CentOS 7安装ELK日志分析系统

最新推荐文章于 2024-05-21 10:41:23 发布
最新推荐文章于 2024-05-21 10:41:23 发布
阅读量847 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: centos elk elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/michaelcc00/article/details/127259508
本文介绍如何部署Elasticsearch、Kibana和Logstash,并配置应用日志发送至Elasticsearch。涉及用户权限设置、防火墙配置等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Elastic Search安装

本次部署目录/data/elk下

cd /data/elk
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.4.1-linux-x86_64.tar.gz

解压到当前目录

tar -zxvf elasticsearch-8.4.1-linux-x86_64.tar.gz

编辑elasticsearch.yml文件

cd /data/elk/elasticsearch-8.4.1/config/
vi elasticsearch.yml

新增以下内容

network.host: 0.0.0.0 #可远程访问
node.name: node-base #节点名称 这个与下面一点一定要配,不然即使启动成功也会操作超时或发生master_not_discovered_exception
cluster.initial_master_nodes: ["node-base"] #发现当前节点名称
path.conf: /data/ELK/elasticsearch/conf
path.data: /data/ELK/elasticsearch/data
http.port: 9200 #端口号
http.cors.allow-origin: "*" #以下皆是跨域配置
http.cors.enabled: true
http.cors.allow-headers : X-Requested-With,X-Auth-Token,Content-Type,Content-Length,Authorization
http.cors.allow-credentials: true

ElasticSearch启动不能用root账号,需要新建账户
创建新用户及授权

groupadd elsearch #增加用户组
useradd elsearch -g elsearch -p elsearch #新增用户并设置用户组
cd /data/elk
chown -R elsearch:elsearch elasticsearch-7.5.1 #修改文件属所用户
su elsearch
cd /data/elk/elasticsearch-8.4.1/bin/
sh elasticsearch > /data/elk/el.log &

启动过程中出现如下错误

[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
[2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[3]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured

解决1:将当前用户的软硬限制调大
切换到root用户

su
vi /etc/security/limits.conf

新增以下配置

* soft nofile 65535
* hard nofile 65535
#也可以用@加账号
@elsearch soft nofile 65535
@elsearch hard nofile 65535
#执行
ulimit -n 65535
ulimit -n 
#返回 65535
ulimit -H -n 65535
ulimit -H -n  
#返回 65535

解决2:调大elasticsearch用户拥有的内存权限
切换到root用户

su
#临时修改
sysctl -w vm.max_map_count=262144
sysctl -a|grep vm.max_map_count #查看修改结果
#永久修改
vi /etc/sysctl.conf
#增加以下内容
vm.max_map_count=262144
#保存并执行
sysctl -p

解决3:没有配置node节点名称和主节点
修改配置文件

cd /data/elk/elasticsearch-8.4.1/config/
vi elasticsearch.yml
#修改以下配置
node.name: node-1
cluster.initial_master_nodes: ["node-1"]
#重新启动
sh elasticsearch &

出现以下画面启动成功

✅ Elasticsearch security features have been automatically configured!
✅ Authentication is enabled and cluster connections are encrypted.

ℹ️  Password for the elastic user (reset with `bin/elasticsearch-reset-password -u elastic`):
  phtF6nPnroGhPCC_n9s9

ℹ️  HTTP CA certificate SHA-256 fingerprint:
  7c6ff0a7ab717859c2d550fc3c06d0128b67791750e08ca70076cc75bd1dafc4

ℹ️  Configure Kibana to use this cluster:
• Run Kibana and click the configuration link in the terminal when Kibana starts.
• Copy the following enrollment token and paste it into Kibana in your browser (valid for the next 30 minutes):
  eyJ2ZXIiOiI4LjQuMSIsImFkciI6WyIxOTIuMTY4LjEwMS4xMDI6OTIwMCJdLCJmZ3IiOiI3YzZmZjBhN2FiNzE3ODU5YzJkNTUwZmMzYzA2ZDAxMjhiNjc3OTE3NTBlMDhjYTcwMDc2Y2M3NWJkMWRhZmM0Iiwia2V5Ijoid01ySS1ZSUJzaEdRSzlZalE2a1g6YmxFMW1TeXpRZFNxcUZHYWUzcHJldyJ9

