ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)

最新推荐文章于 2025-04-07 09:47:18 发布
最新推荐文章于 2025-04-07 09:47:18 发布
阅读量5.1k 收藏 21
点赞数 2
文章标签: elasticsearch kibana logstash xpack 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Aimee_c/article/details/106722673
版权
本文详细介绍了如何搭建和配置Elasticsearch集群,包括Elasticsearch的安装、节点角色优化以及跨域设置。接着讲解了logstash的数据采集功能,如file输入插件、elasticsearch输出插件和syslog输入插件的使用。最后,文章涵盖了kibana的安装、自定义图表创建,并启用xpack安全验证,确保日志分析平台的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1.Elasticsearch

官网:https://www.elastic.co/cn/

1.1 Elasticsearch介绍

Elasticsearch 是一个开源的分布式搜索分析引擎,建立在一个全文搜索引擎库 Apache Lucene基础之上。
Elasticsearch 不仅仅是Lucene,并且也不仅仅只是一个全文搜索引擎:
一个分布式的实时文档存储,每个字段可以被索引与搜索
一个分布式实时分析搜索引擎
能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据
基础模块:

cluster:管理集群状态,维护集群层面的配置信息。
alloction:封装了分片分配相关的功能和策略。
discovery:发现集群中的节点,以及选举主节点。
gateway:对收到master广播下来的集群状态数据的持久化存储。
indices:管理全局级的索引设置。
http:允许通过JSON over
HTTP的方式访问ES的API。
transport:用于集群内节点之间的内部通信。

engine:封装了对Lucene的操作及translog的调用。

elasticsearch应用场景:
• 信息检索
• 日志分析
• 业务数据分析
• 数据库加速
• 运维指标监控

1.2 Elasticsearch的安装与配置

可参考官网:https://www.elastic.co/guide/en/elasticsearch/reference/7.6/index.html
实验环境:给2G内存
server1:172.25.0.1
server2:172.25.0.2
server3:172.25.0.3

1.安装软件并修改配置文件

yum install -y elasticsearch-7.6.1.rpm 安装软件
vim /etc/elasticsearch/elasticsearch.yml修改配置文件

cluster.name: my-es                   #集群名称
node.name: server7                   #主机名需要解析
path.data: /var/lib/elasticsearch #数据目录
path.logs: /var/log/elasticsearch #日志目录
bootstrap.memory_lock: true     #锁定内存分配
network.host: 172.25.0.1            #主机ip
http.port: 9200                   #http服务端口
discovery.seed_hosts: ["server1"]
cluster.initial_master_nodes: ["server1"]

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.修改系统限制

vim /etc/security/limits.conf

elasticsearch    soft    memlock         unlimited
elasticsearch    hard    memlock         unlimited
elasticsearch    -       nofile          65536 ##要将elasticsearch用户的最大打开文件数设置为65535
elasticsearch    -       nproc           4096 ## 确保Elasticsearch用户可以创建的线程数至少为4096

在这里插入图片描述
vim /etc/elasticsearch/jvm.options

-Xms1g ###Xmx设置不超过物理RAM的50%,以确保有足够的物理RAM留给内核文件系统缓存。但不要超过32G。
-Xmx1g

在这里插入图片描述
swapoff -a禁用swap
vim /etc/fstab

#UUID=2a714265-f92d-4429-87da-9f09e32e6ff2 swap                    swap    defaults        0 0 ##避免开机自启

在这里插入图片描述
也可以:
echo 0 >/proc/sys/vm/swappiness
在这里插入图片描述

3.修改systemd启动文件

vim /usr/lib/systemd/system/elasticsearch.service

[Service]
LimitMEMLOCK=infinity

在这里插入图片描述
systemctl daemon-reload
systemctl start elasticsearch
在这里插入图片描述

4.elasticsearch插件安装

unzip elasticsearch-head-master.zip
在这里插入图片描述
在这里插入图片描述
yum install -y nodejs-9.11.2-1nodesource.x86_64.rpmhead插件本质上是一个nodejs的工程,因此需要安装node
在这里插入图片描述
在这里插入图片描述

5.更换npm的yum源(要求虚拟机可上网)

tar jxf phantomjs-2.1.1-linux-x86_64.tar.bz2
cp phantomjs-2.1.1-linux-x86_64//bin/phantomjs /usr/local/bin
yum install -y fontconfig-2.13.0-4.3.el7.x86_64解决依赖性
cd elasticsearch-head-master必须在这个目录中
npm install --registry=https://registry.npm.taobao.org更换npm的yum源
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6.修改es主机ip和端口

vim /root/elasticsearch-head-master/_site/app.js

"http://172.25.0.1:9200";

