ELK日志系统

基础环境配置

1.环境准备
规划3个节点，其中1个作为主节点，2个作为数据节点：
修改主机名（elk-1,elk-2,elk-3）

配置hosts文件[3个节点配置相同(以elk-1节点为例)]

安装JDK

部署ELK环境需要jdk1.8以上的JDK版本软件环境，我们使用opnejdk1.8，3节点全部安装（以elk-1节点为例）

安装Elasticserach

将提供的rpm包上传至3台节点的/root/目录下,之后使用rpm命令进行安装，3节点全部安装
// 参数含义：i表示安装，v表示显示安装过程，h表示显示进度

配置Elasticserach
节点一，在配置文件中直接修改

节点2和节点3在配置文件中添加这一部分

启动服务（ systemctl start elasticsearch）后查看端口

使用curl命令来检查集群状态

检查集群详细信息

部署Kibana

安装Kibana
通过scrt工具把kibana的rpm包上传至elk-1节点的root的目录下（其他节点不需上传）

配置Kibana的配置文件，配置文件在/etc/kibana/kibana.yml，在配置文件增加或修改以下内容

启动Kibana，查看状态

查看端口

启动成功后网页访问，可以访问到如下界面

Logstash部署

使用scrt工具把kibana的rpm包上传至elk-2节点的root的目录下（其他节点不需上传）

配置Logstash
配置/etc/logstash/logstash.yml，修改增加如下

配置logstash收集syslog日志

检测配置文件是否错误
// 创建软连接，方便使用logstash命令


表示所有日志 vi /etc/rsyslog.conf

配置监控日志

更改文件所属用户

启动Logstash
systemctl start logstash
使用netstat命令，查看进程端口：

测试
之前部署Kibana完成后，还没有检索日志。现在Logstash部署完成，我们回到Kibana服务器上查看日志索引

logstash收集nginx日志

安装Nginx

修改配置文件 vi /etc/logstash/conf.d/nginx.conf

检查配置文件是否出错

配置nginx
[root@elk2 ~]# vi /etc/nginx/conf.d/elk.conf

配置日志格式 ，添加以下内容

验证
重启nginx
[root@elk2 ~]# systemctl start nginx
重启logstash
[root@elk2 ~]# systemctl restart logstash
#修改windows的hosts文件添加以下内容，路径：C:\Windows\System32\drivers\etc
#windows的hosts文件因为权限问题不能直接修改，小技巧直接把hosts文件复制到桌面，然后修改完成再复制回去即可

主节点curl以下看是否有日志生成

使用Beats采集日志

在elk-3主机上下载和安装Beats：

配置Beats
编辑配置文件：

ip为节点一

在elk-1主机上使用curl '192.168.40.11:9200/_cat/indices?v’命令查看是否监听到elk-3主机上的日志（出现filebeat字样表示成功）