ELK搭建过程(8.8.2)- zip包 windows本地部署

已于 2023-11-24 09:49:01 修改
阅读量280 收藏 1
点赞数
分类专栏: devops 文章标签: 运维 elasticsearch
于 2023-09-13 11:53:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wgdzg/article/details/132848958
版权

项目需要,研究了ELK,记录一下

一. 背景: 为解决安全检查合规,以及功能增强,需升级ELK7->8, 故在本地搭建ELK8的服务,验证相关问题。

二. 简介:网上资源很多,

简单的说:ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部

Logstash 用于采集数据,

Elasticsearch 用于存储分析检索数据,

Kibana 用于分析展示数据

除了3个基本套件外:项目中的elk还涉及,

FileBeat 轻量的数据采集, ElastAlert 2 监控报警 (ES也有自己的强大的收费的监控报警)。

关于Beats和Logstash的使用,网上很多资源​编辑ELK架构简述​编辑logstash 和 beats的关系_logstash beats_水的精神的博客-优快云博客

简单的说,Beats轻量,专注收集; Logstash除了收集,还特别擅长数据转换,格式化等处理工作。

三. 搭建过程:

官网有打好的docker镜像,也有相应的文档,参考 ​编辑Installing the Elastic Stack | Elastic Installation and Upgrade Guide [8.9] | Elastic

这里的步骤适用windows本地部署。

1. 官网下载文件,这里都下的用于windows的zip, 当前版本8.8.2

Elasticsearch (install instructions)

Kibana (install)

Logstash (install)

Beats (install instructions)

ElastAlert2 (​编辑ElastAlert 2 - Automated rule-based alerting for Elasticsearch — ElastAlert 2 0.0.1 documentation )

另外:JDK17+ (这个elasticsearch的zip打包好了所需版本,不自己下的话,可以把相应目录加到“环境变量”)

2. 打开 .\elasticsearch-8.8.2\config\elasticsearch.yml, 调整相应配置

network.host: 127.0.0.1 
http.port: 9200 
http.cors.enabled: true 
http.cors.allow-origin: "*" 
# 启动运行 .\elasticsearch-8.8.2\bin\elasticsearch.bat 脚本即可。

注意:这里刚启动的后,控制台上可以看到user “elastic” 及随机密码,

建议执行重置密码,录入一个方便记忆的密码

.\elasticsearch-reset-password -i -u elastic

用户elastic权限太大,不建议在具体业务中使用,并且其本身在一些配置中受限,另外,内置有kibana_system, logstash_system, kibana_admin, logstash_admin 的用户,专门用于连接相应的套件,

建议参考kibana_system, logstash_system 的角色权限等,创建一个自定义角色,基于该新建的角色创建一个新用户,用于我们的日志系统。(注意,貌似logstash_system没有批量写的权限,导致logstash不能写入数据到elasticsearch, 所以最好新建我们的角色,并赋予批量写的权限, 可能logstash_admin有批量的权限,没有专门测)

创建role和user的工作,可以先使用超级用户elastic, 把 elasticsearch 和 kibana 连接好,然后在kibana的 devTool上,使用API工具创建更方便, 创建好后在返回来修正各个配置文件;

另外:为方便本地搭建,没有启用SSL; 如果想验证下,elasticserach8.X的目录中有自带的证书, 我试过可以用

#批量写的role

"logstash_writer": { "cluster": [], "indices": [ { "names": [ "*" ], "privileges": [ "create_doc", "create", "delete", "index", "write", "all" ], "allow_restricted_indices": false } ], "applications": [], "run_as": [], "metadata": {}, "transient_metadata": { "enabled": true }

