ITHO博客

从网络安全入门到放弃

Centos7 ELK搭建

2022-3-21 myluzh 二维码 系统运维

0x01 ELK简介
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。
官方手册
https://www.elastic.co/cn/what-is/elk-stack
https://www.elastic.co/guide/en/elasticsearch/reference/6.0/getting-started.html

1x01 准备工作
配置好yum源
wget http://mirrors.aliyun.com/repo/Centos-7.repo
wget http://mirrors.aliyun.com/repo/epel-7.repo
关闭防火墙
systemctl stop(disable) firewalld
关闭SELinux
SELINUX=disabled

1x02 安装java环境
查看java版本列表
yum list java-1.8*
安装所有文件
yum install java-1.8-* -y
查看安装是否成功
java -version

1x03 下载ELK
mkdir /elk;cd /elk
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz
下载好之后tar -xf解压缩,然后cp -a复制到/usr/local/里面

2x01 配置Elasticsearch 
新建elasticsearch用户并启动(用elasticsearch普通用户启动)
useradd elasticsearch
chown -R elasticsearch.elasticsearch /usr/local/elasticsearch-6.2.3/
su - elasticsearch
cd /usr/local/elasticsearch-6.2.3/
./bin/elasticsearch -d
查看进程是否启动成功(这里要稍微等一会,启动有点慢)
netstat -antp
测试是否可以正常访问。
curl localhost:9200
若出现错误可以查看日志。
cat /usr/local/elasticsearch-6.2.3/logs/elasticsearch.log

2x02 配置Logstash
创建目录,用于存储logstash数据
mkdir -p /data/logstash/datadir
修改目录权限
chown -R logstash:logstash /data/logstash/datadir
创建日志目录
mkdir -p /data/logstash/logdir
修改目录权限
chown -R logstash:logstash /data/logstash/logdir
修改logstash配置文件
vi /etc/logstash/logstash.yml
修改信息如下:
设置data存储目录
path.data: /data/logstash/datadir
设置配置文件目录
path.config: /etc/logstash/conf.d
设置日志存储目录
path.logs: /data/logstash/logdir
启动logstash
systemctl start logstash
systemctl status logstash
systemctl enable logstash
查看logstash运行状态
创建一个软连接
ln -s /usr/share/logstash/bin/logstash.lib.sh /bin/
执行logstash的命令
logstash -e 'input { stdin { } } output { stdout {} }'

2x03 配置Kibana
打开Kibana配置文件/usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml
vim /usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml
找到下面这行并修改
server.host:"localhost" 修改为 server.host:"192.168.1.110"
进入Kibana的目录:cd/usr/local/kibana-6.2.3-linux-x86_64
执行启动命令:nohup bin/kibana&
查看启动日志:tail -f nohup.out
查看端口是否启动:netstat-napt|grep5610
在浏览器访问192.168.1.110:5601,访问Kibana即可。

标签: centos elk

发表评论