码迷,mamicode.com
首页 > 其他好文 > 详细

elk学习过程第一篇

时间:2018-04-26 14:00:53      阅读:163      评论:0      收藏:0      [点我收藏+]

标签:elk   filebeat   kibana   elasticsearch   

我们遇到的问题是日志太多,如果使用关键字报警,日志里的error,trace, warning等关键字那更是说不过来。所以我们一天的日志报警量是2千多条,于是就想解决这个问题,发现elk可以很好的处理日志,还能分析日志,对收集的日志,后面进一步处理也是很好的。所以就选择试用elk 知道用什么了,那接下来就是部署,试用了。

首先准备

使用的版本, 下载地址:https://www.elastic.co/downloads
项目 version 形式
elasticsearch 6.2.4 rpm
kibana 6.2.4 rpm
filebeat 6.2.4 rpm

系统准备

主机名 系统 安装服务
host1 centos7 elasticsearch+kibana
host2 centos7 elasticsearch
host3 centos7 filebeat

安装elasticsearch

1.下载elasticsearch rpm包,安装(host1+host2)

yum install elasticsearch

2.配置elasticsearch(host1+host2)
vim /etc/elasticsearch/elasticsearch.yml

cluster.name:es
node.name:host1#或者host2
network.host:0.0.0.0
http.port:9200
discovery.zen.ping.unicast.hosts:[‘host1‘,‘host2‘]

2.安装x-pack,做安全认证,权限管理(host1+host2)

/usr/share/elasticsearch/bin/elasticsearch-plugininstallx-pack#安装x-pack
systemctl start elasticsearch#检查running
/usr/share/elasticsearch/bin/x-pack/setup-passwordsinteractive#使用默认回车,输入认证密码比如:elk

3.检查集群状态

curl http://host1:9200/_cluster/health#提示需要账户密码,输入上一步设置的账户密码

返回结果:

{"cluster_name":"es","status":"green","timed_out":false,"number_of_nodes":2,"number_of_data_nodes":2,"active_primary_shards":17,"active_shards":34
    ,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":0,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0
    ,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":100.0}

安装kibana

1.下载kibana rpm包, 安装(host1)

yum install kibana

2.安装x-pack

/usr/share/kibana/bin/kibana-plugininstallx-pack

3.配置kibana (host1)
vim /etc/kibana/kibana.yml

elasticsearch.username:"elk"#输入在安装elasticsearch的时候设置的账户密码
elasticsearch.password:"elk"
elasticsearch.url:"http://localhost:9200"#设置elasticsearch的地址

4.启动kibana

systemctl start kibana

5.设置代理
因为kibana默认启动的监听端口是127.0.0.1. 我们可以使用nginx做代理, 安装nginx就不用说了,说一下nginx的配置
新建文件 /etc/nginx/conf.d/es.conf

server{
listen*:1234;
server_namehost1;
access_log/var/log/nginx/es_access.log;
error_log/var/log/nginx/es_error.log;
location/{
proxy_passhttp://127.0.0.1:5601;
}
}

6.验证服务正常
在浏览器输入:curl http://host1:1234 #提示输入账户密码,输入在 安装elasticsearch的时候设置的kibana账户密码, 返回正常洁面
技术分享图片

安装filebeat

1.下载fileat rpm包,安装 host3

yum install filebeat

2.配置filebeat
vim /etc/filebeat/filebeat.yml

filebeat.prospectors:#设置日志收集
-type:log
enabled:true
paths:
-/var/log/nova/*.log
tags:["nova"]
output.elasticsearch:#设置数据吐到elasticsearch
hosts:["host1:9200"]
protocol:"http"
username:"elk"
password:"elk"

3.启动服务

systemctl start filebeat

4.验证服务
打开kibana界面,management > index Patterns > create index Patterns > 显示有fileat-version-time的文件,说明数据已经收集到es cluster里了
技术分享图片

下一篇继续说kibana的简单使用

elk学习过程第一篇

标签:elk   filebeat   kibana   elasticsearch   

原文地址:http://blog.51cto.com/evawalle/2108038

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!