ELK日志分析安装

ELK日志分析安装 1：配置ELK 日志分析系统

     如图所示:配置和安装ELK日志分析系统，安裴集群方式，2个elasticsearch节点分配4GB(>2GB）内存，并监控apache 《1GB内存>服务器日志。

    创建多台Elasticsearch节点的目的是存放数据的多个副本，在实际生产环境中，节点的数量可能更多，另外本案例中，Elasticsearch和 kibana集中部署在 elk-node1节点上，也可以采用分布式部署，即 Logstash、Elasticsearch和 Kibana分别部署在不同的服务器上。

  （1）：在2个ELK 节点上配置名称解析，通过本地/etc/hosts  文件实现

ELK-node1  上的配置

《1》：hostname elk-node1  修改名称

《2》：bash

《3》：vim /etc/hosts    编辑文件

《4》： 写入：

  192.168.100.10   elk-node1

  192.168.100.20   elk-node2

《5》：bash

ELK-node2  上的配置

《1》：hostname elk-node2    修改名称

《2》：bash

《3》：vim /etc/hosts    编辑文件

《4》： 写入：

192.168.100.10   elk-node1

192.168.100.20   elk-node2

《5》：bash

需要Java 环境（系统自带）

（2）：安装elasticsearch 软件

 在两台节点上安装

《1》：rz  上传软件包

《2》：rpm -ivh elasticsearch-5.5.0.rpm 安装

《3》：systemctl daemon-reload 

 《4》：systemctl enable elasticsearch.service  开机自启动‘

《5》：vim /etc/elasticsearch/elasticsearch.xml   编辑文件（两个节点配置差不多，elk-node2 不用添加最后两行））

《6》：mkdir -p /data/elk_data  创建

《7》：chown elasticsearch:elasticsearch /data/elk_data/  改用户组

《8》：systemctl start elasticsearch.service  启动

《9》：netstat -lnpt |grep 9200 查看端口

《10》：systemctl stop firewalld  关闭防火墙

《11》：访问

《12》：访问 http://192.168.100.10:9200/cluster/health?pretty  查看的状态，可以看到status为green 绿色

（3）：安装elasticsearch-head 插件(只在一个节点做）

《1》：rz  上传：node-v8..2.1-linux-x64.tar.gz 和elasticsearch-head.tar.gz

《2》：tar xf node-v8.2.1-linux.tar.gz -C /usr/local/  解压

《3》：ln -s /usr/local/node-v8.2.1-linux-x64/bin/node /usr/bin/node

《4》：ln -s /usr/local/node-v8.2.1-linux-x64/bin/npm  /usr/local/bin

《5》：node -v  查看版本

《6》：npm -v 查看版本

《7》： tar xf elasticsearch-head.tar.gz -C /data/elk_data/

《8》：cd /data/elk-data/  切换目录

《9》：ls  查看

《10》：chown -R elasticsearch:elasticsearch elasticsearch-head/   修改组

 《11》：cd elastcsearch-head/  切换目录

《12》：nmp  install 执行  //不需要网络

《13》：cd _site/   切换目录

《14》：pwd  查看当前路径

《15》：cp app.js app.js.bak  复制

《16》：vim app.js  编辑文件

《17》：在4329  行修改IP地址

《18》：npm run start &  放在后台启动

《19》：systemctl start elasticsearch.service   重启服务

《20》：netstat -lnpt |grep 9100 查看端口

《21》：访问

《22》：  curl -XPUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'Content-Type:application/json' -d '{"user":"zhangsan","mesg":"hello world"}'   

      插入

刷新

（4）：安装logstash

      Logstash一般部署在需要监控其日志的殷务器中的,本案例中,Logstash部署在Apache限务器上,用于搜集Apache服劳器的日志信息并发送到Elasticsearch中,在正式部署之前，先再Node1上部署Logstash,以熟悉Logstash的使用方法。Logstash 也需赛Java环境,所以按照之前也餮检查当前机器的Java环境是否存在。她

