CENTOS7 ELK 5.3.2 elasticsearch logstash kibana filebeat

最新推荐文章于 2025-05-30 15:59:44 发布
最新推荐文章于 2025-05-30 15:59:44 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/stonexmx/article/details/71169400

ELK 简单的经典场景如下图,其中kafka、logstash是可选的,可根据业务确定是否必要引入。消息队列kafka也可以换成其他MQ,甚至redis。

此图只是为了说明ELK各部分对应的关系,是一个非常简单的示例图。一般正常的生产环境 zookeeper、kafka、elasticsearch都是集群的,logstash也是多节点的。



本文件的内容是没有配消息队列kafka的,其实beat和logstash对kafka可以说是无缝对接,只需在对应的配置文件中进行配置即可。

使用消息队列和集群的文章,本人转载了一篇地址:

http://blog.youkuaiyun.com/stonexmx/article/details/71308393


1.  下载 所需资源

官网 : https://www.elastic.co/downloads

elasticsearch  logstash  kibana  filebeat

JDK1.8 我这之前已经安装

[root@yzb-centos72-3 elk]# ll
total 177340
-rw-r--r-- 1 root root  33725176 May  4 13:04 elasticsearch-5.3.1.zip
-rw-r--r-- 1 root root   8767885 Apr 27 21:46 filebeat-5.3.2-linux-x86_64.tar.gz
-rw-r--r-- 1 root root  38743345 May  4 13:04 kibana-5.3.2-linux-x86_64.tar.gz
-rw-r--r-- 1 root root 100150030 May  4 13:04 logstash-5.3.1.zip

用unzip  解压 zip, tar -xvzf  解压 tar.gz

解压后拷贝到/usr/local/elk

[root@yzb-centos72-3 elk]# ll
total 16
drwxr-xr-x  8 root root 4096 May  4 13:19 elasticsearch-5.3.1
drwxr-xr-x  4 root root 4096 Apr 25 00:08 filebeat-5.3.2-linux-x86_64
drwxrwxr-x 12 1000 1000 4096 Apr 25 00:26 kibana-5.3.2-linux-x86_64
drwxr-xr-x 11 root root 4096 May  4 13:11 logstash-5.3.1
[root@yzb-centos72-3 elk]#


2. 配置 elasticsearch

[root@yzb-centos72-3 bin]# cd /usr/local/elk/elasticsearch-5.3.1/bin
[root@yzb-centos72-3 bin]# ./elasticsearch
[2017-05-04T13:29:55,392][WARN ][o.e.b.ElasticsearchUncaughtExceptionHandler] [] uncaught exception in thread [main]
org.elasticsearch.bootstrap.StartupException: java.lang.RuntimeException: can not run elasticsearch as root
        at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:127) ~[elasticsearch-5.3.1.jar:5.3.1]

上面提示是因为不能以root身份运行,创建 elk对应的用户

[root@yzb-centos72-3 bin]# groupadd elkgroup
[root@yzb-centos72-3 bin]# useradd -g elkgroup elkuser
[root@yzb-centos72-3 bin]# passwd elkuser
Changing password for user elkuser.

[root@yzb-centos72-3 bin]# su elkuser
[elkuser@yzb-centos72-3 bin]$ ./elasticsearch

2017-05-04 13:33:17,618 main ERROR Could not register mbeans java.security.AccessControlException: access denied ("javax.management.MBeanTrustPermission" "register")
        at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)

权限不足,修改权限

[root@yzb-centos72-3 local]# chown -R elkuser:elkgroup elk/
[root@yzb-centos72-3 local]# chmod -R 755 elk/

[elkuser@yzb-centos72-3 bin]$ ./elasticsearch
[2017-05-04T13:41:05,712][INFO ][o.e.n.Node               ] [] initializing ...
[2017-05-04T13:41:05,806][INFO ][o.e.e.NodeEnvironment    ] [IHYB5WZ] using [1] data paths, mounts [[/ (rootfs)]], net usable_space [19.3gb], net total_space [24.4gb], spins? [unknown], types [rootfs]
[2017-05-04T13:41:05,807][INFO ][o.e.e.NodeEnvironment    ] [IHYB5WZ] heap size [1.9gb], compressed ordinary object pointers [true]
[2017-05-04T13:41:05,810][INFO ][o.e.n.Node               ] node name [IHYB5WZ] derived from node ID [IHYB5WZKQ4G3Ue6lDUn_ZQ]; set [node.name] to override
[2017-05-04T13:41:05,810][INFO ][o.e.n.Node               ] version[5.3.1], pid[23213], build[5f9cf58/2017-04-17T15:52:53.846Z], OS[Linux/3.10.0-327.28.3.el7.x86_64/amd64], JVM[Oracle Corporation/Java HotSpot(TM) 64-Bit Server VM/1.8.0_121/25.121-b13]

.................

