elk系統全部采用5.0版本
1、elk是依賴于java環境,是以要先安裝jdk,主意elk5.0版本所需要的jdk必須在1.8以上
2、安裝elasticsearch
修改es配置檔案:
修改檔案限制
vim /etc/security/limits.d/90-nproc.conf
* 改為2048即可
修改jvm參數
啟動elasticsearch,檢視9200,9300端口是否啟用
3、安裝kibana
修改kibana配置檔案
啟動kibana,檢視端口5601是否開啟
4、安裝logstash
編輯第一個測試文檔
[root@node2~]# cat /etc/logstash/conf.d/test.conf
測試:
[root@node2 ~]# /usr/share/logstash/bin/logstash -t -f /etc/logstash/conf.d/test.conf
-t:辨別測試配置檔案但并不啟動
-f:表示用哪一個測試檔案
warning: could not find logstash.yml which is typically located in $ls_home/config or /etc/logstash. you can specify the path using --path.settings. continuing using the defaults
could not find log4j2 configuration at path /usr/share/logstash/config/log4j2.properties. using default config which logs to console
configuration ok
14:08:51.310 [logstash::runner] info logstash.runner - using config.test_and_exit mode. config validation result: ok. exiting logstash
出現警告資訊:因為在/usr/share/logstash的目錄下沒有找到config檔案
解決方法:建立一個軟連接配接
[root@node2 ~]# ln -sv /etc/logstash /usr/share/logstash/config
修改配置檔案:
4、編譯安裝redis
先安裝gcc
啟動redis-server
檢視6379端口是否打開
5、安裝filebeat
6、測試
[root@node2 ~]# service filebeat start
進入redis,檢視是否有資料壓入
[root@node2 ~]# /app/tools/redis-3.0.7/src/redis-cli
127.0.0.1:6379> llen syslog
(integer) 1255
啟動logstash
[root@node2 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/test.conf
如果定義的配置檔案有問題,檢視logstash日志
[root@node2 ~]# tail /var/log/logstash/logstash-plain.log
配置正确後可以檢視redis的syslog索引
(integer) 0
127.0.0.1:6379>
就此elk+redis+filebeat搭建完畢