ELK离线版搭建过程

最新推荐文章于 2024-06-24 14:33:23 发布
最新推荐文章于 2024-06-24 14:33:23 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: ELK日志分析 文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiny_du/article/details/109462178
版权

 

ELK简介:

ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。

Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。

Filebeat隶属于Beats。目前Beats包含四种工具:

    1. Packetbeat(搜集网络流量数据)
    2. Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
    3. Filebeat(搜集文件数据)
    4. Winlogbeat(搜集 Windows 事件日志数据)

本人小白,自己搭建ELK测试玩,以下为自身操作分享,欢迎各位查看指正,大神勿喷。

部署环境:

操作系统:Centos7.6

系统资源:双核4G

                 192.168.0.223(服务端):elasticsearch;kibana;filebeat

                 192.168.0.226(客户端):filebeat

安装前准备:

logstash 和filebeat都具有日志收集功能,filebeat更轻量,占用资源更少;

logstash是jvm跑的,资源消耗比较大,但logstash 具有filter功能,能过滤分析日志。

本文试验采用占用资源更小的filebeat来进行日志收集功能。

首先去ELK的官网上将ELK部署需要的rpm包文件,下载到本地,方便以下安装。

最好下载同一个版本的rpm包文件,否则安装配置的过程中可能会出现问题。

安装JDK

因为elasticsearch需要JDK环境,所以需要提前安装好JDK环境。安装JDK的步骤在此不做过多介绍。

安装elasticsearch

rpm --import GPG-KEY-elasticsearch
rpm -ivh elasticsearch-7.9.2-x86_64.rpm

 安装ES后,进入ES的配置文件,进行配置。

[root@elk ~]# egrep -v "#|^$" /etc/elasticsearch/elasticsearch.yml 
node.name: elk-1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
cluster.initial_master_nodes: ["node-1","node-2"]
http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE
http.cors.allow-headers: "X-Requested-With, Content-Type, Content-Length, X-User"

 创建ES的数据存放目录和日志存放目录并赋予用户及组。

mkdir /var/lib/elasticsearch

chown -R elasticsearch:elasticsearch /var/lib/elasticsearch

mkdir /var/log/elasticsearch

chown -R elasticsearch:elasticsearch /var/log/elasticsearch/

启动ES,并加入开机自启。

systemctl restart elasticsearch
systemctl enable elasticsearch

 在浏览器上访问,进行测试,出现下面的信息即为安装成功。

安装elasticsearch-head

git上下载elasticsearch-head并安装。

cd /var/lib/
git clone git://github.com/mobz/elasticsearch-head.git
cd /var/lib/elasticsearch-head/ 
npm run start &      #在后台运行

elasticsearch-head的端口默认为9100/tcp 

然后在浏览器访问进行测试。

 安装filebeat

rpm -ivh filebeat-7.9.2-x86_64.rpm

进入filebeat文件,进行配置

[root@elk filebeat]# egrep -v "#|^$" /etc/filebeat/filebeat.yml 
filebeat.inputs:
- type: log
  enabled: true                                                #是否启动
  paths:                                                           #上报日志文件路径
    - /var/log/*.log
    - /var/log/messages
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 1
setup.kibana:
output.elasticsearch:                                      #输出到ES
  hosts: ["192.168.0.223:9200"]                      #ES的地址
processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

 启动filebeat并加入到开机自启。

systemctl start filebeat

systemctl enable filebeat

 安装kibana

rpm -ivh kibana-7.9.2-x86_64.rpm

 进入kibana配置文件,进行配置

[root@elk filebeat]# egrep -v "#|^$" /etc/kibana/kibana.yml 
server.port: 5602                                                              #kibana的服务端口5602/tcp
server.host: "localhost"
elasticsearch.hosts: ["http://192.168.0.223:9200"]           #对应ES的地址及端口
i18n.locale: "zh-CN"                                                         #默认为英文,可以修改成中文显示。(部分字段显示不友好)

 启动kibana并且加入到开机自启

systemctl start kibana

systemctl enable kibana

 访问进行测试,部分功能是收费的,但是可以试用。

 添加filebeat索引进行显示。

 搜索日志进行显示。

可以在上方搜索主机IP,左侧可以选择筛选索引,选择显示字段等内容,右侧可以选择筛选日志时间等。

发现问题及解决

1、发现elasticsearch启动出现了问题。

[1]memory locking requested for elasticsearch process but memory is not locked

[2]the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured

 解决:

