rpm安装EL(F)K7.8收集网络设备日志

最新推荐文章于 2024-04-19 01:04:34 发布
最新推荐文章于 2024-04-19 01:04:34 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: centos7 文章标签: centos es
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w50feng/article/details/107553890
版权

实验环境

centos7

jdk8

EL(F)K7.8.0

 

ELK包下载

下载地址:https://www.elastic.co/cn/downloads/

例为filebeat下载,其他es、logstash、kibana类似下载rpm64版本

 

安装前准备

网络设备配置:配置syslog接收服务器的ip即端口(安装logstash或者filebeat的服务器IP,端口例为514/udp)

关闭selinux:

    setenforce 0

    sed  --follow-symlinks  -i  "s/SELINUX=enforcing/SELINUX=disabled/g"  /etc/selinux/config

关闭防火墙或开启ELK端口

    关闭防火墙:systemctl stop firewalld(不建议)

    或仅开启相应端口:本例为kibana端口和514/udp

        firewall-cmd --permanent --add-port=5601/tcp

        firewall-cmd --permanent --add-port=514/udp

        firewall-cmd --reload

Java环境安装

    centos7yum安装java默认为8版本:yum install java -y

 

安装部署

ELK安装

    rpm -ivh elasticsearch-7.8.0-x86_64.rpm logstash-7.8.0.rpm kibana-7.8.0-x86_64.rpm filebeat-7.8.0-x86_64.rpm filebeat-7.8.0-x86_64.rpm

es配置启动:

    vim /etc/elasticsearch/elasticsearch.yml

node.name: node-1    #集群IP,默认注释,可默认配置
path.data: /var/lib/elasticsearch    #存储路劲
path.logs: /var/log/elasticsearch    #日志路径
network.host: 192.168.0.1    #主机IP,根据实际配置,默认注释,为本机127.0.0.1访问
http.port: 9200    #端口,默认9200

    systemctl start elasticsearch.service    #启动服务

    systemctl enable elasticsearch.service    #配置开机自启动

    查看端口是否正常启动:netstart -lntup

 

kibana配置启动:

    vim /etc/kibana/kibana.yml

server.port: 5601    #端口
server.host: "0.0.0.0"    #主机IP
elasticsearch.hosts: ["http://127.0.0.1:9200"]    #ES地址

    systemctl start kibana    #启动服务

    systemctl enable kibana    #配置开机自启动

    查看端口是否正常启动:netstart -lntup

 

日志收集服务配置:logstash或filebeat任选其一配置启动即可

logstash配置启动:

    vim /etc/logstash/conf.d/usg.conf

input{
    udp{
        port => 514  #用于接收交换机和路由器的日志的服务器端口
        type => "USG"
    }
}

output{
  elasticsearch{
    hosts => ["127.0.0.1:9200"]    #ES地址
    index => "system-log-%{+YYYY.MM}"    #每月索引,每天为(system-log-%{+YYYY.MM.DD})
  }
}

    直接启动会遇到报错

    解决办法,修改服务启动用户,以root用户启动:

    vim /etc/systemd/system/logstash.service

    systemctl daemon-reload    #服务配置生效

    systemctl start logstash.service    #启动服务

    systemctl enable logstash.service    #配置开机自启动

    查看端口是否正常监听:netstart -lntup

 

filebeat配置启动:

    vim /etc/filebeat/filebeat.yml

#修改filebeat.inputs
filebeat.inputs:
- type: udp
  host: "0.0.0.0:514"
  tags: ["syslog"]

#修改output.elasticsearch
output.elasticsearch:
  hosts: ["127.0.0.1:9200"]
  index: system-log-%{+yyyy.MM.dd}    #配置index后下面两项必须配置,不然会报错,格式顶格
setup.template.name: "filebeattest"
setup.template.pattern: "filebeattest-*"

注意:配置index参数必须配置下面两项配置,不然报错Failed to start Filebeat sends log files to Logstash or directly to Elasticsearch(/var/log/messages查看具体报错为:Exiting: setup.template.name and setup.template.pattern have to be set if index name is modified)

    systemctl start filebeat.service    #启动服务器

    systemctl enable filebeat.service    #配置开机自启动

    查看端口是否正常监听:netstart -lntup

 

kibana访问

访问地址:http://ip:5601

简单引用查询es数据

 