[2017-05-04T13:41:12,407][INFO ][o.e.h.n.Netty4HttpServerTransport] [IHYB5WZ] publish_address {127.0.0.1:9200}, bound_addresses {[::1]:9200}, {127.0.0.1:9200}
[2017-05-04T13:41:12,413][INFO ][o.e.n.Node               ] [IHYB5WZ] started
[2017-05-04T13:41:12,420][INFO ][o.e.g.GatewayService     ] [IHYB5WZ] recovered [0] indices into cluster_state

本地连接测试

[root@yzb-centos72-3 elk]# curl 127.0.0.1:9200
{
  "name" : "IHYB5WZ",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "irj3hPD7SxGeHDuNz2S-6g",
  "version" : {
    "number" : "5.3.1",
    "build_hash" : "5f9cf58",
    "build_date" : "2017-04-17T15:52:53.846Z",
    "build_snapshot" : false,
    "lucene_version" : "6.4.2"
  },
  "tagline" : "You Know, for Search"
}

若想进行远程连接需配置

[root@yzb-centos72-3 config]# vi elasticsearch.yml

network.host: 172.20.4.132

碰到的一些错误及解决办法

[elkuser@yzb-centos72-3 bin]$ ./elasticsearch
[2017-05-04T15:17:30,381][INFO ][o.e.n.Node               ] [] initializing ...
[2017-05-04T15:17:30,420][WARN ][o.e.b.ElasticsearchUncaughtExceptionHandler] [] uncaught exception in thread [main]
org.elasticsearch.bootstrap.StartupException: java.lang.IllegalStateException: failed to obtain node locks, tried [[/usr/local/elk/elasticsearch-5.3.1/data/elasticsearch]] with lock id [0];maybe these locations are not writable or multiple nodes were started without increasing [node.max_local_storage_nodes] (was [1])?

删除 data下的node

[elkuser@yzb-centos72-3 bin]$ cd /usr/local/elk/elasticsearch-5.3.1/data/
[elkuser@yzb-centos72-3 data]$ ll
total 4
drwxr-xr-x 3 elkuser elkgroup 4096 May  4 13:41 nodes
[elkuser@yzb-centos72-3 data]$ rm -fr nodes/
[elkuser@yzb-centos72-3 data]$ ll
total 0

max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

修改/etc/security/limits.conf

[root@yzb-centos72-3 bin]# vi /etc/security/limits.conf

# End of file
* soft nofile 65536
* hard nofile 65536
* soft nproc 2048
* hard nproc 2048


ERROR: bootstrap checks failed
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

修改etc/sysctl.conf
[root@yzb-centos72-3 logs]# vi /etc/sysctl.conf

vm.max_map_count=655360

执行 sysctl -p



3. 配置logstash

在config目录下新建logstash.conf

设置filebeat作为日志输入,elasticsearch作为输出

内容:

[root@yzb-centos72-3 config]# more logstash.conf
input {
    beats {
        port => "5043"
    }
}
 filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}"}
    }
    geoip {
        source => "clientip"
    }
}
output {
    elasticsearch {
        hosts => [ "172.20.4.132:9200" ]
    }
}



4. 配置filebeat

[elkuser@yzb-centos72-3 filebeat-5.3.2]$ vi filebeat.yml

日志读取目录

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /usr/local/elk/data/logs/*.log
    #- c:\programdata\elasticsearch\logs\*


日志输出位置,默认是ElasticSearch,此处改为logstash

#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
 # hosts: ["172.20.4.130:9201","172.20.4.132:9200"]

  # Optional protocol and basic auth credentials.
  #protocol: "https"
  #username: "elastic"
  #password: "changeme"

#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["172.20.4.132:5043"]



5. 配置kibana

[elkuser@yzb-centos72-3 local]$ cd /usr/local/elk/kibana-5.3.2/config/
[elkuser@yzb-centos72-3 config]$ vi kibana.yml
修改elasticsearch的地址

elasticsearch.url: "http://172.20.4.132:9200"

修改访问用的IP

server.host: "172.20.4.132"

后台启动

[elkuser@yzb-centos72-3 bin]$ nohup ./kibana &

访问  http://ip:5601

若界面提示:No default index pattern. You must select or create one to continue.

这是对应的logstash没有配置好

然后进行如下图配置索引模式,因为filebeat.yml中output配置的是logstash,所以pattern是 logstash-*.

