刚开始尝试独立安装ELK的每个软件, 发现下载很慢,配置起来挺痛苦, 安装问题多多, 故采用Docker镜像安装法, 省事省心。
1. Docker安装
#添加docker镜像资源 sudo yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo #安装 sudo yum install docker-ce #开机启动docker systemctl enable docker
#修改docker的默认数据存储目录,防止系统盘被撑爆. 此处我的数据盘挂在在 /data/ 目录下
mv /var/lib/docker /data/
#创建软链接
ln -s /data/docker var/lib/docker
#启动docker
systemctl start docker
2. 安装ELK
#查找可用的elk镜像 docker search elk #拉取elk镜像(这里我选择sebp/elk镜像) docker pull sebp/elk #安装并启动elk docker run -it -d -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk #查看docker运行的镜像 docker ps
3. 安装Filebeat(此处不采用docker安装,我使用docker安装的filebeat无法采集日志到es)
#下载rpm安装包 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.0.0-x86_64.rpm #安装 rpm -ivh filebeat-7.0.0-x86_64.rpm
4. 配置Filebeat (vim /etc/filebeat/filebeat.yml)(红色字体表示是对默认配置的修改)
#=========================== Filebeat inputs ============================= filebeat.inputs: - type: log enabled: true paths: - /data/wwwlogs/*.log #============================= Filebeat modules =============================== filebeat.config.modules: path: ${path.config}/modules.d/*.yml reload.enabled: false
#==================== Elasticsearch template setting ==========================
setup.ilm.enabled: false
setup.template.name: "log.test.com"
setup.template.pattern: "log.test.com-*"
#============================== Kibana ===================================== setup.kibana:
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["localhost:9200"]
#索引命名
index: "log.test.com-%{+yyyy.MM.dd}"
#================================ Processors ===================================== processors: - add_host_metadata: ~ - add_cloud_metadata: ~
5. 启动filebeat
#设置开机启动 echo "/etc/init.d/filebeat start" >> /etc/rc.d/rc.local #启动filebeat /etc/init.d/filebeat start
6. 测试kibana查看日志
完毕~~