ELK搭建过程(8.8.2)- zip包 windows本地部署

已于 2023-11-24 09:49:01 修改
阅读量177 收藏 1
点赞数
分类专栏: ELK 文章标签: 运维 elasticsearch
于 2023-09-13 11:53:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgdzg/article/details/132848958
版权

项目需要,研究了ELK,记录一下

一. 背景: 为解决安全检查合规,以及功能增强,需升级ELK7->8, 故在本地搭建ELK8的服务,验证相关问题。

二. 简介:网上资源很多,

简单的说:ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部

Logstash 用于采集数据,

Elasticsearch 用于存储分析检索数据,

Kibana 用于分析展示数据

除了3个基本套件外:项目中的elk还涉及,

FileBeat 轻量的数据采集, ElastAlert 2 监控报警 (ES也有自己的强大的收费的监控报警)。

关于Beats和Logstash的使用,网上很多资源​编辑ELK架构简述​编辑logstash 和 beats的关系_logstash beats_水的精神的博客-CSDN博客

简单的说,Beats轻量,专注收集; Logstash除了收集,还特别擅长数据转换,格式化等处理工作。

三. 搭建过程:

官网有打好的docker镜像,也有相应的文档,参考 ​编辑Installing the Elastic Stack | Elastic Installation and Upgrade Guide [8.9] | Elastic

这里的步骤适用windows本地部署。

1. 官网下载文件,这里都下的用于windows的zip, 当前版本8.8.2

Elasticsearch (install instructions)

Kibana (install)

Logstash (install)

Beats (install instructions)

ElastAlert2 (​编辑ElastAlert 2 - Automated rule-based alerting for Elasticsearch — ElastAlert 2 0.0.1 documentation )

另外:JDK17+ (这个elasticsearch的zip打包好了所需版本,不自己下的话,可以把相应目录加到“环境变量”)

2. 打开 .\elasticsearch-8.8.2\config\elasticsearch.yml, 调整相应配置

network.host: 127.0.0.1 
http.port: 9200 
http.cors.enabled: true 
http.cors.allow-origin: "*" 
# 启动运行 .\elasticsearch-8.8.2\bin\elasticsearch.bat 脚本即可。

注意:这里刚启动的后,控制台上可以看到user “elastic” 及随机密码,

建议执行重置密码,录入一个方便记忆的密码

.\elasticsearch-reset-password -i -u elastic

用户elastic权限太大,不建议在具体业务中使用,并且其本身在一些配置中受限,另外,内置有kibana_system, logstash_system, kibana_admin, logstash_admin 的用户,专门用于连接相应的套件,

建议参考kibana_system, logstash_system 的角色权限等,创建一个自定义角色,基于该新建的角色创建一个新用户,用于我们的日志系统。(注意,貌似logstash_system没有批量写的权限,导致logstash不能写入数据到elasticsearch, 所以最好新建我们的角色,并赋予批量写的权限, 可能logstash_admin有批量的权限,没有专门测)

创建role和user的工作,可以先使用超级用户elastic, 把 elasticsearch 和 kibana 连接好,然后在kibana的 devTool上,使用API工具创建更方便, 创建好后在返回来修正各个配置文件;

另外:为方便本地搭建,没有启用SSL; 如果想验证下,elasticserach8.X的目录中有自带的证书, 我试过可以用

#批量写的role

"logstash_writer": { "cluster": [], "indices": [ { "names": [ "*" ], "privileges": [ "create_doc", "create", "delete", "index", "write", "all" ], "allow_restricted_indices": false } ], "applications": [], "run_as": [], "metadata": {}, "transient_metadata": { "enabled": true }

3. 打开 .\logstash-8.8.2\config\logstash.conf

(如果没有,请把logstash-sample.conf拷贝一份重命名即可)

input { 
# file { 
#   path => "D:/logs/app.gateway-*.json" 
#   start_position => "beginning" 
#   sincedb_path => "D:/elk/elk_running/logstash-8.8.2/sincedb/file" 
# } 
  beats { 
    port => 5044 
  } 
} 
filter { 
...... 
} 
output { 
  elasticsearch { 
    hosts => ["http://127.0.0.1:9200"] 
    index => "log-app-v2" 
    user => "loguser" 
    password => "xA123456" 
    #ssl => true 
    #ssl_certificate_verification => true 
    #cacert => "D:\\elk\\elk_running\\elasticsearch-8.8.2\\config\\certs\\http_ca.crt" 
} 

