ELK简介
“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。
更多参考:什么是 ELK Stack
一、环境准备
本教程所用系统为 CentOS7.7 ,建议使用 CentoOS7.4 及以上版本。
所用ELK版本为7.4.2。
修改主机名
方便区分主机与规范化管理,如果配置es集群环境,请配置正规DNS,或者在/etc/hosts文件中写入对应关系。
hostnamectl set-hostname node-1
重启主机
安装JKD1.8开发环境
虽然es7.x及以后版本自带JDK,此处安装是logstash也要用。如果不装logstash的话可选择跳过此步。
yum安装JKD1.8
yum install java-1.8.0-openjdk-devel
设置环境变量(无脑粘贴即可)
jh_pwd=`ls -d /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.*`
JAVA_HOME='$JAVA_HOME'
cat >> /etc/profile <<EOF
#set java environment
JAVA_HOME=$jh_pwd
JRE_HOME=$JAVA_HOME/jre
CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
export JAVA_HOME JRE_HOME CLASS_PATH PATH
EOF
使环境变量生效
source /etc/profile
修改文件与线程数限制limits.conf
cat >> /etc/security/limits.conf <<EOF
* soft nofile 65536
* hard nofile 65536
* soft nproc 4096
* hard nproc 4096
EOF
修改vm.max_map_count
sed -i '$a vm.max_map_count=655360' /etc/sysctl.conf
下载安装包
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.rpm
二、安装ELK(无认证)
生产环境下请配置传输加密与安全认证
rpm包自动安装
此方法可以用systemctl方式启动服务,方便管理。
rpm -ivh elasticsearch-7.4.2-x86_64.rpm
rpm -ivh kibana-7.4.2-x86_64.rpm
rpm -ivh logstash-7.4.2.rpm
创建数据目录并设置权限
rpm安装完es,会自动创建elasticsearch用户与用户组,无需手动创建。
mkdir -p /data/es-data
chown -R elasticsearch:elasticsearch /data/es-data/
调整JVM内存
此处为将1g改为8g,可设置为物理内存的一半or more
sed -i 's/-Xms1g/-Xms8g/g' /etc/elasticsearch/jvm.options
sed -i 's/-Xmx1g/-Xmx8g/g' /etc/elasticsearch/jvm.options
编辑es配置文件
注释掉默认数据目录
sed -i 's/path.data/#path.data/g' /etc/elasticsearch/elasticsearch.yml
追加自定义配置,根据自己需求更改集群及节点名称
cat >> /etc/elasticsearch/elasticsearch.yml <<EOF
#------开始定义------
#集群名
cluster.name: my-es
#node名
node.name: node-1
#数据目录
path.data: /data/es-data
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.initial_master_nodes: ["node-1"]
EOF
启动es
systemctl enable elasticsearch
systemctl start elasticsearch
验证es
访问http://xxx:9200 会出现如下类似response。
如果启动faided,可查看/var/log/elasticsearch/my-es_server.json进行排错
{
"name" : "node-1",
"cluster_name" : "my-es",
"cluster_uuid" : "CxiYplRUTB-CxFF_3OYZWA",
"version" : {
"number" : "7.4.2",
"build_flavor" : "default",
"build_type" : "rpm",
"build_hash" : "2f90bbf7b93631e52bafb59b3b049cb44ec25e96",
"build_date" : "2019-10-28T20:40:44.881551Z",
"build_snapshot" : false,
"lucene_version" : "8.2.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
修改kibana配置文件
cat >> /etc/kibana/kibana.yml <<EOF
#----customed----:
server.port: 5601
server.host: "0.0.0.0"
kibana.index: ".kibana"
elasticsearch.hosts: "http://localhost:9200"
EOF
启动kibana
systemctl enable kibana
systemctl start kibana
访问http://xxx:9200 即可访问kibana管理界面
关于logstash
相关参考:logstash启动失败的问题追查
ls /etc/logstash/
conf.d jvm.options log4j2.properties logstash-sample.conf logstash.yml pipelines.yml startup.options
logstash服务中,会去pipelines.yml中过滤数据,但这个文件的内容其实指向的是conf.d这个目录,因此我们要在conf.d目录下创建好配置文件,以备logstash服务来对数据进行使用。
systemctl enable kibana
systemctl start kibana
排错可查看/var/log/logstash/logstash-plain.log