 

-----------日常记录---------------

叼不起的烟斗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用ELK收集网络设备日志的案例
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
Filebeat插件启动失败,不能直接查找报错原因
weixin_34376986的博客
04-02 3784
老是在filebeat启动的这一步骤上出错,但是由于filebeat是由systemd启动的,因此原因也经常查不清楚,因此并不能直观的查出错误在哪里,所以今天教给大家两个寻找错误的根源的方法 先看我这次报的什么错误: [root@ELK-chaofeng07 logstash]# systemctl status filebeatfilebeat.service - Filebea...
使用ELK收集网络设备日志的案例_elk收集华为交换机日志(1)
最新发布
m0_60691292的博客
04-19 618
默认没有添加local6.none;local4.none 命令,网络日志在写入对应的文件的同时会写入/var/log/messages 中。对filebeat传来的日志根据标签不同分别进行处理,将处理完成的日志数据传到es上存储,并在kibana上做进一步的可视化展示。$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志。注意:192.168.99.50为rsyslog服务器的IP。收集rsyslog下的日志文件到logstash。
Filebeat +Redis+ELK处理Nginx日志系统
weixin_34097242的博客
09-20 430
(一)简述:  filebeat:具有日志收集功能,是下一代的Logstash收集器,但是filebeat更轻量,占用资源更少,适合客户端使用。   redis:Redis 服务器通常都是用作 NoSQL 数据库,不过 logstash 只是用来做消息队列。   logstash:主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要...
Filebeat的配置参考
snail_bi的博客
12-10 2704
指定要运行的模块 前提: 在运行Filebeat模块之前,需要安装并配置Elastic堆栈: 安装Ingest Node GeoIP和User Agent插件。这些插件需要捕获示例仪表板中可用的某些可视化所使用的地理位置和浏览器信息。您可以通过在Elasticsearch主路径中运行以下命令来安装这些插件: sudo bin/e...
部署ELK+Filebeat日志收集分析系统
Bertram的博客
08-19 1750
部署ELK+Kafka+Filebeat日志收集分析系统 需求背景: 业务发展越来越庞大,服务器越来越多 各种访问日志、应用日志、错误日志量越来越多,导致运维人员无法很好的去管理日志 开发人员排查问题,需要到服务器上查日志,不方便 运营人员需要一些数据,需要我们运维到服务器上分析日志 1、环境准备 1.1 环境规划 环境准备的机器 IP地址 主机名 部署服务 192.168.1.128 es-01 elasticsearch、kibana、 logstash 192.168.1.12
pcre-7.8-6.el6.x86_64.rpm
04-09
pcre-7.8-6.el6.x86_64.rpm
openssh7.8p1RPM
09-28
3. 安装RPM包:使用`yum install openssh7.8p1.rpm`命令进行安装,系统会自动处理依赖关系并安装。 4. 配置OpenSSH:安装完成后,需要编辑`/etc/ssh/sshd_config`文件,根据实际需求调整配置,如端口号、认证方式等...
pcre-7.8-7.el6.x86-64.rpm 和 pcre-devel-7.8-6.el6.x86-64.rpm
10-25
linux自带版本,网上很难找到免费的,故上传一下,方便使用。压缩包包含 pcre-7.8-7.el6.x86_64.rpm 和 pcre-devel-7.8-6.el6.x86_64.rpm 和pcre-7.8.tar.gz 三个版本
pcre-7.8-7.el6.x86_64.rpm
10-28
pcre-7.8-7.el6.x86_64.rpm
pcre-devel-7.8-7.el6.i686.rpm
08-18
pcre-devel-7.8-7.el6.i686.rpm
filebeat-7.2.0-linux-x86_64.tar.gz
04-20
elastic.co官方开源包 filebeat-7.2.0-linux-x86_64.tar.gz
es
mmgithub123的博客
12-29 351