# 启动运行 .\logstash-8.8.2\bin\logstash.bat -f .\config\logstash.conf 脚本即可。

4. 打开 .\kibana-8.8.2\config\kibana

server.port: 5601 
server.host: "127.0.0.1" 
elasticsearch.username: "loguser" 
elasticsearch.password: "123456" 

# 启动运行 .\kibana-8.8.2\bin\kibana.bat 脚本即可。

5. 打开 .\filebeat-8.8.2\filebeat.yml

filebeat.inputs: 
- type: filestream 
  enabled: true 
  paths: - D:\logs\app.*-*.json 
output.logstash: 
  hosts: ["localhost:5044"] 

# 启动运行 .\filebeat-8.8.2\filebeat -c filebeat.yml -e 脚本即可。

6. ElastAlert2安装

pip3 install elastalert2 
git clone https://github.com/jertel/elastalert2.git  

$ python3 setup.py install 

## 可能会提示 更新setuptools, 那就执行pip3 install "setuptools>=11.3" 更新一下先

配置文件

## 配置文件目录位于elastalert2/examples/目录下,把config.yaml.sample复制一份成config.yaml 
rules_folder: examples/rules 
run_every: 
  minutes: 1 
buffer_time:
  minutes: 15
es_host: "127.0.0.1" 
es_port: 9200 
es_username: loguser 
es_password: 123456 
writeback_index: elastalert_status

创建监控状态索引,也可以不创建,第一次启动elastalert时会有一个警告,然后它自己就去给创建了;创建成功即可通过kibana查看索引管理,看到创建好的一系列索引 elastalert_status_XXXX;

elastalert-create-index

创建自定义rule: demo_sendgrid.yaml

# 2分钟内超过10的ERROR事件,就报警(向本地http://localhost:8409, post报警数据)
name: 10_error_2_minutes 
type: frequency 
index: mylog-* 
use_strftime_index: true 
num_events: 10 
timeframe: 
  minutes: 2 
filter: 
- query: 
    query_string: 
      query: "Error" 

alert: post2 
http_post2_url: "http://localhost:8409" 
http_post2_payload: | 
  { 
    "message": "there is some error" 
  } 
http_post2_headers: Content-Type: application/json

启动elastalert

python -m elastalert.elastalert --config D:\elk\elk_running\elastalert2\examples\config.yaml --rule D:\elk\elk_running\elastalert2\examples\rules\demo_sendgrid.yaml --verbose