原因:在/etc/elasticsearch/elasticsearch.yml 开启了 bootstrap.memory_lock: true 这个配置

elasticsearch官网建议生产环境需要设置bootstrap.memory_lock: true

官网的解释 是:发生系统swapping的时候ES节点的性能会非常差,也会影响节点的稳定性。所以要不惜一切代价来避免swapping。swapping会导致Java GC的周期延迟从毫秒级恶化到分钟,更严重的是会引起节点响应延迟甚至脱离集群。

所以最好限制住elasticsearch占用的内存情况,可选少用swap

# vim /etc/security/limits.conf

 

elk soft nofile 65536
elk hard nofile 65536
elk soft nproc 2048
elk hard nproc 2048
elk soft memlock unlimited
elk hard memlock unlimited

第二个问题就是注意 elasticsearch.yml的node.name的名称。

2、发现filebeat服务出现了问题

连接不上,是因为elasticsearch.ym那个node出现了问题 

在路上的阿帅
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK7.17离线安装
xiongmao0304的博客
10-24 372
elk7.17离线安装
Centos 7.6 Install ELK离线安装
极致,细节
05-17 1431
Nginx安装 https://blog.csdn.net/hanzheng260561728/article/details/90209721 Nginx配置实例 https://blog.csdn.net/hanzheng260561728/article/details/80583051 Centos 7.6系统下载 http://mirrors.cqu.edu.cn/Cen...
ELK离线安装和配置流程
Yanping-1003
04-11 925
ELK是一个开源的数据分析和可视化工具,由三个开源项目组成:Elasticsearch、Logstash和Kibana。Elasticsearch是一个基于Lucene库的分布式搜索和分析引擎;Logstash是一个用于收集、处理和转换数据的数据管道,它可以从各种来源读取数据,包括日志文件、系统事件、网络流量等;Kibana则是一个数据可视化平台,可以对从Elasticsearch中检索到的数据进行查询、分析和可视化。ELK常用于日志数据分析和监控,也被广泛用于业务数据分析和实时数据处理。
elk离线安装和问题处理
peter_wsh的博客
08-01 299
shell编码问题
centos 7 elk安装与搭建_elk安装 centos
最新发布
2401_85599344的博客
06-24 411
• ./logstash –path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf//这样可以在屏幕上查看到日志输出,不能敲命令。• /usr/share/filebeat/bin/filebeat -c /etc/filebeat/filebeat.yml //可以在屏幕上看到对应的日志信息。• ./logstash-plugin install file:///tmp/x-pack-6.0.0.zip (可省略)
ELK7.2离线部署
whp114870的博客
03-05 725
声明:rpm安装包 https://pan.baidu.com/s/16EMQLNGRgtwq3vkAHoIBQw 提取码:7lku (一) 安装filebeat 1、$ rpm -ivh filebeat-7.2.0-x86_64.rpm 2、修改配置文件 ,配置文件可以参考分享文件里的 $ vi /etc/filebeat/filebeat.yml ...
Linux 环境 离线 ELK Stack搭建分布式日志系统搭建宝典
指尖疯客的博客
11-05 537
文章目录使用模块功能简介安装包下载HeadingHeadingHeadingHeading 使用模块功能简介 Filebeat+Logstash +Kibana+Elasticsearch+Kafka Filebeat轻量型日志采集器。Filebeat 内置有多种模块(auditd、Apache、NGINX、System、MySQL 等等),可针对常见格式的日志大大简化收集、解析和可视化过程...
centos7/redhat7离线安装ELK
ylsutpc的博客
10-12 712
centos7/redhat7离线安装ELK
linux离线安装elk
莫等闲的博客
01-21 1137