ℹ️ Configure other nodes to join this cluster:
• Copy the following enrollment token and start new Elasticsearch nodes with `bin/elasticsearch --enrollment-token <token>` (valid for the next 30 minutes):
  eyJ2ZXIiOiI4LjQuMSIsImFkciI6WyIxOTIuMTY4LjEwMS4xMDI6OTIwMCJdLCJmZ3IiOiI3YzZmZjBhN2FiNzE3ODU5YzJkNTUwZmMzYzA2ZDAxMjhiNjc3OTE3NTBlMDhjYTcwMDc2Y2M3NWJkMWRhZmM0Iiwia2V5Ijoid3NySS1ZSUJzaEdRSzlZalE2a2k6Z2FOTzlEZVdSVnE1SGYtSWxLdFRyQSJ9

  If you're running in Docker, copy the enrollment token and run:

修改配置文件elasticsearch.yml

ingest.geoip.downloader.enabled: false #新增
xpack.security.enabled: true #修改为false

xpack.security.http.ssl:
  enabled: true #修改为false
  keystore.path: certs/http.p12

重新启动
访问http://ip:9200
如果不能访问请查看防火墙是否开启9200端口

firewall-cmd --zone=public --add-port=9200/tcp --permanent

自启配置
进入进入到 cd /etc/init.d 目录

cd /etc/init.d      【进入到目录】
vi elsearch    【创建es系统启动服务文件】

添加以下内容,ES_HOME为es安装目录
su es为运行用户

#!/bin/bash
#chkconfig: 345 63 37
#description: elasticsearch
#processname: elasticsearch-8.4.1

export ES_HOME=/usr/local/elasticsearch-8.4.1

case $1 in
        start)
                su elsearch<<!
                cd $ES_HOME
                ./bin/elasticsearch -d -p pid
                exit
!
                echo "elasticsearch is started"
                ;;
        stop)
                pid=`cat $ES_HOME/pid`
                kill -9 $pid
                echo "elasticsearch is stopped"
                ;;
        restart)
                pid=`cat $ES_HOME/pid`
                kill -9 $pid
                echo "elasticsearch is stopped"
                sleep 1
                su es<<!
                cd $ES_HOME
                ./bin/elasticsearch -d -p pid
                exit
!
                echo "elasticsearch is started"
        ;;
    *)
        echo "start|stop|restart"
        ;;
esac
exit 0

修改权限

chmod 777 elsearch

添加和删除服务并设置启动方式

chkconfig --add elsearch    【添加系统服务】
chkconfig --del elsearch    【删除系统服务】

关闭和启动服务

service elsearch start     【启动】
service elsearch stop      【停止】
service elsearch restart     【重启】

设置服务是否开机启动

chkconfig elsearch on      【开启】
chkconfig elsearch off       【关闭】

2、Kibana安装

切换到root用户,下载安装包

su
cd /data/elk
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.5.1-linux-x86_64.tar.gz

解压到当前目录

tar -zxvf kibana-7.5.1-linux-x86_64.tar.gz

编辑kibana.yml文件

cd /data/elk/kibana-7.5.1-linux-x86_64/config/
vi kibana.yml

新增以下内容

server.port: 5601
server.host: "0.0.0.0"
server.name: "kibana"
elasticsearch.url: "http://localhost:9200"
kibana.index: ".kibana"

保存并启动kibana

cd /data/elk/kibana-7.5.1-linux-x86_64/bin
#root不能直接启动kibana所以后面加--allow-root
sh kibana --allow-root > /data/elk/kibana.log &