require: https://www.elastic.co/guide/en/elasticsearch/reference/current/vm-max-map-count.html Elasticsearch uses ammapfsdirectory by default to store its indices. The default operating system limi...
ElasticStack日志分析(1)Filebeat
benziwu的博客
09-23 626
默认的nginx路径在/var/log/nginx/access.log* /var/log/nginx/error.log*Filebeat是用于搜集日志,之后把日志推送到某个接收的系统中,这些系统或者装置再filebeat中称为output。用来追加主机元数据信息,再推送出来,除了加东西,还可以减东西,日志里某些东西不需要,就扔掉。Filebeat收集各种日志,之后发送到指定目标系统,但是同一时间只能配置一个输出目标。再开一台机器,修改日志文件,可以看见日志输出正常。这个时候,查看进程,
ELK集群部署(史上超详细)
REEB00T
12-01 3324
ELK集群部署(史上超详细)
电子科技大学数据库与软件工程实验报告一
weixin_53284122的博客
02-25 840
在虚拟机中创建Oracle数据库,并在windows上使用SQL developer与虚拟机中的数据库建立联系,学习到了虚拟机中的数据库的基本搭建步骤,和解决一些错误的技能。成功后,弹出“成功”提示。1.一开始,本人安装数据库是采用的是自定义安装,但是采用自定义安装数据库相关的配置文件会有一些问题,之后又采用的典型的默认安装,就成功安装了数据库。​ (4) 在“创建用户”窗口中,用户名为学号前加“stu”,口令为学号,并且选择默认表空间为“USERS”,临时表空间为“TEMP”。
树莓派 4B 下 Linux 系统命令行(4)
zhuizong8的博客
10-31 249
2021SC@SDUSC 在学习了Ubuntu 系统下文件系统中文件传输部分命令行的原理及使用之后,这一周我对Ubuntu 系统下文件系统中系统管理部分命令行的原理及使用进行了一定的研究和学习。 对于Ubuntu 系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Ubuntu 系统管理的命令是它正常运行的核心。 实验四:系统管理部分 1.实验目的 1)掌握 Ubuntu 系统下文件系统中系统管理部分命令行的原理及使用 2.实验内容 本次实验主要是掌握 Lin...
rmp yum的使用及配置网络——第三次作业
m0_74816763的博客
03-28 770
4、配置网络:为网卡添加一个本网段IPV4地址,x.x.x.123,并启用,然后在阿里镜像站GNU里,下载wget2的包。通过rpm装包的方法有很多,可以先在浏览器中下好后再通过文件传输使文件到linux库中。使用yum查询ifconfig命令是由哪个软件包提供的。3、通过pgrep和pidof命令查看sshd服务的进程号。通过pgrep和pidof命令查看sshd服务的进程号。如想要查询某个文件产生的功能在哪个包中体现运用如下命令。yum remove [-y]命令去卸载需要卸载的包。
elk】网络设备syslog日志收集
机智的埃努
11-15 5880
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
pcre-devel-7.8-6-el6.x86_64.rpm下载
10-11
pcre-devel-7.8-6-el6.x86_64.rpm 是一个用于CentOS或RHEL 6.x (64位)系统的RPM文件,它是Perl Compatible Regular Expressions (PCRE) 库的开发包。PCRE是一个功能强大的正则表达式库,用于在文本匹配和模式搜索中进行高级字符串匹配。 你可以通过以下步骤下载并安装该包: 1. 在你的系统上启动终端或控制台。 2. 使用wget命令下载该RPM文件,命令如下: ``` wget https://example.com/pcre-devel-7.8-6-el6.x86_64.rpm ``` 请替换 `https://example.com/` 为可用的下载链接。 3. 下载完成后,使用以下命令安装RPM文件: ``` sudo rpm -ivh pcre-devel-7.8-6-el6.x86_64.rpm ``` 如果没有root权限,请确保你有sudo权限,并通过输入管理员密码进行验证。 4. 安装完成后,你就可以在系统中使用PCRE正则表达式库的开发功能了。 请注意,以上命令中的文件名和链接仅作为示例,你需要根据你的实际情况进行替换。此外,如果你的系统不是CentOS或RHEL 6.x (64位),则需要寻找适用于你的系统版本和架构的PCRE开发包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值