ELK搭建踩過的坑

elk搭建踩過的坑

學習部落格：http://blog.51cto.com/zero01/2082794

日志多而雜，搜尋慢--->集中式管理

分布式系統--->快速定位伺服器和子產品

收集-傳輸-存儲-分析-警告

elk:

elasticsearch 搜尋引擎

logstash 日志的收集、分析、過濾

kibana 日志分析界面

beats 日志采集器 收集網絡資料、名額、日志、window實踐、審計、運作時間

x-pack?

https://blog.csdn.net/gamer_gyt/article/details/53016426

叢集設定

cluster.name: master-node # 叢集中的名稱

node.name: data-node1 # 該節點名稱

node.master: false # 意思是該節點為主節點

node.data: true # 表示這不是資料節點

network.host: 0.0.0.0 # 監聽全部ip，在實際環境中應設定為一個安全的ip

http.port: 9200 # es服務的端口号

discovery.zen.ping.unicast.hosts: ["172.16.55.131", "172.16.55.132", "172.16.55.133"] # 配置自動發現

常用的指令：

檢視叢集詳細資訊：172.16.55.131:9200/_cluster/state?pretty

檢視叢集的健康情況：172.16.55.131:9200/_cluster/health?pretty

删除索引：curl -xdelete 'localhost:9200/system-syslog-2018.03'

安裝出現的坑

錯誤：max number of threads [1024] for user [elasticsearch] is too low, increase to at least [4096]

參考：

https://www.cnblogs.com/zhi-leaf/p/8484337.html

https://www.cnblogs.com/gudulijia/p/6761231.html

錯誤：system call filters failed to install;

參考：https://blog.csdn.net/qq1137623160/article/details/78341996

檢視系統日志的指令：tail -n50 /var/log/messages

elasticsearch 日志位置：/var/log/elasticsearch/

centeros6.0 es中很多功能未支援，建議centeros7

logstash啟動目錄：/usr/share/logstash/bin 啟動指令： ./logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf

不在此目錄啟動，會彈出防火牆的彈窗！！！

//bin/logstash.lib.sh: 沒有那個檔案或目錄

ls: 無法通路*.jar: 沒有那個檔案或目錄

@timestampe 控制是否顯示圖形