在这里插入图片描述

7.启动head插件

cd /root/elasticsearch-head-master
npm run start &在目录中后台启动head插件
在这里插入图片描述
在这里插入图片描述

8.修改ES跨域主持

vim /etc/elasticsearch/elasticsearch.yml修改ES跨域主持

http.cors.enabled: true # 是否支持跨域
http.cors.allow-origin: "*"    # *表示支持所有域名

systemctl restart elasticsearch.service重启ES服务
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

9.创建索引

在这里插入图片描述
在这里插入图片描述

1.3 配置Elasticsearch集群

将server2与server3加入集群
vim /etc/elasticsearch/elasticsearch.yml修改配置文件**

cluster.name: my-es
node.name: server2 ##server3写server3
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true
network.host: 172.25.0.2 ##server3的IP写172.25.0.3
http.port: 9200
http.cors.enabl
最低0.47元/天 解锁文章
Aimee_c
关注
ELK日志分析
Drw_Dcm的博客
10-10 3511
ELK日志分析
ELK安装(Elasticsearch+Logstash+Kibana+Filebeat)
snail_youth的博客
07-26 1350
ELK其实是ElasticsearchLogstashKibana三个产品的首字母缩写,这三款都是开源产品。Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产环境变得更有价值。
Elasticsearch+Logstash+Kibana教程
xingoo
08-05 339
参考资料 累了就听会歌吧! Elasticsearch中文参考文档 Elasticsearch官方文档 Elasticsearch 其他——那些年遇到的坑 Elasticsearch 管理文档 Elasticsearch集群配置以及REST API使用 Elasticsearch集群管理 Elasticsearch 数据搜索篇·【入门级干货】 Elasticsea...
windows11下本地搭建ELK日志监控系统
最新发布
m0_52574413的博客
04-07 1054
ELKElasticSearchLogstashKibana的简称,是一个开源的日志管理和数据分析平台,广泛应用于日志分析数据可视化监控报警、性能调优等场景。功能:ElasticSearch是分布式文档搜索(分析)引擎,也是ELK堆栈的核心。它基于Apache Lucene构建,提供了强大的搜索功能,支持结构化、半结构化和非结构化数据的存储、搜索与分析。特点实时搜索:提供实时的数据检索能力,支持快速的全文搜索分布式:支持大规模数据的存储和分布式计算,具备高可扩展性。
ELK分析系统的搭建
weixin_55609833的博客
07-19 1375
ELK企业级日志分析系统一、ELK概述1.ELK简介2.为什么要使用ELK3.完整日志系统基本特征4.ELK的工作原理:ELK部署ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)1.环境准备2.部署 Elasticsearch 软件(1)安装elasticsearch—rpm包(2)加载系统服务(3)修改elasticsearch配置文件(4)创建数据存放路径并授权(5)启动elasticsearch是否成功开启(6)查看节点信息安装 Elasticsearch-head
ELKElasticsearch+Logstash+Kibana日志分析系统
十七拾的博客
04-11 9045
本文主要介绍了ELK日志文件系统的概念和部署过程,详细阐释了ElasticsearchLogstashKibana三个开源的日志收集、存储、检索和可视化的工具
ELK日志分析系统部署
zzn0109的博客
07-13 868
ELK+Filebeat
Windows ELK8 测试: filebeat8+kakfa+logstash8+elasticsearch8+kibana8 搭建日志系统(一)
qq_30540299的博客
07-31 695
4、配置elasticsearchelasticsearch-8.14.3\config\elasticsearch.yml 并启动。8、配置logstashlogstash-8.14.3\config\logstash.conf, 并启动。5、配置kibanakibana-8.14.3\config\kibana.yml, 并启动。启动:.\bin\logstash.bat -f config\logstash.conf。启动:kibana-8.14.3\bin\kibana.bat。
ELK(Filebeat+Logstash+Elasticsearch+Kibana)日志收集系统
weixin_44130953的博客
01-01 1366
