简单介绍
日志数据流 filebeat->ES->kibana 或者 filebeat->logstash->elasticsearch->kibana
准备软件
1、elasticsearch-6.8.9.tar.gz
2、kibana-6.8.9.tar.gz
下载地址 https://mirrors.huaweicloud.com/home
启动es服务
elaseticsearch不允许root用户启动,所以需要新增es用户
1. adduser elasticsearch
2. passwd elasticsearch 输入两次密码
3. chown -R elasticsearch elasticsearch-6.8.9
4. su elasticsearch
5. ./bin/elasticsearch -d
6. curl 127.0.0.1:9200 返回json字符串表示启动成功
启动时内存不够
在vim /etc/security/limits.conf 文件最后添加
* hard nproc 5000
* soft nproc 5000
root hard nproc 5000
root soft nproc 5000
elasticsearch hard nofile 65535
elasticsearch soft nofile 65537
配置外网访问
在 config/elasticsearch.yml中修改
network.host: 0.0.0.0
启动kibana
tar -zxvf kibana-6.8.9.tar.gz
进入config目录修改kibana.yml文件
#修改如下配置
server.port: 5601
server.host: "0.0.0.0"
#修改为自己es的端口
elasticsearch.url: "http://localhost:9200"
汉化方法:https://codechina.csdn.net/mirrors/anbai-inc/kibana_hanization?utm_source=csdn_github_accelerator
启动logstash
修改logstash/config/logstash-sample.conf文件
# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.
input {
#beats {
# port => 5044
#}
file {
path => "/var/log/httpd/access_log"
start_position => beginning
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "%{[@metadata][logstash]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
#user => "elastic"
#password => "changeme"
}
}
检查配置文件是否正确
../bin/logstash -t -f logstash-sample.conf
启动:
../bin/logstash -f logstash-sample.conf
加载本文件夹所有配置文件启动:
../bin/logstash -f ./
或后台启动:
nohup ../bin/logstash -f config/ &
-f:通过这个命令可以指定Logstash的配置文件,根据配置文件配置logstash\
-e:后面跟着字符串,该字符串可以被当做logstash的配置(如果是“” 则默认使用stdin作为输入,stdout作为输出)\
-l:日志输出的地址(默认就是stdout直接在控制台中输出)\
-t:测试配置文件是否正确,然后退出。
启用filebeat
https://www.cnblogs.com/xishuai/p/elk-logstash-filebeat.html
