安装部署ELK教程 (Elasticsearch+Kibana+Logstash+Filebeat+Metricbeat) 基于7.9.3版本

最新推荐文章于 2024-07-22 15:43:33 发布
最新推荐文章于 2024-07-22 15:43:33 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: JAVA相关学习以及工作总结 文章标签: elk filebeat metricbeat linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011665991/article/details/109581993
版权

关于docker本地安装参考另外一篇文章 : https://blog.csdn.net/u011665991/article/details/109494752

docker部署ELK 一台服务器,filebeat和metricbeat另外一台服务器,存在访问拒绝的问题,此问题暂时没有解决所以采用了 linux安装

安装使用的是官网免安装版本,解压既可以使用,所有使用版本均为7.9.3,压缩包来源于官网。es官网

PS:

1、如果因为切换到普通用户没有访问文件夹或者文件的权限,使用root用户重新赋予权限就行

        因为在有些配置文件会产生新的文件夹或者新的路径

2、关闭防火墙或者开放对应端口的权限

3、其他的一些问题,参考文末解决方案

4、有些具体错误,需要查看ELK及beat对应的日志

 

本文部署架构:

、下载安装包 :

链接:压缩包下载地址
提取码:elkb

、上传至服务器:

ELK所在的服务器为 100.175

Beat所在的服务器为 100.130

解压:

tar -zxvf elasticsearch-7.9.3-linux-x86_64.tar.gz
tar -zxvf kibana-7.9.3-linux-x86_64.tar.gz
tar -zxvf logstash-7.9.3.tar.gz
tar -zxvf filebeat-7.9.3-linux-x86_64.tar.gz
tar -zxvf metricbeat-7.9.3-linux-x86_64.tar.gz

、创建用户组 并赋予权限

elasticsearch和kibana的启动需要用自定义用户(kibana也可以用root启动 )

groupadd elk
useradd elk -g elk -p elk
chown -R elk:elk /home/tools/elk

修改配置文件:

1、修改elasticsearch的配置文件,只补充修改的地方

elasticsearch.yml

# ---------------------------------- Cluster -----------------------------------
cluster.name: es_175-1
# ------------------------------------ Node ------------------------------------
node.name: es_175-1
# ----------------------------------- Paths ------------------------------------

path.data: /home/tools/elk/elasticsearch-7.9.3/data
#
path.logs: /home/tools/elkelasticsearch-7.9.3/logs
# --------------------------------- Network -----------------------------------
network.host: 192.168.100.175
#
http.port: 9200
#
# --------------------------------- Discovery ----------------------------------
discovery.seed_hosts: ["192.168.100.175"]
cluster.initial_master_nodes: ["es_175-1"]

http.cors.enabled: true 
http.cors.allow-origin: "*"
http.cors.allow-headers: Authorization,Content-Type
#xpack.security.enabled: true
#xpack.security.transport.ssl.enabled: true

 进入到 bin路径下  切换elk用户 启动 

./elasticsearch -d

访问浏览器:出现此页面成功

设置账户密码:  关于密码设置及修改详细可以参考此外文章:elasticSearch 设置用户名密码 && 查询

修改上述注释掉的,放开注释

重新启动

执行设置用户名和密码的命令bin路径下,这里需要为4个用户分别设置密码,elastic, kibana, logstash_system,beats_system

./elasticsearch-setup-passwords interactive

我设置密码时出现的:

[es@k8snode2 elasticsearch-7.3.0]$ ./bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
 
 
Enter password for [elastic]: 
Reenter password for [elastic]: 
Passwords do not match.
Try again.
Enter password for [elastic]: 
Reenter password for [elastic]: 
Enter password for [apm_system]: 
Reenter password for [apm_system]: 
Enter password for [kibana]: 
Reenter password for [kibana]: 
Enter password for [logstash_system]: 
Reenter password for [logstash_system]: 
Enter password for [beats_system]: 
Reenter password for [beats_system]: 
Enter password for [remote_monitoring_user]: 
Reenter password for [remote_monitoring_user]: 
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

重新访问 此时页面为:

