elasticsearch kibana logstash(ELK)的安装集成应用

Posted xiaoyao-001

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了elasticsearch kibana logstash(ELK)的安装集成应用相关的知识,希望对你有一定的参考价值。

官网关于kibana的学习指导网址是:https://www.elastic.co/guide/en/kibana/current/index.html

  Kibana是一个开源的分析和可视化平台,设计用于Elasticsearch。使用Kibana搜索、查看和与存储在Elasticsearch索引中的数据交互。您可以轻松地执行高级数据分析并在各种图表、表和映射中可视化数据。

  Kibana使理解大量数据变得容易。它简单的、基于浏览器的界面使您能够快速创建和共享动态仪表板,实时显示对Elasticsearch查询的更改。

kibana的安装需要依赖elasticsearch,所以需要先安装它,

技术分享图片

rpm -ivh elasticsearch-6.4.1.rpm

然后查看状态及安装情况

技术分享图片

修改配置文件

 技术分享图片

在在 Linux 环境中,elasticsearch 不允许以 root 权限来运行!所以需要创建一个非root用户,以非root用户来起es

技术分享图片

rpm安装包位于、usr/share/elasticsearch/下,应采用下列授权

 技术分享图片

刚开始访问还是不行,然后一顿乱捣鼓,感觉也没有增加什么,最后突然刷新一下,好了,先用着,后面再整理一下

技术分享图片

 然后在test用户上查看一下运行状态

技术分享图片

然后在通过test用户起来停止服务测试外网连接,都有爆红,但是都正常了

技术分享图片

然后停掉test用户的服务,切回到root下开启服务,再次尝试外网连接,多次刷新后,也是OK的,说明这一版本不需要通过用户启动服务也可以,只是连接虚拟机的时候网络较差,所以,多刷新几次。

技术分享图片

外网访问:

技术分享图片

结论:这一版本不需要通过用户启动服务也可以,只是连接虚拟机的时候网络较差,所以,多刷新几次。

kibana的安装(安装需要Elasticsearch的支持,所以要先安装Elasticsearch)

  我们直接根据官网来安装,采用rpm的方式,简单直接,https://www.elastic.co/guide/en/kibana/current/rpm.html

技术分享图片

技术分享图片

下载后,安装,启动,停止等

技术分享图片

 启动,直接输入网址192.168.135.129:5601不能访问,关闭防火墙也不行,需要设置/etc/kibana/kibana.yml。如下放开一些配置,修改一些配置

技术分享图片

技术分享图片

 然后登陆外网,多刷新几次,本博主网络比较慢,输入网址http://192.168.135.129:5601

技术分享图片

OK!

最后安装logstash

技术分享图片

 创建配置文件

技术分享图片

内容格式如下主要有输入,过滤和输出三部分:

技术分享图片
 1 input {
 2 
 3     stdin {}
 4 }
 5 
 6 filter {
 7 
 8     grok {
 9 
10         patterns_dir => ["/home/keepgostudio/download/logstash-5.2.0/patterns"]
11 
12         match => {
13 
14             "message" => ["%{PARAMS_APACHELOG}", "%{NO_PARAMS_APACHELOG}"]
15 
16         }
17 
18         remove_field => ["host", "timestamp", "httpversion", "@version"]
19 
20     }
21 
22 
23     kv {
24 
25         source => "params"
26 
27         field_split => "&?"
28 
29     }
30 
31 
32     geoip {
33 
34         source => "ip"
35 
36         fields => ["country_name", "region_name", "city_name", "latitude", "longitude"]
37 
38         target => "location"
39 }
40 
41 output {
42 
43     elasticsearch {
44 
45         hosts => ["192.168.135.129:9200"]
46       
47         index => "logstash-test-%{type}-%{host}"
48         
49     }
50 
51 
52 }
View Code

 运行

运行时采用的配置文件:input { stdin { } } output { stdout {} }

技术分享图片

 ===========================================================分割线==========================================================================

用tar包的方式安装并进行总结

一、依赖jdk8,下载安装不多述

二、分别下载elasticsearch,logstash,kibana的相关tar包,直接复制地址wget 方式下载直接方便,没有wget命令则需要先yum -y install wget,比如(地址在网络资源的tar包上右键复制的链接)

  wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.1.tar.gz

  wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.1-linux-x86_64.tar.gz

  wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.1.tar.gz

三、先安装elasticsearch,直接解压tar即可,其他两个一样,解压即可用,非常简单。

  解压命令 tar -zxvf tar包名字

  修改配置文件端口号和address

  直接在解压包bin下root运行会报错,然后根据网上创建test的用户组,及test的用户,然后授权,在运行,又是各种报错,大概是内存不行什么的,参考网上的进行排错,

https://blog.csdn.net/liangzhao_jay/article/details/56840941

https://blog.csdn.net/seasion_pu/article/details/82262651

https://blog.csdn.net/feng12345zi/article/details/80367907

最终配置如下:

 vi  /etc/security/limits.conf

技术分享图片

/etc/sysctl.conf

技术分享图片

然后执行sysctl -p

在用户下重启elasticsearch

最后运行成功

技术分享图片

打开另一个终端验证

技术分享图片

 关闭防火墙,在外网验证,OK!

技术分享图片

 四、解压kibana后修改完配置的端口,address和elasticsearch地址后

直接运行 /bin/kibana即可

技术分享图片

技术分享图片

五、解压logstash

在bin目录下创建一个conf文件

示例的文件如下:

技术分享图片

 启动:./logstash -f logstash.conf后

技术分享图片

 

以上是关于elasticsearch kibana logstash(ELK)的安装集成应用的主要内容,如果未能解决你的问题,请参考以下文章

Kafka原理和实践:从Log Agent→Kafka→ElasticSearch→Kibana

(转)How to Use Elasticsearch, Logstash, and Kibana to Manage MySQL Logs

kibana配置elasticsearchurl选项 怎么才能配置灵活

ELK系列 - Elasticsearch + Logstash + Kibana + Log4j2快速入门与搭建用例

Docker安装部署ELK教程 (Elasticsearch+Kibana+Logstash+Filebeat)

EFK(elasticsearch + fluentd + kibana)日志系统-续2