启动出现错误

FATAL  Error: [elasticsearch.url]: definition for this key is missing

修改kibana.yml文件

elasticsearch.url: "http://localhost:9200"
#修改成下面
elasticsearch.hosts: ["http://localhost:9200"]

访问http://ip:5601
如果不能访问请查看防火墙是否开启5601端口

3、Logstash安装

切换到root用户,下载安装包

su
cd /data/elk
wget https://artifacts.elastic.co/downloads/kibana/logstash-7.5.1.tar.gz

解压到当前目录

tar -zxvf logstash-7.5.1.tar.gz

新增logstash.conf文件

cd /data/elk/logstash-7.5.1/bin/
vi logstash.conf

新增以下内容

input {
    tcp {
        port => 5044
        codec => json_lines
    }
}
output {
    elasticsearch {
        hosts => ["localhost:9200"]
    }
}

保存并启动logstash

cd /data/elk/logstash-7.5.1/bin/
sh logstash -f logstash.conf  &

查看日志,无报错信息,默认启动成功。

4、配置项目

添加logstash依赖

<dependency>
    <groupId>net.logstash.logback</groupId>
    <artifactId>logstash-logback-encoder</artifactId>
    <version>6.3</version>
</dependency>

配置logback-spring.xml文件
加spring后缀是能使用标签
多环境配置

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<springProfile name="exp">
	<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
	    <destination>192.168.5.19:5044</destination>
	    <queueSize>1048576</queueSize>
	    <encoder class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
	        <providers>
	            <timestamp>
	                <timeZone>UTC</timeZone>
	            </timestamp>
	            <pattern>
	                <pattern>
	                        {
	                        "severity":"%level",
	                        "service": "wbx-gateway",
	                        "pid": "${PID:-}",
	                        "thread": "%thread",
	                        "class": "%logger{40}",
	                        "rest": "%message->%ex{full}"
	                        }
	                </pattern>
	            </pattern>
	        </providers>
	    </encoder>
	</appender>
</springProfile>
<springProfile name="test">
	<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
	    <destination>192.168.5.19:5044</destination>
	    <queueSize>1048576</queueSize>
	    <encoder class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
	        <providers>
	            <timestamp>
	                <timeZone>UTC</timeZone>
	            </timestamp>
	            <pattern>
	                <pattern>
	                        {
	                        "severity":"%level",
	                        "service": "wbx-gateway",
	                        "pid": "${PID:-}",
	                        "thread": "%thread",
	                        "class": "%logger{40}",
	                        "rest": "%message->%ex{full}"
	                        }
	                </pattern>
	            </pattern>
	        </providers>
	    </encoder>
	</appender>
</springProfile>
 <property name="pattern" value="%d{yyyy-MM-dd:HH:mm:ss.SSS} [%thread] %-5level  %msg%n"/>
 <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
        <!-- 字符串System.out(默认)或者System.err -->
        <target>System.out</target>
        <!-- 对记录事件进行格式化 -->
        <encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder">
            <pattern>${pattern}</pattern>
        </encoder>
    </appender>