2、修改kibana的配置文件,只补充修改的地方

注意:logging.dest: 默认是输出到控制面板,不方便查看日志,可以自定义目录

           新路径需要重新给elk普通用户创建文件夹并赋权限、

kibana.yml

server.port: 5601

server.host: "192.168.100.175"

server.name: "kibana_175"

elasticsearch.hosts: ["http://192.168.100.175:9200"]

kibana.index: ".kibana"

# is proxied through the Kibana server.
elasticsearch.username: "esname"
elasticsearch.password: "espasswd"

elasticsearch.requestTimeout: 30000

# 注意:此路径需要重新给elk普通用户创建文件夹并赋权限
#logging.dest: stdout
logging.dest: /home/tools/elk/kibana-7.9.3-linux-x86_64/logs/kibana.log

# 修改en为zh-CN 控制面板为中文
i18n.locale: "zh-CN"

 进入到 bin路径下  切换elk用户 启动

如果直接使用 root也能启动会提示添加参数--allow-root,但是启动以后会提示错误 error in visualization internal server error kibana

所以这里也要使用普通用户启动

./kibana &

注意:此方式启动,控制台会继续输出日志,此时按 ctrl +c 会中断服务,建议使用 nohup后台启动

nohup ./kibana &

访问浏览器:出现此页面成功

3、修改logstash的配置文件,只补充修改的地方

logstash.yml:

#
pipeline.ordered: auto
#
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: esname
xpack.monitoring.elasticsearch.password: espasswd

logstash-sample.conf

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

output {

  if "financials" in [tags] {
     elasticsearch {
        hosts => ["http://192.168.100.175:9200"]
        index => "financials-%{+YYYY.MM.dd}"
        user => "esname"
        password => "espw"

     } 
  }
  if "system130" in [tags] {
       elasticsearch {
          hosts => ["http://192.168.100.175:9200"]
          index => "system130-%{+YYYY.MM.dd}"
          user => "esname"
          password => "espw"

       }
    }

   elasticsearch { 
     hosts => ["http://192.168.100.175:9200"]
     index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
     user => "elastic"
     password => "elastic"
   }
}

启动logstash:

nohup bin/logstash -f config/logstash-sample.conf &

查看端口状态 此处用的5044,如果没有lsof命名 使用 yum install 安装既可 ,再如果不支持外网 可以用 Telnet 或者curl测试都行

4、修改metribeat的配置文件,只补充启用的地方

metricbeat.yml
 



metricbeat.config.modules:

  path: ${path.config}/modules.d/*.yml
  
  reload.enabled: true

# ======================= Elasticsearch template setting =======================

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression
  #_source.enabled: false

# ================================== General ===================================
#tags: ["service-X", "web-tier"]
tags: ["system130"]

# ================================= Dashboards =================================

setup.dashboards.enabled: true
# =================================== Kibana ===================================

setup.kibana:
  host: "192.168.100.175:5601"
  username: "elastic"
  password: "elastic"

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  hosts: ["192.168.100.175:5044"]

# ================================= Processors =================================
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~
# ================================== Logging ===================================
logging.level: info

启动metricbeat ,进入到metricbeat 7.9.3文件夹,没有bin目录

./metricbeat -e

此命令会经常莫名退出,建议使用:

nohup ./metricbeat -e -c metricbeat.yml -d publish &

查看服务:

ps -ef | grep metricbeat

PS:这个地方有个大坑 连接kibana的时候 必须设置用户名和密码,不然的话kibana控制面板 discover可以看到服务指标,但是dashboard始终看不到数据

5、修改filebeat的配置文件,只补充修改的地方

filebeat.yml


# ============================== Filebeat inputs ===============================

filebeat.inputs:


- type: log

  enabled: true

  paths:
    # 要监控的服务日志路径
    - /opt/inancials/logs/*.log
    
  # logstash 输出的时候需要使用
  tags: ["financials"]

# ============================== Filebeat modules ==============================

filebeat.config.modules:

  path: ${path.config}/modules.d/*.yml

  reload.enabled: true
# ======================= Elasticsearch template setting =======================

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression
  #_source.enabled: false

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["192.168.100.175:5044"]
# ================================= Processors =================================
processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