3. 打开 .\logstash-8.8.2\config\logstash.conf

(如果没有,请把logstash-sample.conf拷贝一份重命名即可)

input { 
# file { 
#   path => "D:/logs/app.gateway-*.json" 
#   start_position => "beginning" 
#   sincedb_path => "D:/elk/elk_running/logstash-8.8.2/sincedb/file" 
# } 
  beats { 
    port => 5044 
  } 
} 
filter { 
...... 
} 
output { 
  elasticsearch { 
    hosts => ["http://127.0.0.1:9200"] 
    index => "log-app-v2" 
    user => "loguser" 
    password => "xA123456" 
    #ssl => true 
    #ssl_certificate_verification => true 
    #cacert => "D:\\elk\\elk_running\\elasticsearch-8.8.2\\config\\certs\\http_ca.crt" 
} 

# 启动运行 .\logstash-8.8.2\bin\logstash.bat -f .\config\logstash.conf 脚本即可。

4. 打开 .\kibana-8.8.2\config\kibana

server.port: 5601 
server.host: "127.0.0.1" 
elasticsearch.username: "loguser" 
elasticsearch.password: "123456" 

# 启动运行 .\kibana-8.8.2\bin\kibana.bat 脚本即可。

5. 打开 .\filebeat-8.8.2\filebeat.yml

filebeat.inputs: 
- type: filestream 
  enabled: true 
  paths: - D:\logs\app.*-*.json 
output.logstash: 
  hosts: ["localhost:5044"] 

# 启动运行 .\filebeat-8.8.2\filebeat -c filebeat.yml -e 脚本即可。

6. ElastAlert2安装

pip3 install elastalert2 
git clone https://github.com/jertel/elastalert2.git  

$ python3 setup.py install 

## 可能会提示 更新setuptools, 那就执行pip3 install "setuptools>=11.3" 更新一下先

配置文件

## 配置文件目录位于elastalert2/examples/目录下,把config.yaml.sample复制一份成config.yaml 
rules_folder: examples/rules 
run_every: 
  minutes: 1 
buffer_time:
  minutes: 15
es_host: "127.0.0.1" 
es_port: 9200 
es_username: loguser 
es_password: 123456 
writeback_index: elastalert_status

创建监控状态索引,也可以不创建,第一次启动elastalert时会有一个警告,然后它自己就去给创建了;创建成功即可通过kibana查看索引管理,看到创建好的一系列索引 elastalert_status_XXXX;

elastalert-create-index

创建自定义rule: demo_sendgrid.yaml

# 2分钟内超过10的ERROR事件,就报警(向本地http://localhost:8409, post报警数据)
name: 10_error_2_minutes 
type: frequency 
index: mylog-* 
use_strftime_index: true 
num_events: 10 
timeframe: 
  minutes: 2 
filter: 
- query: 
    query_string: 
      query: "Error" 

alert: post2 
http_post2_url: "http://localhost:8409" 
http_post2_payload: | 
  { 
    "message": "there is some error" 
  } 
http_post2_headers: Content-Type: application/json

启动elastalert

python -m elastalert.elastalert --config D:\elk\elk_running\elastalert2\examples\config.yaml --rule D:\elk\elk_running\elastalert2\examples\rules\demo_sendgrid.yaml --verbose

