centos7 部署 ELK 日志系统

===============================================

 2017/12/17_第1次修改                       ccb_warlock

===============================================

 ELK（elasticsearch、logstash、kibana）可以作为日志收集及分析的一整套系统，通过阿里的普及也有越来越多的公司在使用，使用下来功能还可以，这里整理记录一个部署手册。

 为了方便，将ELK都部署在一台os里。 

一、环境准备

 操作系统：centos7（CentOS-7-x86_64-Minimal-1708）

 CPU：1核

 内存：4G

 可以在你的windows上安装Bitvise SSH Client远程执行命令行和传输文件。

1.1 安装vim、wget

yum install -y vim wget

二、安装Java环境

 2.1 部署java文件

 根据官方的描述，

 Elasticsearch要求是java8以上。

 Logstash要求是Java 8，不支持Java 9。

 官网：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

 进入后，选择“Accept License Agreement”，选择下载“jdk-8u151-linux-x64.tar.gz”；

 将下载的jdk-8u151-linux-x64.tar.gz上传到/root目录下。 

 # 解压到/usr/local/下

cd
tar -zxvf jdk-8u151-linux-x64.tar.gz -C /usr/local/

 2.2 设置java环境变量

 # 修改profile文件

vim /etc/profile

 在最后添加下面的内容，wq保存。 

export JAVA_HOME=/usr/local/jdk1.8.0_151
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib:$JRE_HOME/lib:$CLASSPATH
export PATH=$JAVA_HOME/bin:$PATH

 # 让profile文件立即生效 

source /etc/profile

 # 可以用下面的命令查看java的环境变量是否生效

java -version

出现下面的内容就说明java的jdk已经部署完成。

 2.3 删除/root下的安装包（非必要，用于生产环境建议删除） 

rm -rf /root/jdk-8u151-linux-x64.tar.gz

三、部署elasticsearch

 3.1 yum安装elasticsearch

 # 获取rpm包

wget https://artifacts.elastic.co/downloads/logstash/logstash-6.1.0.rpm

 # 安装

rpm -ivh elasticsearch-6.1.0.rpm

 #查找安装路径

rpm -ql elasticsearch

一般是装在/usr/share/elasticsearch/下。

 3.2 设置data的目录

 # 创建/data/es-data目录，用于elasticsearch数据的存放 

mkdir -p /data/es-data

 # 修改该目录的拥有者为elasticsearch

chown -R elasticsearch:elasticsearch /data/es-data

 3.3 设置log的目录

 #  创建/data/es-log目录，用于elasticsearch日志的存放

mkdir -p /log/es-log

 # 修改该目录的拥有者为elasticsearch 

chown -R elasticsearch:elasticsearch /log/es-log

 3.4 修改配置文件elasticsearch.yml

vim /etc/elasticsearch/elasticsearch.yml

 根据下面的内容进行修改，wq保存。 

#设置data存放的路径为/data/es-data
path.data: /data/es-data

#设置logs日志的路径为/log/es-log
path.logs: /log/es-log

#设置内存不使用交换分区
bootstrap.memory_lock: false
#配置了bootstrap.memory_lock为true时反而会引发9200不会被监听，原因不明

#设置监听的网络地址为0.0.0.0
network.host: 0.0.0.0

#开启监听的端口为9200
http.port: 9200

#增加新的参数，为了让elasticsearch-head插件可以访问es (5.x版本，如果没有可以自己手动加)
http.cors.enabled: true
http.cors.allow-origin: "*"

 3.5 启动elasticsearch

 # 启动

systemctl start elasticsearch

 # 查看状态

systemctl status elasticsearch

 # 设置开机启动

systemctl enable elasticsearch

 3.6 开启9200端口

firewall-cmd --add-port=9200/tcp --permanent
firewall-cmd --reload

 3.7 测试安装是否成功

 # 安装net-tools 

yum install -y net-tools

 # 检查9200是否有监听

netstat -antp |grep 9200

 休息了，明天再写。。