环境:centos7.3
安装模式 elasticsearch,logstash, kibana + redis
数据流:logstash(收集日志)->redis(存储日志)->elasticsearch(存储并创建索引)->kibana(创建操作、查看日志)
ip | 安装软件 | 作用 |
192.168.1.10 | elasticsearch,logstash, kibana,redis | elk服务器 |
192.168.1.11 | logstash | 测试环境 |
1、安装java
yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel
2、下载软件包到/elk目录
mkdir /elk
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.0.tar.gz -P /elk
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.0-linux-x86_64.tar.gz -P /elk
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.0.tar.gz -P /elk
wget http://download.redis.io/releases/redis-3.0.4.tar.gz -P /elk
3、解压文件
tar -zxvf /elk/elasticsearch-6.4.0.tar.gz -C /elk
tar -zxvf /elk/kibana-6.4.0-linux-x86_64.tar.gz -C /elk
tar -zxvf /elk/logstash-6.4.0.tar.gz -C /elk
tar -zxvf /elk/redis-3.0.4.tar.gz -C /elk
4、redis安装
yum -y install gcc
make #进行编译,如果报错(make[1]: *** [adlist.o] Error 1)请使用 make MALLOC=libc
make install
cd utils
./install_server.sh#redis-cli #redis测试 a返回值表示安装成功
>set a 1
>get a
5、配置启动elasticsearch
修改系统配置
elasticsearch对系统最大连接数有要求,所以需要修改系统连接数。
echo '
* hard nofile 65536
* soft nofile 65536
* soft nproc 65536
* hard nproc 65536
' >>/etc/security/limits.confecho 'vm.max_map_count = 262144' >> /etc/sysctl.conf
vim /etc/security/limits.d/90-nproc.conf
# 第一行最后一个数,修改为4096,如果是则不用修改
# limits.d下面的文件可能不是90-nproc.conf,可能是其他数字开头的文件。
* soft nproc 4096
root soft nproc unlimited
elasticSearch配置
这个其实也是ELK中的核心,启动的时候一定要注意,从5.0开始,ElasticSearch 安全级别提高了,不允许采用root帐号启动,所以我们要添加一个用户,所以你还需要创建一个elsearch账户。
useradd es
chown -R es:es /elk/elasticsearch-6.4.0/ #指定elasticsearch-6.4.0目录下的文件所属elsearch组
修改配置文件
vim /application/elasticsearch-6.4.0/config/elasticsearch.yml
······
path.data: /elk/elasticsearch-6.4.0/data
path.logs: /elk/elasticsearch-6.4.0/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 192.168.1.10
······
创建数据和日志目录
mkdir /elk/elasticsearch-6.4.0/data /elk/elasticsearch-6.4.0/logs
启动
su es ## 切换到普通用户
cd /elk/elasticsearch-6.4.0/
./bin/elasticsearch -d ## -d 后台运行
配置elasticsearch自启动
cat <<EOF>>/etc/rc.local
su - es -c '/elk/elasticsearch-6.4.0/bin/elasticsearch -d'
EOF
6、配置kibana
它的配置也非常简单,你需要在kibana.yml文件中指定一下你需要读取的elasticSearch地址和可供外网访问的bind地址就可以了。
# vim /elk/kinbana-6.4.0/config/kibana.yml
······
elasticsearch.url: "http://192.168.1.10:9200"
server.host: 192.168.1.10
······
启动
# nohup /elk/kinbana-6.4.0/bin/kibana &
# 使用nohup,启动后台运行,如需关闭使用kill -9
浏览器中输入:http://192.168.1.10:5601/,你就可以打开kibana页面了
7、配置日志收集传输到redis存储中
在192.168.1.11服务器上操作
mkdir /elk
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.0.tar.gz -P /elk
tar -zxvf /elk/logstash-6.4.0.tar.gz -C /elk
cd /elk/logstash-6.4.0/config
解压后进入到config目录中新建一个logstash.conf配置,添加如下内容
[root@11 config]# vim logstash.conf
input {
file {
type => "log"
path => "/logs/*.log" ##创建一个/logs目录用于之后的测试
discover_interval => 10
start_position => "beginning"
}
}
output {
if [type] == "log"{
redis {
host => "192.168.1.10"
port => 6379
db => "1"
data_type => "list" #数据类型也要保持一致
key => "log" #key 要与服务器端的相同
}
}
}
启动logstash
# nohup /elk/logstash-6.4.0/bin/logstash -f /elk/logstash-6.4.0/config/logstash.conf &
验证
进入redis查看数据
#redis-cli
>keys *
>llen log
>lpop log
8、配置redis的日志到elasticsearch
在服务器192.168.1.11上操作
cd /elk/logstash-6.4.0/config
解压后进入到config目录中新建一个logstash.conf配置,添加如下内容
[root@11 config]# vim logstash.conf
input {
redis {
type => "redis-input" #输入类型
host => "192.168.1.10" #本地的reds地址
port => 6379 #redis端口
db => "1"
data_type => "list" #使用redis的list存储数据
key => "log"
}
}
output {
if [type] == "log" {
elasticsearch {
hosts => "192.168.1.10:9200" #elasticsearch地址
index => "log-%{+YYYY.MM.dd}"
}
}
}
启动logstash
# nohup /elk/logstash-6.4.0/bin/logstash -f /elk/logstash-6.4.0/config/logstash.conf &
9、验证
浏览器中输入:http://192.168.1.10:5601/,你就可以打开kibana页面了。
点击Management => Index Patterns 创建索引,如果ES接受到了logstash传过来的日志数据,页面会显示能创建的索引,不然会显示不能创建索引。请自行查看日志文件分析错误。
创建索引后,点击左侧Discover,可以看到你刚才创建的日志的分析。
10、问题处理
在logstash中发现日志错误
retrying failed action with response code: 403 ({"type"=>"cluster_block_exception", "reason"=>"block
在linux上执行:
curl -XPUT -H 'Content-Type: application/json' http://192.168.1.10:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
其中 _all 这个可以更改为自己在创建 Eleastisearch 索引的时候的name,用来修改单个索引只读状态,当然用 _all 也可以, _all 是修改了所有的索引只读状态