若是output配置的是elasticsearch,则parttern是filebeat-*。

其实就是看谁作为elasticsearch的索引源。

为了看效果,我将项目的部分日志文件放到了/usr/local/elk/data/logs目录下,就是之前filebeat配置的日志收集目录



效果如下


多说几句,文章中提到的filebeat,只是elastic公司beats产品中的一项,还有Topbeat、Packetbeat。beats是一个代理,将不同类型的数据发送到elasticsearch。beats可以直接将数据发送到elasticsearch,也可以通过logstash将数据发送elasticsearch。beats有三个典型的例子:Filebeat、Topbeat、Packetbeat。Filebeat用来收集日志,Topbeat用来收集系统基础设置数据如cpu、内存、每个进程的统计信息,Packetbeat是一个网络包分析工具,统计收集网络信息。

其实ELK、Beats场景如下,借用网络的一张图




stonexmx
关注
CentOS7搭建ELK-小白学习日志
qq_28766765的博客
07-06 2519
准备工作:所需环境:1.两台CentOS7系统虚拟机(内存不够先用两台搭建)2.elasticsearchkibanalogstashfilebeat等软件的rpm包 3.关闭SELinux、4.搭建好网络环境(两台主机要ping通)部署基本交代:192.168.100.196 当做ELK服务器 会在这台上安装els、kibanalogstash软件                    ...
ELK日志管理系统(ELK+Kafka+Filebeat)虚拟机实现
独化蓝翅鸟,越岭万昆仑
01-27 2509
1. 整体架构 2. 环境、软件准备 虚拟机:VMware® Workstation 15 Pro Centos7 镜像:CentOS-7-x86_64-DVD-2003 2.1 服务器信息 2.2 账户信息 3. 服务器基础配置 3.1 初始化配置 [root@elktest1 home]# yum install lrzsz # 下载上传下载工具 [root@elktest1 home]# yum install vim # 安装 vim [root@elktest1 home]# yum i
Elasticsearch5.3.2Logstash5.3.2Kibana5.3.2Kafka-0.10.0.1打造开源实时日志分析系统v1.4
09-08
Elasticsearch5.3.2 Logstash 5.3.2 Kibana5.3.2 Kafka-0.10.0.1打造开源实时日志分析系统v1.4 日志分析利器
elasticsearch5.3.2jar包
06-22
java后台使用elasticsearch所需jar包,elasticsearch版本号为5.3.2
ElasticSearch5.3.2+LogStash+Kibana+Redis日志管理平台搭建
chenzenan的专栏
05-03 3848
1、安装jdk yum -y install java-1.8.0 java -version 2、安装Elasticsearch wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.3.2.tar.gz tar -zxvf elasticsearch-5.3.2.tar.gz ./elas
ELK 系列二、Centos 7 安装ELK6.5.3 +filebeat+守护进程supervisor 进行日志解析和定制
wuwei的博客
12-17 3760
大家好,本篇文章是使用ELK去解日志,本篇从ELK的安装部署至ELK的日志规则设置解析和展现做一个全面的分析,当然写这篇文章的目的是给自己做个日志。内容如下: 目录 一、解析目标和环境介绍 1、解析入库的目标是以下几种: 2.解析日志的环境如下: 二、部署ELK,并启动测试 启动ElasticSerach 配置和启动Logstash 三、部署filebeat进行采集日志上传至log...
ELK集群部署实战指南:Elasticsearch, Logstash, Kibana
weixin_36382073的博客
05-30 695
ELK是一套开源的、功能强大的日志分析工具。它由三个主要组件构成:Elasticsearch,一个基于Lucene的搜索引擎,用于存储、搜索和分析数据;Logstash,一个数据处理管道,能够从不同来源收集数据,然后进行过滤和解析;Kibana,一个数据可视化工具,可以让用户方便地对日志数据进行可视化。Logstash的灵活性来源于其插件机制。通过插件,Logstash可以轻松扩展来支持新的输入源、过滤器和输出目标。Logstash社区提供了大量插件,涵盖从常见数据源到复杂数据转换的各种需求。
Centos安装ELK5.3.2
weixin_34138255的博客
08-16 110
一、注意情况 1、elk的版本要一致。 2ElasticSearch是基于lucence开发的,也就是运行需要java支持。所以要先安装JAVA环境。由于es5.x依赖于JDK1.8,所以需要安装JDK1.8或者更高版本。 3、官方文档上说Elasticsearch不适合在root管理员帐号下运行,所以要先建立一个账号专门运行Elasticsearch. 4、安装完Kibana后,打开UI界面,...