《1》：在elk-node1 上安装

rz  上传 logstash-5.5.1.rpm

2》：rpm -ivh logstash-5.5.1.rpm  安装

《3》：systemctl  start logstash  启动

《4》：ln -s /usr/share/logstash/bin/logstash /usr/local/bin  创建链接

《5》：logstash 基本使用

     Logstash使用管道方式进行日志的搜集处理和输出·有点类似linux.系统的管道命令xoox | eccl dad，xox执行完了会执行eec，然后执行ddd

   在oesash中，包括了三个翰段:

  输入 input -->处理fiter《不是必须的》 ->输出output

每个阶段都由很多的插件配合工作，比如 fllebeat·glasticseanch、rodis.等等。每个翰段也可以指定多种方式,比如输出既可以输出到gasticsearch中,也可以指定到stdout,在控制台打印。由于这种捂件式的组织方式，使得 Logstash_变得易于扩展和定制。

       《6》：logstash 命令行中常用的选项

-f：通过这个命令可以指定 Logstash的配器文件，根据配嚣文件配置 !ogstashe-e:后面跟着字符串,该字符串可以被当象.log球ash,的配置《如果是"~则默认使用stdin作为输入，stdout.作为谣出》v-t：测试配簋文件是否正确，然后退出

 启动一个 logstash e:在命令行执行:input 5编入,stdin标准输入,是一个指件。output 谣出，stdout :标准输出

《6》：logstash -e 'input { stdin{} } output { stdout{} }'

  使用rubydebug显示详细输出，codec为一直编xxx

《7》：logstash -e 'input{ stdin{} } output { stdout{ codec =>rubydebug} }'

  使用logstash将信息写入到elasticsearch中

《8》：logstash -e 'input { stdin{} } output { elasticsearch { hosts=> ["192.168.100.30:9200"]} }'

《9》：访问

《10》：logstash 配置文件使用

logstash.配置文件基本上由三部分组成，input、output以及用户需要才添加的filter，因此标准的配置文件格式如下:

input {……}

filter {……}

output{……}

在每个部分中,也可以指定多个访问方式,例如我想要指定两个日志来源文件，则可以这样写：

input {

file {path =>""/var/log/messages" type =>"syslog"}

file {path =>""/var/log/apache/access.log" type =>"apache""}

下面是一个收集系统日志的配置文件例子,将其放到/etc/logstash/conf.d/目录中, logstash,启动的时候便会加裁。注意要给logstash_读取日志文件的权限。

《9》：案例：配置收集系统日志

将system.conf 放到/etc/logstash/conf.d/目录中，logstash 启动的时候便会加载

《1》：cd /etc/logstash/conf.d/  切换目录

《2》：vim system.conf  编辑文件

《3》：写入

input {

    file {

path => "/var/log/messages"

type => "system"

start_position => "beginning"

    }

}

output {

elasticsearch {

    hosts => ["192.168.100.30:9200"]

    index => "system-%{+YYYY.MM.dd}"

    }

}

《4》：systemctl restart logstash  重启服务

《5》：logstash -f /etc/logstash/conf.d/system.conf  启动

《6》：访问

《7》：点击数据浏览--查看system 的数据

（5）：安装kibana

《1》：rz   上传

《2》：rpm -ivh kibana-5.5.1-x86_64.rpm   安装

《3》：systemctl enable kibana.service

《4》：vim /etc/kibana/kibana.yml  编辑

2 server.port: 5601            //工作端口

7 server.host: "0.0.0.0"        //监听地址

21 elasticsearch.url: http://192.168.100.30:9200        //绑定elasticsearch的地址因为帮助它来做数据的展示

30 kibana.index: ".kibana"            //索引名称

《5》：systemctl start kibana.service  启动

《6》：netstat -lnpt|grep 5601  查看端口

《7》：访问

http://192.168.100.30:5601

注意上面有一个报错，需要创建一个默认分区