ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)

最新推荐文章于 2025-10-21 12:02:07 发布
原创 最新推荐文章于 2025-10-21 12:02:07 发布 · 5.3k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #kibana #logstash #xpack #日志分析

本文详细介绍了如何搭建和配置Elasticsearch集群,包括Elasticsearch的安装、节点角色优化以及跨域设置。接着讲解了logstash的数据采集功能,如file输入插件、elasticsearch输出插件和syslog输入插件的使用。最后,文章涵盖了kibana的安装、自定义图表创建,并启用xpack安全验证,确保日志分析平台的安全性。

文章目录

1.Elasticsearch

官网:https://www.elastic.co/cn/

1.1 Elasticsearch介绍

Elasticsearch 是一个开源的分布式搜索分析引擎,建立在一个全文搜索引擎库 Apache Lucene基础之上。
Elasticsearch 不仅仅是Lucene,并且也不仅仅只是一个全文搜索引擎:
一个分布式的实时文档存储,每个字段可以被索引与搜索
一个分布式实时分析搜索引擎
能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据
基础模块:

cluster:管理集群状态,维护集群层面的配置信息。
alloction:封装了分片分配相关的功能和策略。
discovery:发现集群中的节点,以及选举主节点。
gateway:对收到master广播下来的集群状态数据的持久化存储。
indices:管理全局级的索引设置。
http:允许通过JSON over
HTTP的方式访问ES的API。
transport:用于集群内节点之间的内部通信。

engine:封装了对Lucene的操作及translog的调用。

elasticsearch应用场景:
• 信息检索
• 日志分析
• 业务数据分析
• 数据库加速
• 运维指标监控

1.2 Elasticsearch的安装与配置

可参考官网:https://www.elastic.co/guide/en/elasticsearch/reference/7.6/index.html
实验环境:给2G内存
server1:172.25.0.1
server2:172.25.0.2
server3:172.25.0.3

1.安装软件并修改配置文件

yum install -y elasticsearch-7.6.1.rpm 安装软件
vim /etc/elasticsearch/elasticsearch.yml修改配置文件

cluster.name: my-es                   #集群名称
node.name: server7                   #主机名需要解析
path.data: /var/lib/elasticsearch #数据目录
path.logs: /var/log/elasticsearch #日志目录
bootstrap.memory_lock: true     #锁定内存分配
network.host: 172.25.0.1            #主机ip
http.port: 9200                   #http服务端口
discovery.seed_hosts: ["server1"]
cluster.initial_master_nodes: ["server1"]

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.修改系统限制

vim /etc/security/limits.conf

elasticsearch    soft    memlock         unlimited
elasticsearch    hard    memlock         unlimited
elasticsearch    -       nofile          65536 ##要将elasticsearch用户的最大打开文件数设置为65535
elasticsearch    -       nproc           4096 ## 确保Elasticsearch用户可以创建的线程数至少为4096

在这里插入图片描述
vim /etc/elasticsearch/jvm.options

-Xms1g ###Xmx设置不超过物理RAM的50%,以确保有足够的物理RAM留给内核文件系统缓存。但不要超过32G。
-Xmx1g

在这里插入图片描述
swapoff -a禁用swap
vim /etc/fstab

#UUID=2a714265-f92d-4429-87da-9f09e32e6ff2 swap                    swap    defaults        0 0 ##避免开机自启

在这里插入图片描述
也可以:
echo 0 >/proc/sys/vm/swappiness
在这里插入图片描述

3.修改systemd启动文件

vim /usr/lib/systemd/system/elasticsearch.service

[Service]
LimitMEMLOCK=infinity

在这里插入图片描述
systemctl daemon-reload
systemctl start elasticsearch
在这里插入图片描述

4.elasticsearch插件安装

unzip elasticsearch-head-master.zip
在这里插入图片描述
在这里插入图片描述
yum install -y nodejs-9.11.2-1nodesource.x86_64.rpmhead插件本质上是一个nodejs的工程,因此需要安装node
在这里插入图片描述
在这里插入图片描述

5.更换npm的yum源(要求虚拟机可上网)

tar jxf phantomjs-2.1.1-linux-x86_64.tar.bz2
cp phantomjs-2.1.1-linux-x86_64//bin/phantomjs /usr/local/bin
yum install -y fontconfig-2.13.0-4.3.el7.x86_64解决依赖性
cd elasticsearch-head-master必须在这个目录中
npm install --registry=https://registry.npm.taobao.org更换npm的yum源
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6.修改es主机ip和端口

vim /root/elasticsearch-head-master/_site/app.js

"http://172.25.0.1:9200";

