ELK 是一套整体解决方案, 是Elasticsearch + Logstash + Kibana 这种架构的简写。是一种日志分平台析的架构。Elasticsearch: 负责日志检索和存储,Logstash: 负责日志的收集和分析,处理,Kibana: 负责日志的可视化
功能:
分布式日志数据集中式查询和管理
系统监控,包含系统硬件和应用各个组件的监控
故障排查
安全信息和事件管理
报表功能
---------------------------------------------------------------------------------------
环境: Centos7
关闭Iptables
关闭Selinux
部署规划:
192.168.1.251 部署 Kibana6.6
192.168.1.242 部署 Elasticsearch6.6+jdk1.8
192.168.1.250 部署 Logstash6.6+jdk1.8
一、 JDK1.8环境搭建
(1)JDK二进制安装:
[root@elasticsearch01 ~] tar -zxf jdk-8u201-linux-x64.tar.gz
[root@elasticsearch01 ~]mv jdk1.8.0_201 /usr/local/ # 解压到对应安装目录/usr/local/
[root@elasticsearch01 ~] /usr/local/jdk1.8.0_201/bin/java -version #验证安装
(2)配置Java环境变量/etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_201/
export PATH=$PATH:$JAVA_HOME/bin
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH
[root@elasticsearch01 ~] source /etc/profile
[root@elasticsearch01 ~] java -version #验证环境变量
二、Elasticsearch 安装
(1)Elasticsearch安装:(Elasticsearch的tar包是已经编译好的,下载后直接使用即可)
[root@elasticsearch01 ~] tar -zxf elasticsearch-6.6.0.tar.gz
[root@elasticsearch01 ~] mv elasticsearch-6.6.0 /usr/local/
(2)Elasticsearch配置文件修改:
[root@elasticsearch01 ~]cp /usr/local/elasticsearch-6.6.0/config/elasticsearch.yml /usr/local/elasticsearch-6.6.0/config/elasticsearch.yml-bak
[root@elasticsearch01 ~]vim /usr/local/elasticsearch-6.6.0/config/elasticsearch.yml
# 数据目录
path.data: /usr/local/elasticsearch-6.6.0/data
# log 目录
path.logs: /usr/local/elasticsearch-6.6.0/logs
#监听地址(监听在任意地址)
network.host: 0.0.0.0
#监听端口
http.port: 9200
(3)JVM的内存限制更改:(内存不大,最好不要做限制,默认大小为1G内存)
[root@elasticsearch01 ~] vim /usr/local/elasticsearch-6.6.0/config/jvm.options
-Xms2048M
-Xmx2048M
(4)句柄数,进程数修改:
最大文件打开数调整
[root@elasticsearch01 ~] vim /etc/security/limits.conf
* - nofile 65536
最大打开进程数调整
[root@elasticsearch01 ~] vim /etc/security/limits.d/20-nproc.conf
* - nproc 10240
修改后添加如下一行,lougout 才能生效
[root@elasticsearch01 ~] vim /etc/pam.d/login
session required /lib/security/pam_limits.so
(5)修改内核参数调整
[root@elasticsearch01 ~]# Vim /etc/sysctl.conf
vm.max_map_count = 262144
[root@elasticsearch01 ~]# sysctl -p
(6) 创建启动 用户elk:
[root@elasticsearch01 ~] useradd -s /sbin/nologin elk
[root@elasticsearch01 ~] chown -R elk:elk /usr/local/elasticsearch-6.6.0/
[root@elasticsearch01 ~] su - elk -s /bin/bash
[root@elasticsearch01 ~]# nohup /usr/local/elasticsearch-6.6.0/bin/elasticsearch &
(7)验证启动是否成功:
[root@elasticsearch01 ~]#curl http://192.168.1.242 :9200
{
"name" : "6CbRLkm",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "NINwpaL_ReWp75be3QDV7g",
"version" : {
"number" : "6.6.0",
"build_flavor" : "default",
"build_type" : "tar",
"build_hash" : "a9861f4",
"build_date" : "2019-01-24T11:27:09.439740Z",
"build_snapshot" : false,
"lucene_version" : "7.6.0",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
(6)注意事项:
Elasticsearch启动注意
Elasticsearch如果监听在127.0.0.1的话,可以正常启动成功
Elasticsearch如果要跨机器通讯,需要监听在真实网卡上,监听在0.0.0.0或者内网地址
需要调整系统参数才能正常启动!!!!很重要
Elasticsearch监听网卡建议
如果学习,建议监听在127.0.0.1
如果是云服务器的话,一定把9200和9300公网入口在安全组限制一下
自建机房的话,建议监听在内网网卡,监听在公网会被入侵
三、Kibana安装
(1)、Kibana安装:
[root@elasticsearch01 ~]# tar -zxf kibana-6.6.0-linux-x86_64.tar.gz
[root@elasticsearch01 ~]# mv kibana-6.6.0-linux-x86_64 /usr/local/kibana-6.6.0
(2)、修改Kibana配置文件:
[root@elasticsearch01 ~]# cp /usr/local/kibana-6.6.0/config/kibana.yml /usr/local/kibana-6.6.0/config/kibana.yml-bak
[root@elasticsearch01 ~]# vim /usr/local/kibana-6.6.0/config/kibana.yml
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts:["http://192.168.1.242:9200"]
kibana.index: ".kibana"
logging.dest: /tmp/kibana.log
(3) 创建日志文件:
[root@elasticsearch01 ~]# touch /tmp/kibana.log
[root@elasticsearch01 ~]# chmod 777 /tmp/kibana.log
