ELK搭建

1.Elasticsearch搭建

环境准备
需要java环境,也就是需要安装jdk,参考链接:https://www.jianshu.com/p/10949f44ce9c

yum -y list java*                                 # 列出所有java版本            
yum install -y java-1.8.0-openjdk-devel.x86_64    # 我选择安装的版本,默认安装的jdk在/usr/lib/jvm下
java -version                                     # 安装完后即可查看版本信息


由于Elasticsearch要求不能使用超级用户root运行,所以接下来的下载、解压、启动,以及data和logs目录的建立,都应使用非root用户。

下载
当前我下载的是elasticsearch-7.6.2-linux-x86_64.tar.gz,es各个版本下载地址:https://www.elastic.co/cn/downloads/past-releases#elasticsearch

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.6.2-linux-x86_64.tar.gz

解压(解压后无需安装,修改配置即可运行)

tar -zxvf elasticsearch-7.6.2-linux-x86_64.tar.gz && cd elasticsearch-7.6.2

配置修改
1.创建普通账号下的2个目录/data/es_store/data和/data/es_store/logs,用于保存ES的数据和运行日志
2.修改config目录下的elasticsearch.yml

node.name: node-1    			 # ES在该机器上的名称
path.data: /data/es_store/data           # ES保存数据的目录
path.logs: /data/es_store/logs           # ES保存运行日志的目录
network.host: 0.0.0.0                    # 设置ip地址为0.0.0.0之后,ES才可以对外提供服务
cluster.initial_master_nodes: ["node-1"] # ES要加入的集群列表(此时单点)

启动

./bin/elasticsearch -d                   # -d表示后台运行

切记不能用root用户运行,否则报错如下图(前面几步操作也确认由非root用户操作,如果出错,可选择非root用户重新操作一次)

启动后可能出现以下问题

max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
# 执行以下命令解决然后再次启动
sudo sysctl -w vm.max_map_count=262144

测试

curl http://ip:9200/?pretty

es搭建时可能遇到的常见问题
https://segmentfault.com/a/1190000011899522

2.Filebeat搭建

下载
当前下载的是filebeat-7.6.2-linux-x86_64.tar.gz,下载链接:https://www.elastic.co/cn/downloads/beats/filebeat

解压

tar -zxvf filebeat-7.6.2-linux-x86_64.tar.gz && cd filebeat-7.6.2-linux-x86_64

配置修改
修改当前目录下的filebeat.yml

filebeat.inputs:
- input_type: log
  enabled: true
  close_inactive: 30s
  paths:
    - /data/logs/websocket/*.log          # 要采集的日志文件

output.elasticsearch:
  hosts: ["http://10.193.161.32:9200"]    # 日志采集后流入的ES服务的集群列表(此时单点)
  index: "ime-log-%{+yyyyMMdd}"

启动

nohup ./filebeat -e -c filebeat.yml -d publish > filebeat.log &

-e 日志输出到stderr并禁用syslog/file输出
-c 指定配置文件
-d 启用对指定选择器的调试,publish可以看到完整的event信息

测试
查看日志filebeat.log

filebeat是如何保持文件状态的?

registry目录下的filebeat/data.json文件保存了每个文件的状态(harvester读取的最后一个偏移量)

参考:
1.filebeat
2.filebeat模块与配置

3.Kibana搭建

下载
当前下载的是kibana-7.6.2-linux-x86_64.tar.gz,下载链接:https://www.elastic.co/cn/downloads/kibana

解压

tar -zxvf kibana-7.6.2-linux-x86_64.tar.gz && cd kibana-7.6.2-linux-x86_64

修改配置
在config目录下修改kibana.yml

server.port: 5601
server.host: "0.0.0.0"                              # 所有ip都能访问kabana服务,如果用localhost只能本机访问
elasticsearch.hosts: "http://localhost:9200"        # kibana服务所连接的ES服务
logging.dest: /data/es_store/logs/kibana.log        # 输出的日志

启动
在bin目录下执行:

nohup ./kibana &

注意,kibana启动后是无法用ps -ef | grep kibana找到进程的,主要原因大概是kibana是用node写的,所以kibana运行的时候是在node里面。

netstat -tunlp | grep 5601    # 通过端口号查找到进程id,123881即进程id
tcp        0      0 127.0.0.1:5601          0.0.0.0:*               LISTEN      123881/./../node/bi

参考:
kibana测试和使用

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/sincere-ye/p/13574564.html