从零搭建ELK实时日志分析平台(ElasticSearch, Logstash, Kibana)
12-15 795
前言:先说说搭建这个平台的环境吧 系统:centos7 jdk:1.8 ElasticSearch5.5.2 Logstash5.3.2 Kibana5.2.2何谓从零,就是新建一个centos7开始 1、获取ip addr 这里我假设是192.168.12.128 2、关闭防火墙:systemctl stop firewalld.service 3、安装与配置jdk1.8
如何在 Ubuntu 14.04 上安装 ElasticsearchLogstashKibana
weixin_30887919的博客
05-03 181
介绍 在本教程中,我们将去的 Elasticsearch 麋鹿堆栈安装 Ubuntu 14.04 — — 那就是,Elasticsearch 5.2.x,Logstash 2.2.x 和 Kibana 4.4.x。我们也将向你展示如何将其配置为收集和可视化系统日志转移您的系统在一个集中的位置,使用 Filebeat 1.1.x.Logstash 是收集、 分析和存储日志供将来使用开...
Centos8.4安装elasticsearch集群及es-head插件
light的博客
11-22 1512
1、简介 Elasticsearch 是一个分布式可扩展的实时搜索和分析引擎,一个建立在全文搜索引擎 Apache Lucene™ 基础上的搜索引擎.当然 Elasticsearch 并不仅仅是 Lucene 那么简单,它不仅包括了全文搜索功能,还可以进行以下工作: 分布式实时文件存储,并将每一个字段都编入索引,使其可以被搜索。 实时分析的分布式搜索引擎。 可以扩展到上百台服务器,处理PB级别的结构化或非结构化数据。 像天猫、京东这样的商城,用户访问商城的首页,一般都会直接搜索来寻找自己想要购买的商品
elk6.4.3安装部署指导手册
zxcsd11的博客
12-30 712
本文意在指导elk6.4.3安装配置文档,包含elasticsearchelasticsearch-head、filebat、logsearch、kibana等插件的安装配置,并抓取系统日志。
万字长文利用ELK+kafka分析Nginx日志生产实战(高清多图)
Richardlygo的博客
11-25 574
一、服务介绍 1.1、ELK ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、...
搭建ELK7.x环境:Elasticsearch集群简介与搭建
Elasticsearch集群是由多台运行Elasticsearch的节点组成的分布式系统。它采用分片和副本机制,能够处理海量的数据,并提供实时的搜索、分析和聚合功能。 ## 1.2 Elasticsearch集群的优势和用途 Elasticsearch集群...
ElasticSearch(全文检索服务的安装和使用)
m0_71560190的博客
08-29 1460
ElasticSearch全文检索服务器的使用和集群搭建
Java OA办公系统开源代码-siweiJin-jeecg
最新发布
06-18
资源下载链接为: https://pan.quark.cn/s/3d8e22c21839 随着 Web UI 框架(如 EasyUI、JqueryUI、Ext、DWZ 等)的不断发展与成熟,系统界面的统一化设计逐渐成为可能,同时代码生成器也能够生成符合统一规范的界面。在这种背景下,“代码生成 + 手工合并”的半智能开发模式正逐渐成为新的开发趋势。通过代码生成器,单表数据模型以及一对多数据模型的增删改查功能可以被直接生成并投入使用,这能够有效节省大约 80% 的开发工作量,从而显著提升开发效率。 JEECG(J2EE Code Generation)是一款基于代码生成器的智能开发平台。它引领了一种全新的开发模式,即从在线编码(Online Coding)到代码生成器生成代码,再到手工合并(Merge)的智能开发流程。该平台能够帮助开发者解决 Java 项目中大约 90% 的重复性工作,让开发者可以将更多的精力集中在业务逻辑的实现上。它不仅能够快速提高开发效率,帮助公司节省大量的人力成本,同时也保持了开发的灵活性。 JEECG 的核心宗旨是:对于简单的功能,可以通过在线编码配置来实现;对于复杂的功能,则利用代码生成器生成代码后,再进行手工合并;对于复杂的流程业务,采用表单自定义的方式进行处理,而业务流程则通过工作流来实现,并且可以扩展出任务接口,供开发者编写具体的业务逻辑。通过这种方式,JEECG 实现了流程任务节点和任务接口的灵活配置,既保证了开发的高效性,又兼顾了项目的灵活性和可扩展性。
在linux系统中安装此rpm包后可以识别ntfs文件格式
06-18
在linux系统中安装此rpm包后可以识别ntfs文件格式
意优机器人关节模组资料
06-18
意优机器人关节模组资料
企业管理软件的“渐进式实施方法”.docx
06-18
企业管理软件的“渐进式实施方法”.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值