not run elasticsearch as root

不能用root用户运行,转到其他用户即可。当然该用户要有相应权限。

加参数-d表示在后台运行,-p用来输出PID,这样就可以用pkill -F pid来关闭程序。

chown elkusr:elkusr -R /opt/elk/
cd /opt/elk/elasticsearch-7.2.0/
sudo -u elkusr ./bin/elasticsearch -d -p pid
pkill -F pid

成功启动后curl结果如下。

curl localhost:9200
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   507  100   507    0     0  31687      0 --:--:-- --:--:-- --:--:-- 31687{
  "name" : "appserver1",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "DVsCk28AA5WhL2BhCtkxtw",
  "version" : {
    "number" : "7.2.0",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "508c38a",
    "build_date" : "2019-06-20T15:54:18.811730Z",
    "build_snapshot" : false,
    "lucene_version" : "8.0.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

远程访问Elasticsearch

如果ELK组件安装在不同机上,则需要打开远程访问。

  • network.host

更新network.host为0.0.0.0

vi /opt/elk/elasticsearch-7.2.0/config/elasticsearch.yml
#network.host: 192.168.0.1
network.host: 0.0.0.0
  • initial_master_nodes and vm.max_map_count

这时启动会遇到如下错误。

[2] bootstrap checks failed
[1]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[2]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured

第一个是要提高最大线程数(max_map_count/2)。

echo "vm.max_map_count=262144" >> /etc/sysctl.conf
sysctl -p

第二个是Elasticsearch7.0以后一些discovery相关默认配置改了,添加如下配置,重启。

vi /opt/elk/elasticsearch-7.2.0/config/elasticsearch.yml
cluster.initial_master_nodes: ["node-1"]
  • 开Linux端口
firewall-cmd --zone=public --add-port=9200/tcp --permanent
firewall-cmd --reload
  • 测试远程访问

用浏览器打开则返回一个JSON。

curl appserver1:9200

Kibana

远程访问Kibana

Kibana是UI,远程访问肯定要开。

  • server.host
#server.host: "localhost"
server.host: "0.0.0.0"
  • 开Linux端口
firewall-cmd --add-port=5601/tcp --permanent
firewall-cmd --reload

Kibana Logging配置

Kibana日志默认输出到stdout。怕有问题,可以暂时输出到文件。

sudo -u elkusr mkdir /opt/elk/kibana-7.2.0-linux-x86_64/logs

vi /opt/elk/kibana-7.2.0-linux-x86_64/config/kibana.yml

#logging.dest = stdout
logging.dest = /opt/elk/kibana-7.2.0-linux-x86_64/logs/

Kibana Startup

cd /opt/elk/kibana-7.2.0-linux-x86_64
sudo -u elkusr nohup ./bin/kibana &

ps -ef|grep node
tail -f /opt/elk/kibana-7.2.0-linux-x86_64/logs/kibana.log

http://appserver1:5601/

Filebeat

以下配置顺便以Kibana的日志来测试,输出到Logstash。

vi /opt/elk/filebeat-7.2.0-linux-x86_64/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    #- /var/log/*.log
    /opt/elk/kibana-7.2.0-linux-x86_64/logs/*.log


output.logstash:
  hosts: ["127.0.0.1:5044"]

cd /opt/elk/filebeat-7.2.0-linux-x86_64
sudo -u elkusr nohup ./filebeat -e &

Logstash

Logstash接收Filebeat输入,然后输出到Elasticsearch。
这里直接用logstash-sample.conf。

vi /opt/elk/logstash-7.2.0/config/logstash-sample.conf

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}

cd /opt/elk/logstash-7.2.0/
sudo -u elkusr nohup ./bin/logstash -f ./config/logstash-sample.conf --config.reload.automatic &

验证

打开http://appserver1:5601/.

