标签:elk elasticsearchkiban kibana logstash 日志收集
**所需程序:Centos服务器端:java、elasticsearch、kikbana
windows客户端:IIS、logstash**
一、服务器端(192.168.10.46)操作:
先建立一个ELK专门的目录:
[root@Cent65 ~]mkdir /elk/
上传到elk目录已经下载好的JDK、elasticsearch、kibana安装包。
elasticsearch-2.3.4.tar.gz jdk-8u161-linux-x64.tar.gz kibana-4.5.3-linux-x64.tar.gz
1、安装java环境(需要1.8以上java版本)
安装之前先卸载干净旧的java环境
[root@Cent65 ~]# yum remove java
[root@Cent65 ~]# cd /elk/
[root@Cent65 elk]# tar zxf jdk-8u161-linux-x64.tar.gz
[root@Cent65 elk]#vim /etc/profile.d/java.sh
export JAVA_HOME=/elk/jdk1.8.0_161
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
[root@Cent65 elk]# source !$
2、安装elasticsearch
[root@Cent65 elk]# tar zxf elasticsearch-2.3.4.tar.gz
[root@Cent65 elk]# vim elasticsearch-2.3.4/config/elasticsearch.yml
修改54行:
[root@Cent65 elk]# cd elasticsearch-2.3.4
启动:
[root@Cent65 elasticsearch-2.3.4]# ./bin/elasticsearch
提示不能使用root用户运行。需要新建用户。
[root@Cent65 elasticsearch-2.3.4]# useradd elk
改权限
[root@Cent65 elasticsearch-2.3.4]# cd ..
[root@Cent65 elk]#chown elk.elk elasticsearch-2.3.4 -R
[root@Cent65 elk]# su - elk
[elk@Cent65 ~]$ cd /elk/ && ./elasticsearch-2.3.4/bin/elasticsearch
测试:
[elk@elk ~]$ curl http://192.168.10.46:9200
2.1安装head插件:
进入elasticsearch/bin目录下运行 ./plugin -install mobz/elasticsearch-head 命令
[root@Cent65 bin]# ./plugin -install mobz/elasticsearch-head
浏览器测试:http://192.168.10.46:9200/_plugin/head/
3. 安装kibana
[root@Cent65 elk]# tar zxf kibana-4.5.3-linux-x64.tar.gz
[root@Cent65 elk]# vim kibana-4.5.3-linux-x64/config/kibana.yml
修改以下内容:
[root@Cent65 elk]# cd kibana-4.5.3-linux-x64
[root@Cent65 kibana-4.5.3-linux-x64]# ./bin/kibana
测试:http://192.168.1.65:5601
二、客户端操作(windows2012)
1、先安装JAVA环境
下载JDK并安装 jdk-8u161-windows-x64.exe
配置环境变量:
我的电脑——右键属性——高级系统设置——环境变量
系统变量 新建
JAVA_HOME 变量值为JDK安装路径比如C:\Program Files\Java\jdk1.8.0_161
CLASSPATH .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar
注意最左边的".和;"
PATH 在原有的变量值最后添加 注意右边第一个的“;” ;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin
2、下载logstash 的windows版本 (logstash-6.2.3.zip)
解压到D盘下
进入D:\logstash-6.2.3\logstash-6.2.3
新建test.conf配置文件
写入以下内容:
input {
file {
type => "iis_log_1"
path => ["C:/inetpub/logs/LogFiles/W3SVC1/*.log"]
start_position => "beginning"
}
}
filter {
if [type] == "iis_log_1" {
#ignore log comments
if [message] =~ "^#" {
drop {}
}
grok {
# check that fields match your IIS log settings
match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} %{IPORHOST:site} %{WORD:method} %{URIPATH:page} %{NOTSPACE:querystring} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clienthost} %{NOTSPACE:useragent} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:scstatus} %{NUMBER:time_taken}"]
}
date {
match => [ "log_timestamp", "YYYY-MM-dd HH:mm:ss" ]
timezone => "Etc/UTC"
}
useragent {
source=> "useragent"
prefix=> "browser"
}
mutate {
remove_field => [ "log_timestamp"]
}
}
}
output {
# stdout{
# codec => rubydebug{}
# }
elasticsearch {
hosts => ["192.168.10.46:9200"]
index => "logstash-%{+YYYY.MM.dd}"
}
}
打开powershell
PS C:\Users\Administrator> cd D:\logstash-6.2.3\logstash-6.2.3
进入logstash-6.2.3目录执行下面命令
bin/logstash -f test.conf
这里就成功了。
然后浏览器去打开kicbana http://192.168.10.46:5601 创建索引
注意:这里的索引名称要跟test.conf文件后面index=> 的名字保持对应。
此时访问http://192.168.10.46:5601/已经收集到了日志:
三、后期维护的一些问题:
清除elasticsearch数据
[root@elk elasticsearch-2.3.4]#
curl -XDELETE 'http://192.168.10.46:9200/logstash-2018.04.*'
后期报错情况分析:
若kicbana网页无法打开,需要重新启动elasticsearch、kibana、logstash
[root@elk ~]# su – elk
[elk@elk ~]$ cd /elk/
[elk@elk elk]$ nohup ./elasticsearch-2.3.4/bin/elasticsearch &
netstat -anptu |grep 9200 查看端口是否正常打开,正常情况如下:
若是没有启动,是如下情况:
所以需要重新启动:
[root@elk ~]# cd /elk/
[root@elk elk]# nohup ./kibana-4.5.3-linux-x64/bin/kibana &
查看及删除索引
curl get http://192.168.10.46:9200/_cat/indices 查看索引
curl -XDELETE http;// 192.168.10.46:9200/logstash_20180101 删除索引。
就先写到这里,欢迎到家提问、指正。
标签:elk elasticsearchkiban kibana logstash 日志收集
原文地址:http://blog.51cto.com/rescue/2107361