//1,创建文件夹 mkdir /usr/elk  //上传文件 mkdir /usr/elk/data mkdir /usr/elk/data/elasticsearch mkdir /usr/elk/log mkdir /usr/elk/log/elasticsearch //2,分别解压三个文件 tar -zxvf a/b/c   //3,elasticsearch安装内容如...
ELK8.4+kafka日志收集系统离线部署教程,巨详细,适合新手
Vic的博客
01-16 596
网上的教程很少提到安全相关的配置,在网络安全越注重的今天,安全配置也不容忽视,不要为了方便而把安全有关的东西都禁掉。好了,Filebeat日志收集就介绍这么多,在实际使用的时候可以根据自己的业务需求来,在相应的服务器上安装filebeat,然后配置好相应的filebeat.yml文件,不同的应用,不同的日志类型,所编写的yml文件不同得根据实际灵活变通,logstash的日志收集配置文件也是,针对具体应用的日志收集写法,因篇幅有限,这里不一一列举,可以百度找一些别人收集的日志的模板改成自己的。
docker安装rabbitmq_开普勒云平台:9个示例解析如何安装依赖
weixin_39806818的博客
11-28 93
本文介绍开普勒云平台如何安装依赖。Kplcloud是什么?kplcloud是一个基于Kubernetes的轻量级PaaS平台,通过可视化的界面对应用进行管理,降低应用容器化的对度,从而减少应用容器化的时间成本。Kplcloud已在宜信服务于宜人财富等多个团队,稳定运行了近两年,目前平台已在生产环境跑着上百个应用,近千个容器。一、Namespace建议将与开普勒相关的服务独立到一个专有的 Names...
ELK 7.16.1 最新一键安装铂金离线
12-18
最新官方修复log4j问题,一键离线安装ELK三大件。
ELK安装部署
05-05
ELK日志分析和监控的安装和部署
centos7 elk 部署全过程
03-25
elasticsearch6.5.4+logstash6.5.4+kibana6.5.4+log4j2 在sentos7上部署的全过程,包括过程中会遇到的问题及详解
elk搭建
weixin_42323357的博客
11-05 72
elk 搭建 k8s中部署elasticsearch可查看上一篇博客 https://blog.csdn.net/weixin_42323357/article/details/121140713 这里主要记录下elk日志收集的搭建 使用工具filebeat,logstash,elasticsearch,kibana。 首先部署logstash和kibana ...
离线部署ELK+kafka日志管理系统
weixin_34032621的博客
09-20 323
1、简介对于日志来说,最常见的需求就是收集、查询、显示,正对应logstash、elasticsearch、kibana的功能。ELK日志系统在系统中,主要可解决的问题:基于日志的数据挖掘问题排查,上线检查根据关键字查询日志详情异常数据自动触发消息通知服务器监控,应用监控,Bug管理统计分析,比如接口的调用次数、执行时间、成功率等性能分析,用户行为分析,安全漏洞分析,时间管...
elk7.11.2离线安装
ProGram_BlackCat的博客
03-21 543
elk7.11.2离线安装
Linux 环境 离线 ELK7.4.0之Filebeat服务安装(直连ElasticSearch)
指尖疯客的博客
11-05 1749
文章目录解压安装包配置属性服务启动服务运行情况检查使用过程中出现的问题too many open files自定义的索引规则不生效使用自定义index时template 属性必须设置参考资料 解压安装包 cd /home/hsyt/jenkins/filebeat tar -xvf filebeat-7.4.0-linux-x86_64.tar.gz # 解压文件到当前目录,可以通过 -C 来指定...
ELK集群搭建
绿萝蔓蔓绕枝生
09-02 375
集群搭建 这里以三台主机为例;三台主机的 ip 地址不能相同; 搭建步骤: 1、修改主机名 分别修改三台主机的主机名,不能相同; hostnamectl set-hostname 主机名 修改完后可以用 hostname 查看主机名; 这里修改的三台主机名如下 2、主机列表 添加主机列表 vi /etc/hosts 三台机器都要添加这三台机器的 ip地址 主机名;如下图所示 3、添加互信 将每一台机器都给另外两台机器添加互信,一共添加6次,添加互信操作在之前的博客:【Linux系统之间的连接、ssh
ELK架构:搭建与日志处理详解
总结来说,本文档为读者提供了一套完整的ELK日志分析系统的搭建过程,包括软件的安装、配置、数据流动路径以及基本操作,这对于监控和管理大型分布式系统中的日志异常和性能问题非常实用。通过这个系统,运维人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值