找到Management -> Index Management,可以看到新的index:filebeat-7.2.0-2019.07.11,说明数据已经成功输入Elasticsearch。
在这里插入图片描述

如锋
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch quickstart教程
bugreturner的博客
12-11 196
环境需要 nodejs,python 安装 1.Mac环境使用brew install 命令安装,推荐修改brew源为清华源,否则下载速度很慢。 2.直接去华为镜像网站 下载。 3.翻墙去下载elasticsearch官网 熟悉相关目录 配置文件/elasticsearch/7.10.0/libexec/config 其中log4j2是日志配置文件 jvm.options jvm配置文件(默认jvm内存为1G) elasticsearch.yml es配置文件 /lib 相关jar包 /modules 模块
CentOS7零基础部署ELK7.2.0)集群步骤并监控日志告警
08-30
本人完全从Linux零基础一步步摸索总结出来的部署步骤。 ELK大致工作流程:Filebeat → Redis → LogstashElasticsearchKibana,Elastalert定时查询Elasticsearch保存的数据,当数据符合设定的规则时触发告警,发送 短信、微信、邮件通知。 ELK相关软件的版本都是7.2.0,Redis是5.0.4版本,Elastalert是0.1.39(需安装Python2),CentOS7.3。
ELK快速起步(Windows)
iteye_878的博客
04-12 296
ELKElasticsearchLogstashKibana 三个开源软件的组合。 软件相当易用,在windows上也可以十分容易的运行。本文记录了在windows上初步运行这三个软件的过程,适合初次接触ELK的童鞋参考。 1.环境 Windows7 64bit JDK1.7.0_72 64bit logstash 2.3.1 elasticsearch 2.3.1 k...
ELK 日志监控平台(一)- 快速搭建
最新发布
AHAO的博客
05-18 1907
ELKElasticsearch, Logstash, Kibana)是一个目前主流的开源日志监控平台。Elasticsearch:是一个开源的分布式搜索和分析引擎,可以用于全文检索、结构化检索和分析,它构建在Lucene搜索引擎库之上,是当前使用较为广泛的开源搜索引擎之一。Logstash:一个用于收集、处理和转发日志数据的数据处理管道。
CentOS 7.x 搭建 ELK 日志监控系统
忆网
10-22 7257
一、ELK介绍      ELK简介: ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索...
日志系统搭建(elk7.x)
sxsAffable的博客
05-15 1347
使用elastic stack搭建日志收集分析系统1. elasticsearch搭建2. cerebro的搭建3. kibana搭建4. fielbeat的搭建 随着公司的发展,需要一个日志分析系统,来分析用户数据,为了调研,所以先使用elastic stack搭建了一个单节点的日志收集分析系统。 使用技术:elasticsearch7.1.1、cerebro0.9.0、kibana7.1.1、filebeat7.1.1。 1. elasticsearch搭建 elasticsearch
快速搭建ELK7.3
星之空
11-02 695
A quick start guild of ELK 7.3.2, including package installation and simple test. 好吧,其实是发现之前的快速搭建ELK7.2有些坑,决定还是再来一次。 安装版相比直接解压版还是有些好处的,最起码安装完就是Service,省却打命令行的许多麻烦。 Download and install https://artifa...
快速搭建ELK日志分析系统
01-27
ELKElasticsearchLogstashKibana的简称,这三者是核心套件,但并非全部。Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
基于Docker快速搭建ELK的方法
09-29
主要介绍了基于Docker快速搭建ELK的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ELK-7.2.1版本安装包
09-23
ELK-7.2.1版本全套安装包,包含es,filebeatlogstashkibana,kafka在Linux系统下的安装包
Elasticsearch quick start
eyeofeagle的博客
03-17 283
文章目录1, 快速安装, 并查看集群状态1.1 启动节点1.2 查看集群/索引状态:_cat/health,indices2, 添加索引数据,并查询2.1 添加一条数据2.2 批量添加数据3, 查询样例:分页,单词包含,短语包含,复合条件筛选4, 聚合分析查询 1, 快速安装, 并查看集群状态 安装包下载:https://www.elastic.co/cn/downloads/elasticsearch 官方文档:https://www.elastic.co/guide/en/elasticsearch/r
logstash-7.4.2.zip
11-21
logstash-7.4.2.tar,elk7.4.2 日志收集工具,官网最新版,小伙伴来啊!!!!!!!
centos7下安装配置elk 7.2.1版本教程