# ================================== Logging ===================================

logging.level: info

启动filebeat ,进入到flebeat 7.9.3文件夹,没有bin目录

nohup ./filebeat -e

五、使用方法

1、访问kibana的webURL:http:// kibana服务器IP:5601

2、正常情况下,kibana控制面板中会发现metricbeat和filebeat的索引

3,但是也不排除查找不到的情况,需要手动添加下索引 ,所有索引都是此操作

4、回到discovery,会发现新增的索引,右侧为服务器日志显示

这里举例用的是metricbeat,filebeat同理,这是filebeat没有控制面板

5、显示130服务的默认指标

6、ELK整合filebeat和metricbeat监控完成,

这里创建索引有个问题 针对单个项目或者单台服务器没有必要采用   index => "financials-%{+YYYY.MM.dd}" 一天创建一个索引的形式

具体的按照实际项目来就可以。

 

遇到的一些问题:

1、org.elasticsearch.discovery.MasterNotDiscoveredException异常解决

2、filebeat启动报错 more than one namespace configured accessing ‘output’

3、kibana启动提示:"pid":22160,"message":"Port 5601 is already in use. Another instance of Kibana may be running!"}

4、elasticsearch root账户启动会出现org.elasticsearch.bootstrap.StartupException: java.lang.RuntimeException:can not run elasticsearch as root

