ELK单台机器部署流程,具体功能不做过多叙述,本次搭建了一个简易的elk+nginx的日志系统,绕了很多次弯,特此记录
准备工作
!安装前提是必须有jdk1.8以上,jdk环境已经提前备好,故本次省略
!nginx也已提前部署完成,故省略
!
1.0
关闭防火墙
systemctl stop firewalld
1.1
创建elasticsearch用户启动es
useradd elasticsearch
1.2
创建一级目录 ```java
mkdir /data/
1.3
进入一级目录
cd /data/
1.4
上传logstah压缩包到linux
rz logstash-7.13.3-linux-x86_64.tar.gz
1.5
解压logstash文件到当前目录
tar -zxvf logstash-7.13.3-linux-x86_64.tar.gz
1.6
创建配置文件
vim /data/logstash-7.13.3/config/mynginx.conf
1.7
input {
#从文件中读取日志信息 输送到控制台
file {
#指定日志文件
path => "/usr/local/nginx/logs/access.log"
#以json格式
codec => "json"
#类型为elasticsearch
type => "elasticsearch"
start_position => "beginning"
}
}
filter {
}
#输出到指定位置
output {
#输出进行格式化,采用Ruby库来解析日志
stdout { codec => rubydebug }
elasticsearch {
#设置elasticsearch的IP地址和端口号
hosts => ["192.168.1.126:9200"]
#设置索引
index => "es-%{+YYYY.MM.dd}"
}
}
1.8
根据mynginx.conf启动logstash
./data/logstash-7.13.3/bin/logstash -f data/logstash-7.13.3/config/mynginx.conf
出现拒绝连接,步骤正确,拒绝原因是因为没有启动elasticsearch
安装elasticsearch
elasticsearch无法使用root用户启动,root启动会报错
2.0
创建一个新用户,准备工作已做可跳过
useradd elasticsearch
2.1
上传elasticsearch到当前用户目录
rz elasticsearch-7.13.3-linux-x86_64.tar.gz
2.2
解压到当前目录
tar -zxvf elasticsearch-7.13.3-linux-x86_64.tar.gz
修改配置文件
vim elasticsearch-7.13.3/config/elasticsearch.yml
2.3
修改以下内容
network.host: 192.168.65.144
#取消注释并将地址修改为本机IP,如果不修改默认为["127.0.0.1", "[::1]"]
http.port: 9200
#取消注释
cluster.initial_master_nodes: ["node-1"] #取消注释 *如果这里不取消集群节点的注释启动时会出现 会出现:“ERROR: [1] bootstrap checks failed [1]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured“的错误
2.4
启动elasticsearch服务
./elasticsearch-7.13.3/bin/elasticsearch
2.5
* 如果启动后出现"max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]"的错误(elasticsearch用户拥有的内存权限太小,至少需要262144)
使用root身份在/etc/sysctl.conf文件最后添加一行
vm.max_map_count=262144
保存后再次启动
sysctl -a|grep vm.max_map_count
可查看当前配置是否生效
2.6
访问192.168.1.126:9200显示当前页面即为成功
安装kibana
3.0
上传到data/目录
rz kibana-7.13.3-linux-x86_64.tar.gz
3.1
解压到当前目录
tar -zxvf kibana-7.13.3-linux-x86_64.tar.gz
3.2
编辑配置文件
vim data/kibana-7.13.3-linux-x86_64/config/kibana.yml
修改以下内容:
server.port: 5601 //本机服务端口
server.host: "192.168.1.126" //本机IP
elasticsearch.hosts: ["http://192.168.1.126:9200"] //elasticsearch服务的地址
3.3
./data/kibana-7.13.3-linux-x86_64/bin/kibana --allow-root
#提示root用户需要加--allow-root指令
启动kibana服务
3.4
登陆http://192.168.1.126:5601查看kibana视图信息
GET /es-2021.07.22/_search
意思为查看2021.07.22日的日志数据
GET /es-2021.07.22/_search
{
“query”: {
“match”: {“message”: “192.168.1.126”}
}
}
意思为查看标签含有192.168.1.126的日志数据
标签内容在mynginx.conf文件里面已经配置
可以查看日志信息