Ubuntu系统Elastic Stack 8.12.0 集群平台搭建
zonameng的博客
01-26 2077
系统名称IP系统版本Role组件elk-51es集群elk-52es集群elk-53es集群elk-54kibanakibanaelk-55Kafka+Zookeeper集群elk-56Kafka+Zookeeper集群elk-57Kafka+Zookeeper集群logstashlogstash系统名称IP系统版本组件elk-51elk-52elk-53elk-54。
docker-compose 搭建 ELK
qq_39794423的博客
07-26 991
docker compose 搭建elk集群
Windows环境下搭建完整的ELK平台
m0_52403371的博客
04-01 4733
Windows环境搭建ELK平台
ELK8.8.1零基础搭建
weixin_65929369的博客
06-25 1189
重新加载 source /etc/profile,查看jdk版本。elasticsearch.hosts: es的主机IP+端口。ElasticSearch、Kibana和Logstarsh。重启nginx,并设置开机自启动,启动logstarsh。在 cd /etc/kibana-8.8.1。三台机子都配置域名解析 /etc/hosts。server.host:kibana主机IP。server.port: kibana端口。就可以去访问IP+端口(9200)启动之后,查看端口----9600。
安装配置ELK安装配置ElasticSearch7.13、安装配置Kibana7.13、安装配置Logstash7.13、ElasticSearch7.13安装中文分词器
没事别学JAVA
04-13 819
安装配置ELK安装配置ElasticSearch7.13,安装配置Kibana7.13,安装配置Logstash7.13,ElasticSearch7.13安装中文分词器
Docker部署ELK 8.8.2(3)-Beats Filebeat使用
weixin_48244640的博客
07-07 1076
Docker部署ELK 8.8.2ELK介绍,Elasticsearch、Kibana、Logstash、Filebeat安装及使用。
最新版windows elasticsearch-8.7.0-windows-x86-64.zip
04-05
这个压缩elasticsearch-8.7.0-windows-x86_64.zip含了所有必要的组件,使得用户可以在Windows系统上快速部署和运行Elasticsearch。 首先,Elasticsearch的核心特性括分布式、RESTful风格的接口和自动分词...
elk-kylinv10-arm架构部署(亲测可用)
最新发布
12-18
elk-kylinv10-arm架构部署(亲测可用)
docker-compose搭建elk过程,以及设置密码
08-25
docker-compose搭建elk过程。可以查看对应的文章。 ├── docker-compose.yml ├── elasticsearch │ └── config │ └── elasticsearch.yml ├── kibana │ └── config │ └── kibana.yml └...
ELK-7.5.0-windows-x86_64
09-11
这个"ELK-7.5.0-windows-x86_64"压缩是为Windows操作系统设计的,含了这三个组件的7.5.0版本。下面我们将详细探讨每个组件的功能和重要性。 **Elasticsearch** 是一个分布式、RESTful风格的搜索和数据分析引擎...
elasticsearch-jieba-plugin 8.8.2.zip
08-11
分词es插件,elasticsearch-jieba-plugin 8.8.2已编译,解压到 elasticsearch-8.8.2\plugins\ 重启es
最新版windows kibana-8.2.0-windows-x86_64.zip
05-06
最新版windows kibana-8.2.0-windows-x86_64.zip最新版windows kibana-8.2.0-windows-x86_64.zip
最新版windows elasticsearch-8.8.2-windows-x86-64.zip
08-02
最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip最新版windows elasticsearch-8.8.2-windows-x86_64.zip
Logstash配置详解
热门推荐
yygr的博客
04-08 2万+
https://blog.csdn.net/hushukang/article/details/84423184 Logstash配置文件位于Logstash安装目录下bin/logstash.conf 启动命令: logstash -f logstash.conf 1. Input Plugin 1.1 从文件输入 从文件读取数据,如常见的日志文件。文件读取通常要解决几个问题: No. 问题 解决办法 1 文件内容如何只被读取一次?即重启Logstash时,从
Windows环境下安装Elasticsearch 8.8.2
terence的博客
07-08 2950
希望这篇博客对你有所帮助!如果你有任何问题或需要进一步的帮助,请随时提问。
ElasticSearch-8.2.0-windows安装与配置
z318913的博客
06-17 4033
elasticsearch安装配置教程
Java之ElasticSearch 安装
Vae12138的博客
03-28 239
ElasticSearch 安装
最新版ELK8.8.2安装部署
wybaaaaaaaa的博客
07-19 1317
Elasticsearch : 接收搜集的海量结构化日志数据,并提供给Kibana查询分析。 Logstash : 对日志进行过滤形成结构化数据,并转发到Elasticsearch中。 Kibana : 对Elasticsearch提供的数据进行分析展示。 filebeat : 用于收集日志
【Linux | ELK 8.2搭建ELKB集群Ⅲ—— 安装 Filebeat和问题与解决方案
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
02-28 939
博文主要介绍了如何安装Filebeat和搭建ELKB集群时遇到的问题及解决方案,同时给出了配置示例,对其配置文件关键参数做出说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值