5、其他的一些问题

MrBlackWhite
关注
专栏目录
ELK+FileBeat+Metricbeat+Nginx安装
qiushui1001的博客
05-24 195
ELK+FileBeat+Metricbeat+Nginx安装 注意:本文采用7.17.3版本 ELK安装 https://github.com/deviantony/docker-elk下载其压缩包放入到虚拟机中解压 这个ELK包是有付费功能的,取消的话可以看看他的README.md cd /opt/software unzip docker-elk-release-7.x.zip cd /opt/software/docker-elk-release-7.x # 启动 docker-compos
ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1671
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
【Elastic Stack下】Kibana+logstash+Nginx+Filebeat+Metricbeat入门学习,让你对ELK日志架构不再困惑
代码时光
07-11 591
课程介绍 Nginx日志分析系统 Filebeat入门学习 Metricbeat入门学习 Kibana入门学习 Logstash入门学习 综合练习 1、Nginx日志分析系统 1.1、项目需求 Nginx是一款非常优秀的web服务器,往往nginx服务会作为项目的访问入口,那么,nginx的性能保障就变得非常重 要了,如果nginx的运行出现了问题就会对项目有较大的影响,所以,我们需要对nginx的运行有监控措施,实时掌握 nginx的运行情况,那就需要收集nginx的运行指标和分析nginx
ELK详细搭建流程
最新发布
m0_65196233的博客
07-22 3268
elasticsearch+Logstach+kibana详细搭建流程
ELK 7.9.3 集群部署
运维那些事儿
06-16 887
CentOS 7 部署ELK集群
ELK日志分析平台(四)----metricbeat和filebeat
weixin_62615875的博客
12-25 1901
目录 1.metricbeat的健康检测 安装 使用内部收集​​​ 最终效果 (禁用掉内部收集)​​ 2.结合filebeat 安装filebeat 1.metricbeat的健康检测 安装 metricbeat-7.6.1-x86_64.rpm ##三台主机每一台都必须有metricbeat rpm -ivh metricbeat-7.6.1-x86_64.rpm #三台主机全部安装metricbeat [root@server1 metricbeat]# vim /etc/.
ELK-7.3安装部署
weixin_30642267的博客
08-21 544
ELK-7.3安装部署 原文ELK-7.3安装部署 前沿 1.什么是ELKELK是由ElasticsearchLogstashKibana 三个开源软件的组成的一个组合体 不懂自行查阅https://www.elastic.co/ 2.服务器 ...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
elasticsearch安装,elk elasticsearch+logstash+filebeat+kibana安装部署文档
06-25
elasticsearch安装,elk elasticsearch+logstash+filebeat+kibana安装部署文档,运维监控
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
总结起来,"elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)" 压缩包包含了一套完整的日志管理和分析工具链,适用于大数据环境,可以帮助企业实现高效的数据收集、处理、存储和可视化。通过使用这套工具,...
suricata+elk+kibana+logstash安装手册.docx
08-13
- 下载与 Elasticsearch 相匹配的 Kibana 版本,进行安装和配置,使其能连接到 Elasticsearch 实例。 5. **配置和使用**: - 更新 Suricata 的规则库以获取最新的威胁情报。 - 启动所有服务:`systemctl start ...
filebeat-7.9.3
11-09
filebeat-7.9.3-linux-x86_64.tar.gz 官网压缩包 免安装版 为了节省时间 上传服务器解压即可使用
Logstash日志管理系统 v7.9.3
11-02
为您提供Logstash日志管理系统下载,Logstash是一个应用程序日志、事件的传输、处理、管理和搜索的平台。你可以用它来统一对应用程序日志进行收集管理,提供Web接口用于查询和统计。Logstash现在是ElasticSearch家族成员之一。开发环境:1、安装JDK版本8或11。请确保将JAVA_HOME环境变量设置为JDK安装目录的路径。例如set JAVA_HOME=。2、安装JRuby 9.2.x建议使用Ruby版本管理器,
elasticsearch + search-guard + filebeat + metricbeat + logstash + kibana ELK整体安装配置教程
Hillbo的博客
07-03 2276
elasticsearch + search-guard + filebeat + metricbeat + logstash + kibana ELK整体安装配置教程1、前期装备2、filebeat + metricbeat + logstash + elasticsearch + kibana + search-guard安装2.1、elasticsearch + search-guard安装...
在Kubernetes上部署KibanaLogstash
热门推荐
迷途的攻城狮
03-07 1万+
在Kubernetes上部署KibanaLogstash 因为在k8s上部署的应用越来越多,本地的四个虚拟机已经有点吃力,所以这一次使用Ansible安装的四节点K8S集群上实验。 1、环境清单 1.1、系统清单 IP Hostname Role OS 192.168.115.210 master K8s-master、nfs ...
k8s 日志收集,部署EFK-elasticsearch+fluentd+kibana
weixin_39603190的博客
10-26 2119
k8s 日志收集,部署EFK-elasticsearch+fluentd+kibana k8s集群搭建完成后,由于pod分布在不同node内,定位问题查看日志变得复杂起来,pod数量不多的情况下可以通过kubectl自带的log命令进行日志查询,随着pod数量的增加日志查询的繁琐度也是呈指数型增长,定位问题也变得异常困难。 现在迫切需要搭建一套集群日志收集系统,目前主流的两种系统: ELKFilebeat(收集)、Logstash(过滤)、Kafka(缓冲)、Elasticsearch(存储)、Kiba
Centos7.9安装Elasticsearch, Logstash, and Kibana (ELK Stack)
sgj584520的专栏
08-26 426
1.elashticsearch禁止使用root账户启动 通过SSH登录服务器 useradd elk passwd elk chmod 640 /etc/sudoers vi /etc/sudoers chmod 440 /etc/sudoers 2.安装OpenJDK 8 Java sudo yum -y install java-1.8.0-openjdk java -version 3.添加Elasticsearch存储库 sudo rpm --impo...
ELKB安装(Elasticsearch+logstash+kibana+filebeat)
T_james的博客
11-22 1701
本篇博客主要是为了搭建ELKB的运行环境 旨在对线上多台服务器的日志进行获取分析 解决日常运行查看中的痛点 前置准备: 1.安装jdk环境--java -version 2.下载相关的压缩包或者获取对应的rpm文件 本文采取前者 官网tar下载路径:Elasticsearch:官方分布式搜索和分析引擎 | Elastichttps://www.elastic.co/cn/elasticsearch/ 3.机器须大于4G内存 否则相关实例运行会报错 4....
Elasticsearch+Logstash+kibana+filebeat二进制部署(7.9.0版本)
liuchao666888的博客
11-19 1934
Elastic Stack简介 Elasticsearch的组成 Elasticsearch Elasticsearch 基于java,是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引,副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash Logstash 基于java,是一个开源的用于收集,分析和存储日志的工具。 Kibana Kibana 基于nodejs,也是一个开源和免费的工具,Kibana可以为 Logstash 和 Elast
ELK集群部署教程Elasticsearch+Logstash+Kibana详解
本文档是一份详细的ELKElasticsearchLogstashKibana)集群环境部署及应用手册,着重于这三个开源工具在日志管理和数据分析领域的集成使用。ELK堆栈是业界广泛用于日志分析的解决方案,特别适合处理海量、实时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值