ELK日志分析系统搭建第一天:基于windows快速搭建日志分析系统

ELK内容很多，最近刚接触，看到啥写啥。

本文涉及三个软件：Elasticsearch、Kibana、Winlogbeat，所有软件都是基于7.6.2。

Elasticsearch和Kibana 安装在服务器端，Winlogbeat 安装在客户端，当然，作为测试用，也可以安装在一台机器上。

ELK中文站点网：https://www.elastic.co/cn

安装前请线关闭服务器端和客户端防火墙

一、软件下载

Elasticsearch：https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.6.2-windows-x86_64.zip

Kibana :https://artifacts.elastic.co/downloads/kibana/kibana-7.6.2-windows-x86_64.zip

Winlogbeat:https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-7.6.2-windows-x86_64.zip

二、Elasticsearch安装

1. 将下载 elasticsearch-7.6.2 解压到  C:\elasticsearch

2、以管理员身份打开PowerShell，在PowerShell提示符下，运行以下命令以安装服务

cd C:\elasticsearch\bin
.\elasticsearch.bat

3. 安装完成后访问 http://localhost:9200，可以访问代表安装成功

4. 配置远程访问:

C:\elasticsearch\config\elasticsearch.yml

修改 network.host 为 0.0.0.0

network.host: 0.0.0.0

配置cluster.initial_master_nodes为当前node，默认为注释，放开注释就行了

cluster.initial_master_nodes: ["node-1", "node-2"]

5.安装elasticsearch为windows服务

6.以管理员身份打开PowerShell，在PowerShell提示符下，运行以下命令以安装服务

cd C:\elasticsearch\bin
.\elasticsearch-service.bat install 

7. 启动elasticsearch服务

Start-Service elasticsearch-service-x64

8.使用浏览器访问，结果与第三步相同

三、安装 kibana

1. 将下载 kibana-7.6.2 解压到  C:\kibana

2. 配置 kibana

C:\kibana\config\kibana.yml  

server.port: 5601 #浏览器访问端口

server.host: "192.168.237.11"  #对外的服务地址

elasticsearch.hosts: ["http://192.168.237.11:9200"] #这里为你的elasticsearch集群的地址
i18n.locale: "zh-CN"  配置问中文

3.以管理员身份打开PowerShell，在PowerShell提示符下，运行以下命令以启动kibana

cd C:\kibana\bin
.\kibana

以管理员身份进入运行cmd  C:\kibana-7.6.2\bin\kibana 启动kibana

http//:192.168.237.11:5601

四、安装Winlogbeat

1、下载并解压缩Winlogbeat到C:\winlogbeat-7.6.2

2、以管理员身份打开PowerShell，在PowerShell提示符下，运行以下命令以安装服务

cd  C:\winlogbeat-7.6.2
.\install-service-winlogbeat.ps1

3. 修改 C:\winlogbeat-7.6.2\winlogbeat.yml 以设置连接信息：

output.elasticsearch:

# Array of hosts to connect to.

hosts: ["192.168.237.11:9200"]

4. 启动 Winlogbeat

Start-Service winlogbeat

要停止服务请输入以下命令

Stop-Service winlogbeat

五、 查看windows日志

1.打开  kibana，打开siem

2. 选择主机

3. 日志系统搭建完成