(4)Kibana的启动和访问
后台启动Kibana:nohup /usr/local/kibana-6.6.0/bin/kibana
访问Kibana,需要开放5601端口
(5)Kibana借用Nginx来实现简单认证
Kibana的安全说明
默认无密码,也是谁都能够访问
如果使用云厂商,可以在安全组控制某个IP的访问
建议借用Nginx实现用户名密码登录
1、部署Nginx,使用Nginx来转发
Nginx编译安装
[root@kibana01 ~]# yum install -y lrzsz wget gcc gcc-c++ make pcre pcre-devel zlib zlib-devel
[root@kibana01 ~]# wget 'http://nginx.org/download/nginx-1.14.2.tar.gz'
[root@kibana01 ~]# tar -zxvf nginx-1.14.2.tar.gz
[root@kibana01 ~]# cd nginx-1.14.2
[root@kibana01 ~]# useradd -s /sbin/nologin nginx
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install
Nginx两种限制:
限制源IP访问,比较安全,访问的IP得不变
使用用户名密码的方式,通用
修改nginx 配置文件
写在location 中
root@kibana01 ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
auth_basic "Input Password:"; #指定认证域的名字,随便写
auth_basic_user_file "/usr/local/nginx/pass"; #认证的密码文件,写绝对路径
proxy_pass http://192.168.1.242:5601; #kibana地址,端口
proxy_read_timeout 60;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
2)生成密码文件,创建用户及密码
使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
[root@kibana01 ~]# yum -y install httpd-tools
[root@kibana01 ~]# htpasswd -c /usr/local/nginx/pass fxkj
#创建密码文件,-C 是指定创建密码文件 ,连续两次输入密码,初次创建用户必须加
New password:
Re-type new password:
Adding password for user tom
[root@kibana01 ~]# htpasswd /usr/local/nginx/pass jerry
#追加用户,不能使用-c选项 不然会替换掉原先的用户密码
New password:
Re-type new password:
Adding password for user jerry
[root@kibana01 ~]# cat /usr/local/nginx/pass
[root@kibana01 ~]# /usr/local/nginx/sbin/nginx #启动nginx
访问测试: http://192.168.1.242
#地址访问——进行用户认证——跳转到kibana页
四、Logstash安装
依赖于Java环境
(1)JDK二进制安装:
[root@logstash01 ~]# tar -zxf jdk-8u201-linux-x64.tar.gz
[root@logstash01 ~]#mv jdk1.8.0_201 /usr/local/ # 解压到对应安装目录/usr/local/
[root@logstash01 ~]# /usr/local/jdk1.8.0_201/bin/java -version #验证安装
(2)配置Java环境变量/etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_201/
export PATH=$PATH:$JAVA_HOME/bin
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH
[root@logstash01 ~]# source /etc/profile
[root@logstash01 ~]# java -version #验证环境变量
(3)安装Logstash:
[root@logstash01 ~]# tar -zxf logstash-6.6.0.tar.gz
[root@logstash01 ~]# mv logstash-6.6.0 /usr/local/
(4) 配置Logstash的JVM配置文件(内存不大,最好不要做限制,默认大小为1G内存)
[root@logstash01 ~]# vim /usr/local/logstash-6.6.0/config/jvm.options
-Xms200M
-Xmx200M
Logstash支持
Logstash分为输入、输出
输入:标准输入、日志等
输出:标准输出、ES等
Logstash最简单配置
[root@logstash01 ~]# vim /usr/local/logstash-6.6.0/config/logstash.conf
input{
stdin{}
}
output{
stdout{
codec=>rubydebug
}
}
Logstash的启动和测试
前台启动:/usr/local/logstash-6.6.0/bin/logstash -f /usr/local/logstash-6.6.0/config/logstash.conf
##Successfully started Logstash API endpoint {:port=>9600} 出现这边表示允许成功,直接输入就好
后台启动:nohup /usr/local/logstash-6.6.0/bin/logstash -f /usr/local/logstash-6.6.0/config/logstash.conf --config.reload.automatic &
##--config.reload.automatic自动重新加载配置文件,无需重启logstash
Logstash读取日志/usr/local/logstash-6.6.0/config/logstash.conf
input {
file {
path => "/var/log/secure"
}
}
output{
stdout{
codec=>rubydebug
}
}
五、测试Elasticsearch 和 Logstash 来收集日志数据
(1)创建测试文件:
(在 logstash 安装目录下创建一个用于测试 logstash 使用 elasticsearch 作为 logstash 的后端的测试文件 logstash-test.conf,
该文件中定义了stdout和elasticsearch作为output,这样的“多重输出”即保证输出结果显示到屏幕上,同时也输出到elastisearch中。
前提要保证elasticsearch和logstash都正常启动(需要先启动elasticsearch,再启动logstash)
[root@logstash01 ~]# vim /usr/local/logstash-6.6.0/config/logstash-test.conf
input { stdin { } }
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => ["http://192.168.1.242:9200"] ##指定elasticsearch 地址
index => "logstash-%{+YYYY-MM}"
}
}
(2)、开启服务:
[root@logstash01 logstash-6.6.0]# /usr/local/logstash-6.6.0/bin/logstash -f /usr/local/logstash-6.6.0/config/logstash-test.conf
暂无评论内容