<springProfile name="dev">
    <root level="info">
        <appender-ref ref="STDOUT" /> 
    </root>
</springProfile>
<springProfile name="exp">
    <root level="info">
		 <appender-ref ref="LOGSTASH" /> 
	</root>
</springProfile>
<springProfile name="test">
    <root level="info">
		 <appender-ref ref="LOGSTASH" /> 
	</root>
</springProfile>
</configuration>
【日志审计与分析】centOS7 安装ELK平台
weixin_46447549的博客
04-19 1532
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录实验目的实验环境一、前情提要二、安装步骤1.环境准备二、Elasticsearch2.Kibanacurl localhost:5601 -Lvim /etc/kibana/kibana.yml,如下修改:line 2, uncomment and changeline 7, uncomment and changeline 28, uncomment启动后稍等一会rpm -qi logstash ** ①整体挺好的 两个小问题.
CentOS7部署ELK
Hello World
03-18 1450
CentOS7部署Elasticsearch、Logstash、Kibana
Centos7下搭建ELK日志分析系统
11-02
本文档记录了个人在centos7环境下搭建ELK日志分析系统的步骤及遇到的问题、处理记录。明细罗列了本次搭建的系统环境和软件版本,操作系统为centos7.6,elk对应版本为7.9.3, redis版本为6.0.6。受限于更明细的环境差别,安装过程中报错可能不尽相同,主要记录了ELK各组件软件的安装步骤,供各位有需要的人参考!!!
ELK环境搭建
weixin_30432007的博客
12-21 421
ELK环境搭建1. Virtualbox/Vagrant安装 41.1. Virtualbox安装 41.2. Vagrant安装 41.2.1. 简述 41.2.2. Vagrant box 41.2.3. 安装配置 51.2.4. 常用命令 62. ELK安装 62.1. CentOS7系统配置 62.1.1. 安装iptables 62.1.2. 安装ifco...
centos7部署elk日志系统
open
07-05 582
ELK具体安装可以参考下面链接centos7部署elk日志系统 - 走看看一、创建Elk目录,下载软件压缩包 登录系统后,进入opt目录,创建Elk文件夹 [root@localhost opt]# cd /opt/ [root@localhost opt]# mkdirhttp://t.zoukankan.com/wjs2019-p-14690727.html安装logstash安装下面操作!!!解压压缩包,把解压之后的文件移动到ElK目录下,编辑配置文件config/logstash.yml #打开并修
centos 7搭建ELK日志分析系统
:Struggle.
12-23 650
一、ELK的组成 ELKElasticSearch、Logstash和Kiabana三个开源工具组成,其官方网站为https://www.elastic.co/cn Elasticsearch:是个开源分布实时分析搜索引擎,建立在全文搜索引擎库Apache Lucens基础上,同时隐藏了Apache Luces的复杂性。Elasticsearch将所有的功能打包成一个独立的服务,并提供了一...
Centos7.x安装部署elk日志分析系统
ktianc的博客
10-21 733
介绍 ELK是三款开源软件的缩写,即:ElasticSearch + Logstash + Kibana。这三个工具组合形成了一套实用、易用的监控架构,可抓取系统日志、apache日志、nginx日志、mysql日志等多种日志类型,目前很多公司用它来搭建可视化的集中式日志分析平台。 ElasticSearch:是一个分布式的RESTful风格的搜索和数据分析引擎,同时还提供了集中存储功能,它...
centos7安装ELFK日志分析
最新发布
qq_39788924的博客
05-21 1055
centos7 yum安装ELK8.X+filebeat环境版本一、ELK下载路径(一)下载地址:Elastic官网我下载的是rpm格式(二)Wget下载在ssh工具上,可以通过wget 命令将4个rpm包进行下载下载的包就放在/elfk下,如二、elasticsearch 安装配置(一)elasticsearch 安装使用yum localinstall 安装本地rpm包,执行代码如下(示例):安装完成会生成默认密码,可以记录下,登录kibana时需要。
ELK日志分析系统搭建
05-01
### ELK日志分析系统搭建详解 #### 一、ELK简介 ELK栈是由Elasticsearch、Logstash和Kibana三个组件组成的开源日志分析解决方案。它们各自承担着不同的角色,在一起协同工作,形成了高效的数据处理流程。 1. **...
ELK centos7