petunsecn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos8 ELK安装步骤以及相关注意点
05-22
CentOS 8 安装ELK 7.x 本次示例使用的是阿里云的机器,系统CentOS8 常见的问题的原因以及处理
Elasticsearch8版本安装详解,单节点部署、多节点部署、冷热温集群部署、IK分词器安装、简单生产安全模式配置
timber wolf
05-30 8547
Elasticsearch8版本安装详解,单节点部署、多节点部署、冷热温集群部署、IK分词器安装、简单生产安全模式配置,配置文件参数基础
Docker 部署ELK
怀素的专栏
12-14 1134
ELK8 需要docker18以上,目前使用ELK7配置目录:/data/elk/安装elasticsearch、kibana、logstash。
Docker部署ELK 8.8.2(4)-logstash部署和使用
weixin_48244640的博客
07-07 1431
Docker部署ELK 8.8.2,ELK介绍,Elasticsearch、Kibana、Logstash、Filebeat安装及使用。
最新版ELK8.8.2安装部署
wybaaaaaaaa的博客
07-19 755
Elasticsearch : 接收搜集的海量结构化日志数据,并提供给Kibana查询分析。 Logstash : 对日志进行过滤形成结构化数据,并转发到Elasticsearch中。 Kibana : 对Elasticsearch提供的数据进行分析展示。 filebeat : 用于收集日志
ELK日志分析平台搭建过程
02-24
当生产环境有很多服务器、很多业务模块的日志...downloads-2133151.html本环境下载的是64位tar.gz,将安装拷贝至安装服务器/usr/local目录[root@localhost~]#cd/usr/local/[root@localhostlocal]#tar-xzvfjdk-8u1
docker-compose搭建elk过程,以及设置密码
08-25
docker-compose搭建elk过程。可以查看对应的文章。 ├── docker-compose.yml ├── elasticsearch │ └── config │ └── elasticsearch.yml ├── kibana │ └── config │ └── kibana.yml └...
ELK日志管理平台部署手册(Windows).docx
08-12
ELK日志管理平台部署手册,针对windows环境部署和安装
elk-7.6.0-win-64.zip集合
02-15
elk-7.6.0-win-64.zip集合
Windows环境下搭建完整的ELK平台
m0_52403371的博客
04-01 3601
Windows环境搭建ELK平台
windowsELKElasticSearch、Logstash、Kibana)环境的搭建
聆听风雨的博客
12-19 4663
一:前言 ELKElasticSearch、Logstash、Kibana三个应用的缩写。 ElasticSearch简称ES,主要用来存储和检索数据。Logstash主要用来往ES中写入数据。Kibana主要用来展示数据。 三个软件都是开源的,可以从https://www.elastic.co/cn/products这里下载 二:安装 下载完之后直接解压到相应目录,比如像我这这样
Docker部署ELK 8.8.2(2)-Kibana部署&连接Elasticsearch
weixin_48244640的博客
07-04 1342
Docker部署ELK 8.8.2,ELK介绍,Elasticsearch、Kibana、Logstash、Filebeat安装及使用。
如何在CDH中安装ElasticSearch
weixin_54707168的博客
01-28 499
本文档主要介绍如何在CM中添加ELK服务,及配置说明。 内容概述 1.部署Parcel 2.添加CSD 3.添加服务 4.配置说明 测试环境 1.Redhat7.2 2.CM5.16.2 部署Parcel 1.将elk添加到httpd服务目录下 2.将地址添加到CM的parcel配置中 3.下载分发parcel 4.激活 添加CSD 1.将csd文件ELK-YX-20200617-1.0-SNAPSHOT.jar放置在
Docker部署ELK 8.8.2(1)-ELK介绍&Elasticsearch安装
weixin_48244640的博客
07-03 1180
Docker部署ELK 8.8.2,ELK介绍,Elasticsearch、Kibana、Logstash、Filebeat安装及使用。
学习整理 docker
最新发布
wonder_dog的博客
05-31 225
nexus。
操作系统 - 输入/输出(I/O)管理
qq_56815564的博客
05-27 1005
1、设备的分类I/O设备是指**可以将数据输入计算机的外部设备,或者可以接收计算机输出数据的外部设备**按信息交换的单位分类块设备。信息交换以**数据块为单位,如磁盘、磁带等磁盘设备的基本特征是传输速率较高、可寻址,即对它可随机地读/写任意一块**字符设备。信息交换以**字符为单位,如交互式终端机、打印机等它们的基本特征是传输速率低、不可寻址,并且时常采用中断I/O方式**按设备的传输速率分类低速设备。传输速率仅为每秒几字节到数百字节,如键盘、鼠标等中速设备。
zabbix自定义监控项
ADY的博客
05-27 903
zabbix自定义监控项
3.location的写法
u010198709的博客
05-28 408
让服务器接收到请求后,根据需求改写地址,以改写的地址给客户端响应。优先级: =, ^~, ~, ~*, location /nginx通过fastCGI机制调用PHP,处理动态资源。php以fpm的方式运行,有自己独立的进程、服务。将httpd换为nginx,高并发、高性能。作用: 匹配客户端响应。
windows系统elk搭建
07-28
ELK平台的搭建可以在Windows环境下进行。根据引用\[1\],在Windows 11环境下,可以使用logstash 8.0.0、elasticsearch 8.0.0和kibana 8.0.0进行搭建。 首先,需要下载elasticsearch、logstash、kibana和filebeat。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值