由于没有用到Logstash,所以直接使用FileBeat进行日志的传输了。
直接去官网下载最新版本:
elasticsearch-7.15.0-linux-x86_64.tar.gz
filebeat-7.15.0-linux-x86_64.tar.gz
kibana-7.15.0-linux-x86_64.tar.gz
上传到服务器home目录后,进行解压
cd /home
tar -xzvf elasticsearch-7.15.0-linux-x86_64.tar.gz
tar -xzvf filebeat-7.15.0-linux-x86_64.tar.gz
tar -xzvf kibana-7.15.0-linux-x86_64.tar.gz
elasticsearch是用来存放日志和提供搜索日志。
1 安装elasticsearch
elasticsearch不能用root账号安装启动,所以需要新建一个账号.
#新建账号 es
useradd es
#设置密码
passwd es
#分配权限: 分配相应的文件夹权限给es账号
chown -R es:es /home/elasticsearch-7.15.0
然后使用新的账号es链接服务器
#打开对应目录
cd /home/elasticsearch-7.15.0
#安装启动elasticsearch
./bin/elasticsearch
#后台启动的话可以使用nohup命令
nohup ./bin/elasticsearch
Elasticsearch 的配置文件是 config/elasticsearch.yml。默认情况下,Elasticsearch 只允许本机访问,所以我们只需要简单的修改一下配置文件,将 network.host 前面的注释去掉,同时将值改成 0.0.0.0,表示所有机器都可以访问,然后重启一下就 OK 了。
Elasticsearch 的默认端口是9200。 启动后可以使用wget 命令访问本地地址,看看是否启动成功。
wget localhost:9200
如果可以成功下载回来index.html 文件,可以确定,已经启动成功。
filebeat是用来收集日志,将日志导入elasticsearch
2 安装配置filebeat
使用 Filebeat 进行日志收集,只需要对配置文件进行简单的修改就 OK。
Filebeat 的配置文件是 filebeat.yml。所有的配置都在这个文件下进行。
#打开配置
vi filebeat.yml
#输入配置: 意思是配置需要收集哪些文件
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log #收集这个目录下的所有的.log结尾的文件
#输出配置: 意思是配置将收集到的日志输出到哪里
#这段配置是将收集到的日志输出到本地的elasticsearch. 这个是默认配置.
output.elasticsearch:
hosts: ["localhost:9200"]
#启动filebeat
./filebeat -e -c filebeat.yml -d "publish"
#后台启动的话可以使用nohup命令:
nohup ./filebeat -e -c filebeat.yml
由于需求只是简单的将日志输出的elasticsearch,所以这样就够了。不需要进行其他配置了。
kibana是用来在网页上查看elasticsearch的数据。
3 安装启动kibana
Kibana 的配置文件是,config/kibana.yml。默认端口号是 5601。启动 Kibana 之前需要告诉 Kibana 连接哪个 ES。在配置文件中修改如下配置 elasticsearch.hosts:["http://localhost:9200"] 即可。默认是这个配置.
还有一个配置是: server.host: "localhost" 这里默认只能本地访问。 改成0.0.0.0就可以所有机器都可以访问了。
#启动kibana
./bin/kibana
#后台启动kibana
nohup ./bin/kibana
#如果是用root账号启动的话,需要加上参数--allow-root
./bin/kibana --allow-root
nohup ./bin/kibana --allow-root
启动后,直接访问:
http://kibana的ip:5601/
就可以打开了;如果打不开,有可能是防火墙没有打开5601端口。
kibana切换中文:
在配置文件里面修改配置:i18n.locale: "zh-CN" 即可
参考:
1.手把手教你搭建一套 ELK 日志搜索运维平台
2.ELK + Filebeat 搭建日志系统