ELK集群部署环境准备

配置ELK日志分析系统

192.168.108.67	elk-node1	es、logstash、kibana
192.168.108.189	elk-node2	es、logstash
192.168.108.32	apache	logstash

三台虚拟机配置调高 

三台机关闭防火墙

 

改名

 

 

 

1、2台机配置hosts解析文件

1，2台都用系统自带java环境

查看Java版本 

java -version

 

 

2台rz上传软件包 第1台软件包全部上传 第2台只上传3个

【也可根据需要上传】

安装elasticsearch软件 （rz   logstash-5.5.1.rpm和elasticsearch-5.5.0.rpm）

第1，2台

 

第1，2台

rpm -ivh elasticsearch-5.5.0.rpm

rpm  -ivh logstash-5.5.1.rpm

 

重新识别系统中的服务并且设置为开机自启动

 systemctl daemon-reload

 systemctl enable elasticsearch.service

 

修改node1，node2的配置文件

vim /etc/elasticsearch/elasticsearch.yml

http.cors.enabled: true

http.cors.allow-origin: "*"

创建目录并且把用户和组都改为elasticsearch

mkdir -p /data/elk_data

 

chown elasticsearch:elasticsearch /data/elk_data/

 

启动elasticsearch.服务并且查看端口

systemctl start elasticsearch.service

netstat -anpt | grep 9200

需要一定时间才能出来

 

访问节点ip

 http://192.168.108.67:9200/

 

 访问节点ip

 http://192.168.108.189:9200/

检查集群健康状态为green代表健康

 http://192.168.108.67:9200/_cluster/health?pretty

 

 

 http://192.168.108.189:9200/_cluster/health?pretty

第1台

安装elasticsearch-head插件

 

解压软件包  （rz 拉入node-v8.2.1-linux-x64.tar.gz）

 解压

 tar xf node-v8.2.1-linux-x64.tar.gz -C /usr/local/

做链接

 ln -s /usr/local/node-v8.2.1-linux-x64/bin/node /usr/bin/node

 ln -s /usr/local/node-v8.2.1-linux-x64/bin/npm /usr/local/bin/

查看版本

node -v

npm -v

 

解压head包（rz 拉入 elasticsearch-head.tar.gz）

 

解压

 tar xf elasticsearch-head.tar.gz -C /data/elk_data/

cd到elk_data

 cd /data/elk_data/

修改用户和组

 chown -R elasticsearch:elasticsearch elasticsearch-head/

cd到elasticsearch-head/下

 cd elasticsearch-head/

安装npm

 npm install

 

cd到site/下并且把app.js做个备份然后编辑

 cd _site/

 cp app.js{,.bak}

 vim app.js

找到4329行修改为自己的IP

 

 

启动npm并且启动elasticsearch

 npm run start &

 systemctl start elasticsearch   如果访问后没有发现node2 

                                                     cd /data/elk_data/

                                                      rm -rf nodes/

 

查看端口是否有9100

netstat -lnpt | grep 9100

 

访问ip查看节点

  http://192.168.108.67:9100/

插入数据测试类型为test

 curl -XPUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'Content-Type: application/json' -d '{ "user": "zhangsan","mesg":"hello word" }'

刷新http://192.168.200.111:9100/查看索引是否有变化

安装logstash

第1台也就是node1上安装logstash

rpm -ivh logstash-5.5.1.rpm  

启动logstash服务并且做一个软链接

systemctl start logstash

ln -s /usr/share/logstash/bin/logstash /usr/local/bin/

logstash 命令行常用的选项

-f：通过这个命令可以指定Logstash的配置文件，根据配置文件配置logstashe

-e: 后面跟着字符串，该字符串可以被当做logstash的配置（如果是"”则默认使用stdin作为输入，stdout作为输出）

-t：测试配置文件是否正确，然后退出

启动一个 logstash -e 在命令行执行 input

logstash -e 'input { stdin{} } output { stdout{} }'

标准输入是靠键盘输入标准输出是直接在屏幕上输出

 

使用rubydebug 显示详细输出 codec

logstash -e 'input { stdin{} } output { stdout{ codec =>rubydebug} }'

 

使用logstash将信息写入到elasticsearch中

 logstash -e 'input {stdin{} } output {  elasticsearch { hosts=> ["192.168.200.111:9200"]} }'

www.baidu.com

www.sina.com.cn

www.gogle.com

配置收集系统日志 第1台

cd到logstash写入配置文件

 cd /etc/logstash/conf.d/

 vim systemc.conf

input {file {path => "/var/log/messages"type => "system"start_position => "beginning"}
}
output  {elasticsearch {hosts => ["192.168.100.10:9200"]index => "system-%{+YYYY.MM.dd}"}
}

重启logstash

 systemctl restart logstash

加载systemc.conf 文件并且查看是否打入到es当中

logstash -f systemc.conf

访问ip查看节点再次查看

  http://192.168.108.67:9100/

安装kibana第1台

 rpm -ivh kibana-5.5.1-x86_64.rpm

设置为开机自启动

 systemctl enable kibana.service

修改配置文件并启动服务

vim /etc/kibana/kibana.yml

 

启动服务并且查看端口

 systemctl restart kibana.service

 netstat -lnpt | grep 5601

logstash -f /etc/logstash/conf.d/system.conf

访问 http://192.168.108.67:5601/

 

第3台

开启第3台起名：apache

 hostname apache

 bash

关闭防护机制

 iptables -F

 systemctl stop firewalld

 setenforce 0

启动httpd

 systemctl start httpd

 

查看java版本

java -version

rz上传软件包

 

rpm安装并且设置为开机自启动

 rpm -ivh logstash-5.5.1.rpm

 systemctl enable logstash.service

cd到logstash下

 cd /etc/logstash/conf.d/

vim编辑配置文件

 vim apache_log.conf

input {file {path => "/var/log/httpd/access_log"type => "access"start_position => "beginning"}file {path => "/var/log/httpd/error_log"type => "error"start_position => "beginning"}
}
output  {if [type] == "access" {elasticsearch {hosts => ["192.168.200.111:9200"]index => "apache_access-%{+YYYY.MM.dd}"}}if [type] == "error" {elasticsearch {hosts => ["192.168.200.111:9200"]index => "apache_error-%{+YYYY.MM.dd}"}}
}

[root@apache conf.d]# logstash -f apache_log.conf //加载文件

 

 

 

 

ELK端口号：

elasticsearch：9200    

elasticsearch-head：9100

logstash：9600    input：4560

Logstash agent：9601

kibana：5601