在这里插入图片描述

7.启动head插件

cd /root/elasticsearch-head-master
npm run start &在目录中后台启动head插件
在这里插入图片描述
在这里插入图片描述

8.修改ES跨域主持

vim /etc/elasticsearch/elasticsearch.yml修改ES跨域主持

http.cors.enabled: true # 是否支持跨域
http.cors.allow-origin: "*"    # *表示支持所有域名

systemctl restart elasticsearch.service重启ES服务
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

9.创建索引

在这里插入图片描述
在这里插入图片描述

1.3 配置Elasticsearch集群

将server2与server3加入集群
vim /etc/elasticsearch/elasticsearch.yml修改配置文件**

cluster.name: my-es
node.name: server2 ##server3写server3
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true
network.host: 172.25.0.2 ##server3的IP写172.25.0.
最低0.47元/天 解锁文章
Aimee_c
关注
Logstash——Logstash将数据推送至Elasticsearch
大风的博客
05-25 1万+
elasticsearch介绍 在使用云日志管理的时候,logstash的数据最终需要elasticsearch来进行存储和分析。所以logstash提供大量参数来支持和满足相关业务场景。 可配置参数 字段 参数类型 说明 action string 要执行的Elasticsearch动作 api_key password 使用Elasticsearch API密钥进行身份验证,需要启动SSL bulk_path string 执行_bulk请求的HTTP路径 cacert a
手把手教你如何快速搭建 ELK 实时日志分析平台
代码界的扛把子
05-22 312
进入首页后会提示我们可以添加一些测试数据,ES 在 Kibana 开箱即用的版本中,已经为我们准备了三种样例数据,电商网站的订单,航空公司的飞行记录以及 WEB 网站的日志,我们可以点击 Add data,把他们添加进来,添加完成后,我们可以打开 Dashboards 界面,就可以看到系统已经为我们创建了数据的 Dashboard。到此为止,我们就下载并安装完成 Kibana,并对 Kibana 主要功能进行简单介绍,还介绍了 Dev Tools,大家可以自己在本地进行实践操作下。
Linux 日志分析:用 ELK 搭建个人运维监控平台
摘星编程的博客
09-14 2719
搭建ELK运维监控平台全指南 本文详细介绍了如何从零开始搭建基于ELK Stack(Elasticsearch+Logstash+Kibana)的个人运维监控平台。主要内容包括: ELK架构解析:三大核心组件构成日志处理全链路 环境配置:系统要求、Java环境准备及性能优化 组件部署:Elasticsearch集群配置Logstash数据处理管道搭建 可视化实现:Kibana仪表板设计及告警规则配置 日志收集:Filebeat配置实现自动化日志采集 最佳实践:索引生命周期管理、集群健康检查等运维技巧 通过
ELK日志分析系统+部署ELK
最新发布
yanpeng2580的博客
10-21 791
本文将介绍如何在Linux环境下部署ELKElasticsearch, Logstash, Kibana日志分析系统。首先,安装必要的软件包,然后配置LogstashKibana以处理日志数据。最后,通过Elasticsearch进行数据分析和展示。整个过程简单易行,适合初学者快速上手。
如何搭建 ELKelasticsearch+logstash+kibana日志分析系统
ShockChen7的博客
11-04 9441
ELKELK平台是一套完整的日志集中处理解决方案,将Logstash和Kiabana三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。Logstash:用于收集并处理日志,将日志信息存储到里面:用于存储收集到的日志信息Kibana:通过Web端的可视化界面来查看日志数据可视化ELK 的工作原理在所有需要收集日志的服务器上部署Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署LogstashLogstash收集日志,将日志格式化并输出到中。
Elasticsearch+Logstash+Kibana教程
xingoo
08-05 386
参考资料 累了就听会歌吧! Elasticsearch中文参考文档 Elasticsearch官方文档 Elasticsearch 其他——那些年遇到的坑 Elasticsearch 管理文档 Elasticsearch集群配置以及REST API使用 Elasticsearch集群管理 Elasticsearch 数据搜索篇·【入门级干货】 Elasticsea...
ELKElasticsearch+Logstash+Kibana日志分析系统
热门推荐
十七拾的博客
04-11 1万+
本文主要介绍了ELK日志文件系统的概念和部署过程,详细阐释了ElasticsearchLogstashKibana三个开源的日志收集、存储、检索和可视化的工具
ELKElasticsearch+Logstash+Kibana
Java_soul_GJH的博客
08-19 1493
