centos7部署elk7.3版本

关闭防火墙，selinux，有必要的话可以把/etc/security/limits.conf中的最大文件数设置为65535，进程数也设置大一些，避免报错。
安装jdk,到官网下载，yum安装也行，我的版本是“1.8.0_221“,版本最好和我的接近

• 下载elk插件
• 方法一：
  https://www.elastic.co/cn/downloads/
  到官网下载es,kibana,logstash,filebeat对应版本的rpm包，发送到服务器 rpm -ivh 安装
• 方法二：

配置yum源
vim /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

yum clean all   刷新yum源
yum install elasticsearch  kibana  logstash filebeat  -y  (速度可能会慢，可以自己到官网下载)
不建议下载tar包，安装和管理麻烦

• 配置elasticsearch

vim /etc/elasticsearch/elasticsearch.yml

这三项必填，其他的看你自己要求，可以选择默认，下面的ip就是你安装elasticsearch的ip，上面的0.0.0.0是为了让外网也能访问你的es.

启动服务  systemctl start elasticsearch
开机自启  systemctl enable elasticsearch

• 配置kibana

vim /etc/kibana/kibana.yml

这三项必填，其他默认

启动服务  systemctl start kibana
开机自启  systemctl enable kibana

• 配置logstash

vim /etc/logstash/conf.d/message.conf  新建一个文件用来配置收集日志的参数
input {
file {
  path => "/var/log/messages"
  type => "systemlog"
  }
}

output {
  elasticsearch {
   hosts => ["192.168.21.133:9200"]
   index => "systemlog-%{+YYYY.MM.dd}"
  }
}

查看是否有日志收集到
curl localhost:9200/_cat/indices?v
curl localhost:9200/sshd_fail-2019.08/_search?pretty

这样就是一个简单的elk服务了，kibana页面展示就自行百度吧，很简单，当然生产没有这么简单
基本上还需要考虑的是

• 1.收集一台机器上的很多个不同的日志
• 2.收集不同机器上的多个不同日志
• 3.海量日志情况下elk扩展为elk+缓存集群的部署和配置
• 4.日志的选择性输出和自定义格式化输出
• 5.kibana页面自定义展示效果
  后续会继续整理出来，请持续关注