ELK日志分析之elasticsearch

获取安装包
elasticsearch-6.6.1.rpm
jdk-8u121-linux-x64.rpm

安装
2G以上内存，不然可能服务起不来，别问我为什么知道 :<(

rpm -ivh jdk-8u121-linux-x64.rpm

rpm -ivh elasticsearch-6.6.1.rpm

进入配置文件目录/etc/elasticsearch/
修改配置文件elasticsearch.yml

[root@server1 elasticsearch]# vim elasticsearch.yml
# 集群名
17 cluster.name: my-es  
23 node.name: server1
# 内存锁定,默认锁定1G，需要在操作系统进行锁定否则识别不了可能服务开启不了
43 bootstrap.memory_lock: true  
55 network.host: 172.25.254.1
59 http.port: 9200

修改系统限制文件数目

sysctl -a | grep file  查看系统文件数
vim /etc/security/limits.conf
elasticsearch   -       nofile          65536

修改文件内容

添加启动脚本中内存锁定并重新加载
编辑文件/usr/lib/systemd/system/elasticsearch.service，添加内容如下

LimitMEMLOCK=infinity

重新加载

systemctl daemon-reload

关闭swap分区

swapoff -a
vim /etc/fstab 
tail -1 /etc/fstab

编辑配置文件限制进程数和内存锁定

elasticsearch   -       nofile          65536
elasticsearch   -       noproc          4096
elasticsearch   -       memlock         unlimited

开启服务查看端口

搭建elasticsearch集群
另开主机172.25.33.2/172.25.33.3
跟以上操作相同，初始化主机

1.关闭swap分区
2.修改限制文件/etc/security/limits.conf
3.修改启动文件/usr/lib/systemd/system/elasticsearch.service并加载
4.修改配置文件（注：直接拷贝server1的配置文件即可，但需要修改net.hosts参数为本机IP,修改node.name为本机主机名）

启动服务（2G内存）

添加集群web界面
获取elasticsearch-head目录
获取nodejs-9.11.2-1nodesource安装包
获取phantomjs-2.1.1的安装包

安装phantomjs安装包，查看phantomjs命令是否可以补全

进入elasticsearch-head目录，执行安装命令

npm install

修改elasticsearch-head/_site/app.js中的localhost为本机IP

4374                         this.base_uri = this.config.base_uri || this.prefs.get("app-base_uri") || "http://172.25.33.1:9200";

编辑elasticsearch配置文件添加elasticsearch远程登录参数

 http.cors.enabled: true
 http.cors.allow-origin: "*"

重新启动elasticsearch服务

systemctl restart elasticsearch.service

开启web界面并之打入后台运行

cd /root/elasticsearch-head

npm run start &

配置server1为主节点，同时关闭其作为数据节点的功能

[root@server1 ~]# vim /etc/elasticsearch/elasticsearch.yml
 25 node.master: true   开启为master
 26 node.data: false    关闭数据节点
[root@server1 ~]# systemctl restart elasticsearch

配置server2/server3作为数据节点

[root@server2 ~]# vim /etc/elasticsearch/elasticsearch.yml 
 25 node.master: false   关闭master
 26 node.data: true    开启数据节点
[root@server3 ~]# systemctl restart elasticsearch

[root@server3 ~]# vim /etc/elasticsearch/elasticsearch.yml 
 25 node.master: false
 26 node.data: true
[root@server3 ~]# systemctl restart elasticsearch

进入浏览器查看内容
http://172.25.33.1:9100