ELK收集⽹络设备⽇志
ELK版本:elasticsearch-5.2.2 kibana-5.2.2 logstash-2.4.1 all plugins部署环境为单台服务器,未配置集群
⼀、官⽹下载地址:https://www.elastic.co/downloads⼆、elasticsearch安装
1、由于安装ELK需要jdk,因此没有jdk的,先安装1.8版本以上[root@ELK-1 ~]# rpm -ivh jdk-8u121-linux-x.rpm2 、下载并安装Elasticsearch
[root@ELK-1 ~]# rpm -ivh elasticsearch-5.2.2.rpm3、 编辑配置⽂件,主要修改以下⼏项
[root@ELK-1 ~]# vi /etc/elasticsearch/elasticsearch.ymlpath.data: /data/elasticsearch #⽇志存储⽬录
path.logs: /data/elasticsearch/log #elasticsearch启动⽇志路径network.host: 10.10.10.1 #这⾥是主机IPhttp.port: 9200 #api接⼝url
bootstrap.memory_lock: false #不锁定内存bootstrap.system_call_filter: false #需⾃⾏添加4、 创建配置⽂件夹后启动
[root@ELK-1 ~]# mkdir -pv /data/elasticsearch/log5、修改⽂件夹所属⽤户
[root@ELK-1 ~]# grep elas /etc/passwd #查看安装elasticsearch时⾃动创建 的⽤户
[root@ELK-1 ~]# chown -R elasticsearch. /data/ #elasticsearch需使⽤该⽤户启动否则会报错6、修改内容参数,否则会报错
[root@ELK-1 ~]# vim /etc/security/limits.conf # 在该⽂件最后的⼏⾏,修改配置如下:soft core unlimitedhard core unlimitedsoft nofile 65536hard nofile 131072soft nproc 2048hard nproc 4096
[root@ELK-1 ~]# vim /etc/sysctl.conf # 在最下⾯添加如下内容:vm.max_map_count=655360
[root@ELK-1 ~]# vi /etc/security/limits.d/90-nproc.conf找到如下内容:soft nproc 1024修改为
soft nproc 2048
[root@ELK-1 ~]# sysctl -p7、启动elasticsearch
[root@ELK-1 ~]# service elasticsearch start三、Kibana安装1、下载并安装Kibana
[root@ELK-1 ~]# rpm -ivh kibana-5.2.2-x86_.rpm2、编辑配置⽂件,主要修改如下
[root@ELK-1 ~]# vi /opt/kibana/config/kibana.ymlserver.port: 5601
server.host: \"10.10.10.10\"
elasticsearch.url: \"http://10.10.10.10:9200\"kibana.index: \".kibana“3、 启动并检查是否安装成功[root@ELK-1 ~]# service kibana start
[root@ELK-1 ~]# netstat -ntlp|grep 5601 #检查5601是否监听四、Logstash安装1、下载并安装Logstash
[root@ELK-1 ~]# rpm -ivh logstash-2.4.1.noarch.rpm #默认安装位置:/opt/logstash2、创建配置⽂件
#配置⽂件位置:/etc/logstash/conf.dsyslog的logstash配置如下:
[root@ELK-1 ~]# cd /etc/logstash/conf.d[root@ELK-1 ~]# vi syslog.conf添加如下内容:input {syslog {
port => \"514\"}}
output {
elasticsearch {
hosts => [\"10.10.10.10:9200\"]
index => \"logstash_syslog-%{+YYYY.MM.dd}\"}}
3、启动logstash
[root@ELK-1 ~]# service rsyslog stop #关掉系统原本的syslog服务,不然会占⽤514端⼝[root@ELK-1 ~]# nohup /opt/logstash/bin/logstash -f syslog.conf
#最后去kibana上的Management上添加⼀个index pattern名为logstashsyslog就能 使⽤啦五、kibana web管理界⾯配置1、打开http://10.10.10.10:5601/
2.开始使⽤
参考⽂献:参考⽂章:
