ELK介绍

ELK是ElasticSerach、Logstash、Kibana三款产品名称的首字母集合，用于日志的搜集和搜索。

Elasticsearch：是一个开源分布式搜索引擎，提供搜集、分析、存储三大功能，特点是分布式、零配置、自动发现、索引自动分片、索引副本机制，restful风格接口，多数据源，自动搜索负载等。

Logstash：主要用来日志收集、分析、过滤日志的工具，支持大量数据获取方式。一般工作方式为C\S架构，Client端安装在需要收集日志的主机上，server端负责将收集到的各个节点日志进行过滤、修改等操作，然后一并发给elasticsearch。

Kibana：可以作为Logstash和elasticsearch提供的日志分析友好的UI界面，可以帮助汇总、分析和搜索重要数据日志。

Filebeat：轻量级数据收集引擎，ELK Stack 在 Agent 的第一选择。

1.系统配置

• 设置hostname，打开文件/etc/hostname，将内容改为elk-server

• 关闭防火墙（如果因为其他原因不能关闭防火墙，也请不要禁止80端口）

systemctl stop firewalld.service

• 禁止防火墙自动启动

systemctl disable firewalld.service

• 打开文件vim /etc/security/limits.conf，添加下面四行内容：

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

• 打开文件vim /etc/sysctl.conf，添加下面一行内容：

vm.max_map_count=655360

• 加载sysctl配置，执行命令：sysctl -p

2.部署ELK

• 配置jdk环境

1.检查一下系统中的jdk版本

java -version

2.检测jdk安装包

# rpm -qa | grep java

3.如果有卸载

比如： rpm -e --nodeps tzdata-java-2018c-1.el7.noarch

4.将jdk包拷贝到/usr/java下

mv jdk-8u161-linux-x64.tar.gz /usr/java

cd /usr/java

tar -xzvf jdk-8u161-linux-x64.tar.gz

cd jdk1.8.0_161/

5.设置环境变量

vim /etc/profile

在最前面添加：

export JAVA_HOME=/usr/java/jdk1.8.0_161

export CLASSPATH=$JAVA_HOME/lib/

export PATH=$PATH:$JAVA_HOME/bin

export PATH JAVA_HOME CLASSPATH

使环境变量生效

source /etc/profile

• 部署Elasticsearch

单机版

1.创建目录

mkdir /usr/local/elk

2.将ElasticSerach、Logstash、Kibana安装包拷贝到此目录并解压

3.创建用户组

groupadd elk

4.创建用户加入用户组

useradd elk -g elk

5.创建日志文件

touch touch /usr/local/elk/elasticsearch-6.7.2/logs/elasticsearch.log

6.单独创建数据存放路径

mkdir /mnt/esdata

修改主配置文件中数据存放位置（若安装完成后需要修改，可以将elasticsearch-6.7.2/data/目录下所有文件复制到新创建的文件下）cp -Rp

7.设置ElasticSerach文件夹为用户elk所有：

chown -R elk. /usr/local/elk/elasticsearch-6.7.2/

若修改了数据存放路径，则创建的文件夹也需要修改

chown -R elk. /mnt/esdata/

8.执行启动命令

su - elk -c "/usr/local/elk/elasticsearch-6.7.2/bin/elasticsearch -d"

9.查看日志是否有报错

tail -f /usr/local/elk/elasticsearch-6.7.2/logs/elasticsearch.log

至此单机版es安装完成。可用curl 127.0.0.1:9200 查看返回值

集群版

1.创建目录

mkdir /usr/local/elk

2.将ElasticSerach、Logstash、Kibana安装包拷贝到此目录并解压

3.创建用户组

groupadd elk

4.创建用户加入用户组

useradd elk -g elk

5.创建日志文件

touch touch /usr/local/elk/elasticsearch-6.7.2/logs/elasticsearch.log

6.单独创建数据存放路径

mkdir /mnt/esdata

修改主配置文件中数据存放位置（若安装完成后需要修改，可以将elasticsearch-6.7.2/data/目录下所有文件复制到新创建的文件下）cp -Rp

7.设置ElasticSerach文件夹为用户elk所有：

chown -R elk. /usr/local/elk/elasticsearch-6.7.2/

若修改了数据存放路径，则创建的文件夹也需要修改

chown -R elk. /mnt/esdata/

8.修改es主配置文件

vim /usr/local/elk/elasticsearch-6.7.2/config/elasticsearch.yml

加入如下内容

cluster.name: elk  ###保证三台服务器节点集群名称相同

node.name: node-1 #### 每个节点名称不一样 其他两台为node-1 ,node-2

network.host: 0.0.0.0 #### 实际服务器ip地址

discovery.zen.ping.unicast.hosts: ["172.16.3.158", "172.16.3.157"]

discovery.zen.minimum_master_nodes: 1

9.执行启动命令

su - elk -c "/usr/local/elk/elasticsearch-6.7.2/bin/elasticsearch -d"