robinhunan的博客
06-11 2243
本文介绍了如何在centos7下,安装ELK,是ELK的入门使用教程。 ELKElasticsearchLogstashKibana的简称,
ELK7.1.0搭建教程(多点耐心照着做就可以)
u013835855的专栏
05-28 5774
1.下载套件压缩文件,我这里是7.1.0版本的,请确保所有套件版本一致:下载地址 2.在linux中创建新的user组,root有问题,步骤如下: 创建运行ELK的用户 [root@localhost local]# groupadd elk [root@localhost local]# useradd -g elk elk [root@localhost local]#passwd ...
搭建elk的坑
weixin_30907523的博客
10-31 53
npm install 时总是报phantomjs-prebuilt@2.1.16安装失败: npm cache clean --force npm -g install phantomjs-prebuilt@2.1.16 --ignore-script 转载于:https://www.cnblogs.com/byfboke/p/9884622.html...
ELK6.7.2搭建教程
Hello_robotdog的博客
08-13 1631
一、ELK简介 ELK是三个开源软件的缩写,分别为:ElasticsearchLogstash以及Kibana , 它们都是开源软件。ELK是一整套日志管理系统,对于日志的集中化管理,日志的统计和检索等都能够完美解决。 二、ELK选型 工作模式1:logstash采集、处理、转发到elasticsearch存储,在kibana进行展示 --datasource-&...
Filebeat的安装
技术成就人生
02-09 354
Filebeat的安装 选用filebeat的版本和es,kibana的版本号一致,我们之前采用的是7.2.0的版本,故需安装filebeat的版本是7.2.0 【filebeat-7.2.0-linux-x86_64.tar.gz】 解压,修改配置文件。 修改配置文件filebeat.yml =============Filebeat inputs ================== 配置日志读取的路径 以及自定义的字段 注:要yml的格式 - type: log enabled:...
06_Elasticsearch 7.4.2集群部署以及X-Pack 安全配置(Es、kibana)【超详细版】
华星详谈的博客
11-19 4272
本文章收录于【Elasticsearch系列】,将详细的讲解 Elasticsearch 整个大体系,包括但不限于ELK讲解、ES调优、海量数据处理等。在之前的文章中有讲解es的单机部署...
ELK搭建(七):搭建PostgreSQL慢查询、错误日志监控平台
55555的博客
05-14 1491
PostgreSQL是一款功能非常强大的的关系性数据库,适用于需要执行复杂查询的系统。市面上越来越多的公司开始采用PostgreSQL作为主数据库。 今天我们就来讲解如何搭建一个PostgreSQL的慢日志、错误日志监控平台,实时了解到数据库的日志情况,来帮助我们快速排错及优化。
docker搭建elk
08-20
Docker可以很方便地搭建ELKElasticsearch, Logstash, Kibana)环境。以下是一个简单的步骤: 1. 首先,确保你已经安装了Docker和Docker Compose。 2. 创建一个新的文件夹,用于存放ELK的配置文件和数据。 3. 在该文件夹中创建一个名为`docker-compose.yml`的文件,并添加以下内容: ```yaml version: '3' services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.10.2 environment: - discovery.type=single-node ports: - 9200:9200 volumes: - esdata:/usr/share/elasticsearch/data logstash: image: docker.elastic.co/logstash/logstash:7.10.2 volumes: - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf ports: - 5000:5000 kibana: image: docker.elastic.co/kibana/kibana:7.10.2 ports: - 5601:5601 volumes: esdata: ``` 4. 在同一文件夹中创建一个名为`logstash.conf`的文件,并添加以下内容: ``` input { tcp { port => 5000 codec => json_lines } } output { elasticsearch { hosts => ["elasticsearch:9200"] } } ``` 5. 保存文件并在终端中切换到该文件夹。 6. 运行以下命令启动ELK容器: ``` docker-compose up ``` 7. 等待一段时间,直到所有容器启动完成。然后,你可以通过访问`http://localhost:5601`来访问Kibana控制台,`http://localhost:9200`来访问Elasticsearch。 这样,你就成功地使用Docker搭建ELK环境。你可以通过修改`logstash.conf`文件来配置Logstash接收和处理日志数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值