yuan-ONE的博客
01-06 1734
原著文章地址:https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-elk-stack-on-centos-7 转载文章2:http://blog.sina.com.cn/s/blog_6f2d2e310102wa41.html ELK官方地址:http
Linux centOS 7部署ELKelasticSearch、logstash、kibana)
upward
03-15 2495
Linux CentOS 7部署ELK
ELKCentos7上的搭建
weixin_47710047的博客
03-09 693
用于日志监控的分布式配置
centos7 部署ELK日志搜集
jialiu111111的博客
01-19 1294
1.什么是ELK ELK是三个软件 1.E:elasticsearch java程序 存储,查询日志 2.L: logstash java程序 收集、过滤日志 3.K: kibana java程序 提供web服务,将数据页面化 4.F: filebeat go 收集、过滤日志 2.ELK作用 1.收集: 收集所有服务器的日志 2.传输: 把日志稳定的传输到ES或者其他地方 3.存储: ES能有效快速的存储日志数据 4.分析: 通过web页面分析数据 5.监控: 监控集群架构 3.ELK优点
Centos7 安装ELK
linglong0820的博客
09-05 3419
1、概述 ELK 简介 ELKElasticsearch+Logstash+Kibana的简称:Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于java开发 Logstash是一个接收,处理,转发日志的工具。 Kibana是一个基于浏览器页面的Elasticsearch前端展示工具。Kibana全部使用HTML语言和Javasc
centos7安装ELK
小高工作室
11-28 754
参考:两台机子:192.168.42.128 elasticsearch(E) elasticsearch-head(这个是插件)LogStash(L) kibana(K)以下是命令:修改源编辑repo文件安装 elasticsearch 这一步很慢,我用公司网络才10k/s 而且会一直切换镜像,耐心等候安装JAVA环境 使用yum安装 快一点创建elasticsearch data的存放目录,并修改该目录的属主属组,修改elasticsearch的日志属主属组。
CentOS7搭建ELK
fc66ds1001的博客
08-31 1512
环境: CentOS7.3虚拟机 IP:192.168.3.114   安装包下载 jdk-8u144-linux-x64.tar.gz elasticsearch-5.5.2.tar.gz   kibana-5.5.2-linux-x86_64.tar.gz   logstash-5.5.2.tar.gz 百度即可搜到   1、配置相关环境 ’[root@elk loca
Centos7日志分析工具ELK-6.3
weixin_34355881的博客
11-09 805
ELK简介 ELK官网: ELK版本发行说明: 日志主要分为系统日志、应用程序日志和安全日志,系统运维和开发人员可通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,那么经常分析日志可以了解服务器的负荷、性能安全性,从而及时采取措施纠正错误。通常日志被分散的储存不同的设备上,如果管理数十上百台服务器,还依次登录每台机器的传统方法查阅日志,这样太繁琐、效率低;这时可使用集中化的日志管...
CentOS7 环境下ELK部署
zhr19970910的博客
02-03 2029
CentOS 7 ELK部署前言一、什么是ELK?二、环境准备三、ELK用户创建,解压文件四、部署Elasticsearch1.修改elasticsearch.yml2.修改jvm.options3.启动elasticsearch五、部署logstash六、部署kibana1.修改kibana配置文件2.kibana汉化七、filebeat部署八、在kibana查看日志内容1.创建索引2.搜索日志 前言     开发过程中需要使用ELK来查询日志和图表展示,因为从前
Centos7 搭建ELK(一)
qq_45397526的博客
11-28 739
Centos7 搭建ELK—搭建elasticsearch环境一、初始环境配置1、系统2、Java环境搭建二、建立用户三、上传ELK安装包1、切换用户2、上传ELK安装文件压缩包四、配置elasticsearch环境1、进入配置文件2、更改配置文件3、启动失败怎么办? 一、初始环境配置 1、系统 本次使用的是Centos7.2,在自己的阿里云服务器上进行搭建 2、Java环境搭建 搭建ELK要求java环境,且JDK版本需在1.8及以上 若环境中有jdk,可以使用以下命令查看已安装的JDK rpm -qa|
ELK日志分析系统安装与配置详解
ELK日志分析系统搭建是一个基于Elasticsearch、Logstash和Kibana(简称ELK)的综合性日志管理和监控解决方案。这三者协同工作,能够帮助IT团队高效地收集、处理、存储和可视化海量日志数据,以便于故障排查、性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值