本次ELF日志收集系统,使用Filebeat收集所需要的日志推送给LogstashLogstash配置过滤信息再将信息发送给Elasticsearch再由Kibana呈现。
麒麟V10 安装ELK详细步骤(elasticsearch + kibana + logstash
yilindes的博客
07-13 2843
作用:一个分布式搜索和分析引擎,可以处理大规模的结构化和非结构化数据。特点:支持全文搜索、结构化搜索和分析、实时搜索和分析、分布式计算,具有高可扩展性和高可用性。Logstash作用:数据处理管道,用于从多种来源收集数据、转换数据并将数据发送到 Elasticsearch 中。特点:灵活的数据处理能力,可以处理结构化和非结构化数据,支持多种输入和输出插件,能够进行复杂的数据转换和过滤。Kibana作用:一个开源的数据可视化和探索工具,用于在 Elasticsearch 上创建和分享动态仪表板。
ELK日志分析系统
ikun的博客
03-24 913
学习目标:ELK日志分析系统 学习内容:1. 应用/需求前景 为什么要用ELK ELK简介 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 3. ELK简介:ELK是3个开源软件的缩写,分别为Elasticsearch 、 Log
elasticsearch+logstash+kibana
10-29
es:elasticsearch 对数据进行存储,分类,搜索 logstash: 日志收集,filter(过滤),日志输出到(reids,kafka,es)kibana:日志展示(查询es中保存的数据)
1. ELK日志分析
u010198709的博客
06-19 2919
部署在业务服务器的客户端agent, 用于让ELK联系beat采用日志。简称es, 分布式搜索引擎,负责日志数据的存储、搜索功能。例如创建索引、添加节点、删除节点。4、packetbeat, 适用于网络设备的日志。2、filebeat, 适用于搜集应用级别日志。3、winbeat, 适用于windows日志。建议实际部署时,使用高内存、高硬盘的服务器。1、topbeat, 适用于搜集系统日志。查看logstash自带的过滤日志的方法。负责数据预处理(解密、压缩、格式转换)日志过滤器,做日志过滤功能。
ELK 日志分析
路人甲的博客
11-22 4715
文章目录一、为什么用到 ELK二、ELK 简介三、实验部署3.1 准备工作3.2 下载并安装软件包3.3 安装 JDK(java)环境工具3.4 配置 elasticsearch3.4.1 新建 elasticsearch 用户并启动3.4.2 查看进程是否启动成功3.4.3 若出现错误可以查看日志3.4.4 测试是否可以正常访问3.5 配置 logstash3.5.1 logstash 中 grok 的正则匹配3.5.2 创建 logstash 配置文件3.5.3 启动3.6 配置 kibana3.6.1
ELK日志平台
DreamLifes的博客
04-10 512
ELK 日志平台搭建 1 ELK概念 ELK不是指单独的某一款软件。是由:ElasticSearchLogstashKibana组成的。主要用户日志的收集,审计,过滤等。 ElasticSearch 是基于JAVA语言开发的。可以实现对数据内容进行校验。检索日志内容。可以创建索引。分布式。等等。 Logstash 是客户端工具,是基于JAVA语言编写的。主要是用于采集客户端机器上各种日志数据(系统日志,内核日志,安全日志,应用日志等)还可以对日志关键次,字段进行管理。最终将日志统一存储至ES服务器 Ki
elk(elasticsearch+logstash+kibana)搭建日志监控平台
who_I_am__的博客
11-05 6019
基于 ELKElasticsearchLogstashKibana)技术栈搭建了一个日志监控平台
ELK日志分析平台的搭建
weixin_33832340的博客
08-20 159
最近公司领导要求我搭建一个日志收集分析平台,用于给开发同事查看访问和业务日志,花了一段时间终于把日志平台搭建出来了,之前上网找了很多开源软件,发现还是ELK简单点,原来是想用Hadoop的,测试了一段时间,后来觉得有点复杂,其实ELK组合也符合需求了,后来还是使用ELK。这是我测试时用到的安装步骤文档,贴上来分享一下。ELK平台介绍日志主要包括系统日志、应用程序日志和...
ELK企业级日志分析系统概述及部署(图文详解)
weixin_51613313的博客
03-05 992
主机 操作系统 IP地址 软件 node1 Centos7.4 192.168.153.10 Elasticsearch Kibana node2 Centos7.4 192.168.153.20 Elasticsearch apache Centos7.4 192.168.153.30 Logstash Apache 宿主机 Windows 192.168.153.1 ①关闭防火墙及安全机制 systemctl stop firewalld.service seten...
ELK x-pack 5.6.14离线安装包与官方安装文档
ELK Stack是数据收集、处理和可视化的一套解决方案,广泛用于日志管理和分析、应用性能监控(APM)、安全信息和事件管理(SIEM)等多个领域。X-Pack是Elastic Stack的一个扩展包,提供了安全(包括用户认证、角色...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值