10.查看日志是否有报错

tail -f /usr/local/elk/elasticsearch-6.7.2/logs/elasticsearch.log

可用curl 127.0.0.1:9200 查看返回值

查看集群状态（另外一台重复上述操作）

curl -u USER:PASS http://127.0.0.1:9200/_cat/nodes?v

11.修改内存大小 ，一般为服务器内存大小一半

vim /usr/local/elk/elasticsearch-6.7.2/config/jvm.options 

后面安装Kibana后可以查看到

• 部署Logstash

1.退出当前用户，回到root用户

在目录/usr/local/elk/logstash-6.7.2下创建文件vim default.conf，内容如下：

# 监听5044端口作为输入

input {

    beats {

        port => "5044"

        }

}

# 数据过滤

filter {

    grok {

        match => { "message" => "%{COMBINEDAPACHELOG}" }

        }

    geoip {

source => "clientip"

        }

}

# 输出配置为本机的9200端口，这是ElasticSerach服务的监听端口

output {

    elasticsearch {

        hosts => ["127.0.0.1:9200"]

    }

}

后台启动Logstash服务

nohup bin/logstash -f default.conf --config.reload.automatic &

查看启动日志

tail -f logs/logstash-plain.log

•部署Kibana

1.打开Kibana的配置文件vim /usr/local/elk/kibana-6.7.2-linux-x86_64/config/kibana.yml，到第七行左右修改server.host

2.运行Kibana

进入Kibana的目录：/usr/local/elk/kibana-6.7.2-linux-x86_64 ;执行启动命令：nohup bin/kibana &

nohup /usr/local/elk/kibana-6.7.2-linux-x86_64/bin/kibana &

查看启动日志

tail -f /usr/local/elk/kibana-6.7.2-linux-x86_64/nohup.out 

在浏览器访问http://ip:5601，看到如下页面

•部署Filebeat

1.安装nginx

rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

yum install -y nginx

systemctl enable nginx

systemctl start nginx

2.安装FileBeat

vim /usr/local/elk/filebeat-6.7.2-linux-x86_64/filebeat.yml

24 　　 enabled: true

28　　　　 - /var/log/nginx/*.log

148　　　 #output.elasticsearch:

150 # hosts: ["localhost:9200"]

161 output.logstash:

163 hosts: ["10.0.0.175:5044"]

3.启动FileBeat

nohup ./filebeat -e -c filebeat.yml &>/dev/null &

4.验证

3.kibana平台增加安全认证

kibana是nodejs开发的，本身并没有任何安全限制，直接浏览url就能访问，如果公网环境非常不安全，可以通过nginx请求转发增加认证

1.安装nginx并修改配置文件：

yum install nginx

systemctl enable nginx

vim /etc/nginx.conf

user root;

worker_processes  4;

events {

worker_connections  1024;

}

http {

include      mime.types;

default_type application/octet-stream;

sendfile        on;

keepalive_timeout  65;

server {

listen      80;

server_name  127.0.0.1;

auth_basic "Kibana Auth";

auth_basic_user_file /etc/nginx/.htpasswd;

location / {

proxy_pass http://127.0.0.1:5601;

proxy_redirect off;

}

}

}

2.安装生成密码工具

yum install httpd-tools

生成密码，用户名为admin

htpasswd -c /usr/local/nginx/.htpasswd admin

提示输入2遍密码

New password:

Re-type new password:

Adding password for user admin

3.启动nginx

systemctl start nginx

4.验证

4.汉化kibana

1.安装git

yum install -y git

2.下载汉化包

git clone https://github.com/anbai-inc/Kibana_Hanization.git

3.进行汉化

修改kibana配置文件vim /usr/local/elk/kibana-6.7.2-linux-x86_64/config/kibana.yml中的配置项：i18n.locale: "zh-CN" 并重启kibana