CentOS7 ELK搭建

0x01 ELK简介

ELK是三个开源软件的缩写，分别表示：Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat，它是一个轻量级的日志收集处理工具(Agent)，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具。
官方手册
https://www.elastic.co/cn/what-is/elk-stack
https://www.elastic.co/guide/en/elasticsearch/reference/6.0/getting-started.html

1x01 准备工作

配置好yum源

wget http://mirrors.aliyun.com/repo/Centos-7.repo
wget http://mirrors.aliyun.com/repo/epel-7.repo

关闭防火墙

systemctl stop(disable) firewalld

关闭SELinux

SELINUX=disabled

1x02 安装java环境

查看java版本列表

yum list java-1.8*

安装所有文件

yum install java-1.8-* -y

查看安装是否成功

java -version

1x03 下载ELK

mkdir /elk;cd /elk
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz

下载好之后tar -xf解压缩，然后cp -a复制到/usr/local/里面

2x01 配置Elasticsearch

新建elasticsearch用户并启动(用elasticsearch普通用户启动)

useradd elasticsearch
chown -R elasticsearch.elasticsearch /usr/local/elasticsearch-6.2.3/
su - elasticsearch
cd /usr/local/elasticsearch-6.2.3/
./bin/elasticsearch -d

查看进程是否启动成功(这里要稍微等一会，启动有点慢)

netstat -antp

测试是否可以正常访问。

curl localhost:9200

若出现错误可以查看日志。

cat /usr/local/elasticsearch-6.2.3/logs/elasticsearch.log

2x02 配置Logstash

创建目录，用于存储logstash数据

mkdir -p /data/logstash/datadir

修改目录权限

chown -R logstash:logstash /data/logstash/datadir

创建日志目录

mkdir -p /data/logstash/logdir

修改目录权限

chown -R logstash:logstash /data/logstash/logdir

修改logstash配置文件

vi /etc/logstash/logstash.yml

修改信息如下：
设置data存储目录

path.data: /data/logstash/datadir

设置配置文件目录

path.config: /etc/logstash/conf.d

设置日志存储目录

path.logs: /data/logstash/logdir

启动logstash

systemctl start logstash
systemctl status logstash
systemctl enable logstash

查看logstash运行状态
创建一个软连接

ln -s /usr/share/logstash/bin/logstash.lib.sh /bin/

执行logstash的命令

logstash -e 'input { stdin { } } output { stdout {} }'

2x03 配置Kibana

打开Kibana配置文件/usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml

vim /usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml

找到下面这行并修改

server.host:"localhost" 修改为 server.host:"192.168.1.110"

进入Kibana的目录：cd/usr/local/kibana-6.2.3-linux-x86_64
执行启动命令：

nohup bin/kibana&

查看启动日志：

tail -f nohup.out

查看端口是否启动：

netstat-napt|grep5610

在浏览器访问192.168.1.110:5601，访问Kibana即可。