摘要:本文详细介绍了ElasticsearchLogstashKibana三大核心组件的功能特性与部署流程。主要内容包括:1)CentOS 7环境下的安装配置步骤;2)关键参数优化与性能调优方案;3)Kibana数据可视化操作指南;4)安全加固措施与常见问题排查方法。特别提供了生产环境中的典型应用场景,如Web服务器监控、安全审计等,并附有索引生命周期管理、JVM调优等进阶配置示例。全文通过代码片段、配置示例和架构图,系统性地展示了ELK技术栈从部署到优化的完整解决方案。
容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana
非著名运维的博客
12-29 3677
容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana
ELK(Filebeat+Logstash+Elasticsearch+Kibana)日志收集系统
weixin_44130953的博客
01-01 1554
本次ELF日志收集系统,使用Filebeat收集所需要的日志推送给LogstashLogstash配置过滤信息再将信息发送给Elasticsearch再由Kibana呈现。
ELK分析系统的搭建
weixin_55609833的博客
07-19 1465
ELK企业级日志分析系统一、ELK概述1.ELK简介2.为什么要使用ELK3.完整日志系统基本特征4.ELK的工作原理:ELK部署ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)1.环境准备2.部署 Elasticsearch 软件(1)安装elasticsearch—rpm包(2)加载系统服务(3)修改elasticsearch配置文件(4)创建数据存放路径并授权(5)启动elasticsearch是否成功开启(6)查看节点信息安装 Elasticsearch-head
elasticsearch+logstash+kibana
10-29
es:elasticsearch 对数据进行存储,分类,搜索 logstash: 日志收集,filter(过滤),日志输出到(reids,kafka,es)kibana:日志展示(查询es中保存的数据)
ELK日志分析系统
weixin_49780168的博客
01-07 705
目录一、 ELK日志分析系统简介日志服务器ELK日志分析系统日志处理步骤二、Elasticsearch介绍Elasticsearch的概述Elasticsearch核心概念四、Kibana介绍Kibana介绍Kibana主要功能五、部署ELK日志分析系统案例拓扑图需求描述设备列表准备安装环境具体部署过程配置node1、node2配置logstash-apache 一、 ELK日志分析系统简介 日志服务器 提高安全性 集中存放日志 缺陷 对日志分析困难 ELK日志分析系统 Elasticsearch
为你讲解ELK的组成与部署
想成功,靠自己
05-11 1437
为你讲解ELK的组成与部署一、ELK日志分析系统1、ELK的三大组成2、ELK日志处理步骤二、Elasticsearch的核心1、接近实时(NRT)2、集群(cluster)3、节点(node)4、索引(index)5、类型(type)6、文档(document)7、分片和副本(shards & replicas)8、相关概念在关系型数据库和ElasticSearch中的对应关系三、Logstash1、Logstash简介2、Logstash主机分类四、Kibana 一、ELK日志分析系统 1、EL
ELK日志分析
Guiled7的博客
03-01 1834
ELK日志分析 一、ELK 简介 ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。 ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。 Elasticsea
1. ELK日志分析
u010198709的博客
06-19 3602
部署在业务服务器的客户端agent, 用于让ELK联系beat采用日志。简称es, 分布式搜索引擎,负责日志数据的存储、搜索功能。例如创建索引、添加节点、删除节点。4、packetbeat, 适用于网络设备的日志。2、filebeat, 适用于搜集应用级别日志。3、winbeat, 适用于windows日志。建议实际部署时,使用高内存、高硬盘的服务器。1、topbeat, 适用于搜集系统日志。查看logstash自带的过滤日志的方法。负责数据预处理(解密、压缩、格式转换)日志过滤器,做日志过滤功能。
ELK 日志分析
路人甲的博客
11-22 4784
文章目录一、为什么用到 ELK二、ELK 简介三、实验部署3.1 准备工作3.2 下载并安装软件包3.3 安装 JDK(java)环境工具3.4 配置 elasticsearch3.4.1 新建 elasticsearch 用户并启动3.4.2 查看进程是否启动成功3.4.3 若出现错误可以查看日志3.4.4 测试是否可以正常访问3.5 配置 logstash3.5.1 logstash 中 grok 的正则匹配3.5.2 创建 logstash 配置文件3.5.3 启动3.6 配置 kibana3.6.1
ELK日志平台
DreamLifes的博客
04-10 540
ELK 日志平台搭建 1 ELK概念 ELK不是指单独的某一款软件。是由:ElasticSearchLogstashKibana组成的。主要用户日志的收集,审计,过滤等。 ElasticSearch 是基于JAVA语言开发的。可以实现对数据内容进行校验。检索日志内容。可以创建索引。分布式。等等。 Logstash 是客户端工具,是基于JAVA语言编写的。主要是用于采集客户端机器上各种日志数据(系统日志,内核日志,安全日志,应用日志等)还可以对日志关键次,字段进行管理。最终将日志统一存储至ES服务器 Ki
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值