ELK2.4.0安装部署

标签：linux   elk   日志分析   

    本机环境  centos6.5 x64

    内存：16G

    内核：2.6............................

    elasticsearch：2.4.0

    logstash：2.4.0

    kibana：4.6.1

    jdk1.7

第二步：

    1）安装jdk1.7

        原系统可能带有JDK

        rpm -qa | grep jdk

        rpm -e ************************** --nodeps 先卸载了

        yum -y install java-1.7.0-openjdk*

    2）安装elk

        官网下载elk的rpm包，方便。。

        安装elasticsearch-2.4.0.rpm

        rpm -ivh elasticsearch-2.4.0.rpm

        配置文件路径：/etc/elasticsearch/

        安装目录：/usr/share/elasticsearch/

        修改配置文件：

        cluster.name: my-elk  ####elk名字随意。。

        node.name: jk.hjd   ####节点名字

        path.data: /home/elk/data   ###数据存放，目录

        path.logs: /home/elk/logs    ###日志存放目录

        network.host: 0.0.0.0        ###允许连接es的主机，0.0.0.0表示任意主机

        http.port: 9200                  ###es端口，默认9200

        discovery.zen.ping.unicast.hosts: ["host1" “host2”]    ###负载用的吧，我就一台没开

        ：wq保存退出

    3）安装es_head （装不装都行= =）

        /usr/share/elasticsearch/bin/plugin install mobz/elasticsearch-head

        es_head访问方式http://ip:9200/_pulgin/head

    4）安装logstash

        官网下载logstash的rpm包。

        安装logstash-2.4.0.noarch.rpm

        rpm -ivh logstash-2.4.0.noarch.rpm

        配置文件路径：/etc/logstash/conf.d/

        安装目录/opt/logstash/

        配置文件编写：vim /etc/logstash/conf.d/messages.conf

        input {

            file {

                type => "messages"              ###名称

                path => ["/var/log/messages"]    ###日志位置

                start_position => "beginning"     ###

        }

        beats {

            port => 5044                    ####logstash端口号~可以多个配置文件多个端口号~~~

        }

    }

        output {

            if [type] == "messages" {

            elasticsearch {

            hosts => ["IP:9200"]               ###将日志上传到es

            index => "messages-%{+YYYY-MM}"      ##在日志分析显示的名称

        }

       }

    }

        ：wq

        测试配置文件编写是否正确

        /opt/logstash/bin/logstash agent -f /etc/logstash/conf.d/logstash.conf -t

        反馈：Configuration OK

        证明配置文件没问题。。

    5）安装kibana

        官网下载kibana

        安装kibana-4.6.1-x86_64.rpm

        rpm -ivh kibana-4.6.1-x86_64.rpm

        安装目录位置：/opt/kibana

        修改配置文件：

        server.host: "ip"    ###elkip地址

        elasticsearch.url: "http://127.0.0.1:9200"   ###es访问地址

        ：wq

    6）启动es，logstash，kibana

        /etc/init.d/elasticsearch start

        /etc/init.d/logstash  start

        /etc/init.d/kibana start

    7）查看端口并访问

        netstat -anpt

        es端口应为9200、9300

        logstash端口，在配置文件里表明为5044

        kibana端口为5601

        访问es http://ip:9200

出现以上内容说明es正常。

8）访问es head

默认应该是两台服务器的~做成elk集群模式，上方集群健康值正常为绿色

1371 of 2742 是两台中只开了一台，所以是×××。当成为红色时，可能集群就崩了= =

出现刚刚在logstash添加的监控messages的日志

9）访问kibana，

添加索引。messages-*

格式为名称-*

点击载入

可参照官方文档操作

每个版本都有区别= =

ELK2.4.0安装部署

标签：linux   elk   日志分析   

原文地址：http://blog.51cto.com/saygoodbay/2047932