ELK套件部署
前言
经过两周的不断碰壁,版本的选择
最终选择ELK的7.6.1套餐
因为我所需要的的警报插件sentinl也才跟新到7.6.1
运行环境:centos7
需要开放的端口:5601,9200,514(udp,tcp)
需要的安装包
https://artifacts.elastic.co/downloads/kibana/kibana-7.6.1-x86_64.rpm
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.6.1-x86_64.rpm
https://artifacts.elastic.co/downloads/logstash/logstash-7.6.1.rpm
https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.6.1-x86_64.rpm
https://github.com/lmangani/sentinl/releases/download/7.6.1/sentinl-v7.6.1.zip
自己用迅雷下载吧
开始
推荐在根目录下的opt文件夹下创建一个elk目录存放rpm安装包
一、安装Elasticsearch
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
rpm --install elasticsearch-7.6.1-x86_64.rpm
设置开机自起并启动
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
启动后自行查看状态
修改配置文件并重启
vim /etc/elasticsearch/elasticsearch.yml
#集群名称
cluster.name: test-el
#节点名称
node.name: node-1
#监听IP
network.host: 0.0.0.0
#初始化设置
cluster.initial_master_nodes: ["node-1", "node-2"]
systemctl restart elasticsearch
二、安装kibana
rpm -ivh kibana-7.6.1-x86_64.rpm
设置开机自起并启动
systemctl daemon-reload
systemctl enable kibana
systemctl start kibana
修改配置文件并重启
vim /etc/kibana/kibana.yml
#服务端口
server.port: 5601
#监听地址
server.host: "0.0.0.0"
#elasticsearch 的地址+端口
elasticsearch.hosts: ["http://10.15.5.225:9200"]
#语言
i18n.locale: "zh-CN"
systemctl restart kibana
三、安装logstash
rpm -ivh logstash-logstash-7.6.1.rpm
systemctl daemon-reload
systemctl enable logstash
systemctl start logstash
修改配置文件并重启
vim /etc/logstash/conf.d/symantec.conf
input {
file {
path => ["/var/log/symantec/*.log"]
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["172.26.130.200:9200"]
index => "symentec_log"
}
}
systemctl restart logstash
四、配置rsyslog日志服务器
配置文件地址/etc/rsyslog.conf
就以下几个地方需要改的,存放路径按照第三步的logstash的配置文件里面的写法
# Provides UDP syslog reception
$ModLoad imudp # 引用udp协议的模块
$UDPServerRun 514 # 设置udp协议使用端口
# Provides TCP syslog reception
$ModLoad imtcp # 引用tcp协议的模块
$InputTCPServerRun 514 # 设置tcp协议使用端口
$template Remote,"/var/log/%$YEAR%-%$MONTH%-%$DAY%/%fromhost-ip%.log" # 设置远程日志存放路径和文件格式
:fromhost-ip, !isequal, "127.0.0.1" ?Remote # 如果是本机日志则不记录
重启rsyslog
systemctl restart rsyslog
五、使用filebeat接收rsyslog的日志
安装
下载好rpm包后直接安装
rpm -vi filebeat-7.6.1-x86_64.rpm
编辑配置
vim /etc/filebeat/filebeat.yml
output.elasticsearch:
hosts: ["<es_url>"]
# username: "elastic"
# password: "<password>"
setup.kibana:
host: "<kibana_url>"
启用system模块,并编辑配置
sudo filebeat modules enable system
vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
paths:
- /var/log/symantec/*.log
setup.kibana:
host: "localhost:5601"
output.elasticsearch:
hosts: ["localhost:9200"]
启动 Filebeat
filebeat setup
service filebeat start
启动后就可以在页面接收到数据了
六、安装sentinl警告插件
先将zip包放在/opt/elk/下
cd到/usr/share/kibana
注意一点要在这个目录下
执行
[root@node2 kibana]# /usr/share/kibana/bin/kibana-plugin install file:///opt/elk/sentinl-v7.6.1.zip --allow-root
Found previous install attempt. Deleting...
Attempting to transfer from file:///opt/elk/sentinl-v7.6.1.zip
Transferring 146880856 bytes....................
Transfer complete
Retrieving metadata from plugin archive
Extracting plugin archive
Extraction complete
Plugin installation complete
[root@node2 kibana]# systemctl restart kibana
[root@node2 kibana]# systemctl status kibana
● kibana.service - Kibana
Loaded: loaded (/etc/systemd/system/kibana.service; enabled; vendor preset: disabled)
Active: active (running) since 一 2020-11-09 15:34:30 CST; 2min 4s ago
Main PID: 21387 (node)
Tasks: 22
CGroup: /system.slice/kibana.service
├─21387 /usr/share/kibana/bin/../node/bin/node /usr/share/kibana/bin/../src/cli -c /etc/kibana/kibana.yml
└─21535 /usr/share/kibana/node/bin/node --no-warnings --max-http-header-size=65536 /usr/share/kibana/node_modules/thread-loader/dist/worker.js 20
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Starting saved objects migrations"}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Detected mapping change i...l-watcher\""}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Creating index .kibana_2."}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Migrating .kibana_1 saved...o .kibana_2"}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Pointing alias .kibana to .kibana_2."}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","savedobjects-service"],"pid":21387,"message":"Finished in 650ms."}
11月 09 15:34:48 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:48Z","tags":["info","plugins-system"],"pid":21387,"message":"Starting [22] plugins: [taskManager,siem,inf...
11月 09 15:34:51 node2 kibana[21387]: {"type":"log","@timestamp":"2020-11-09T07:34:51Z","tags":["info","optimize"],"pid":21387,"message":"Optimizing and caching bundles for core, graph, mo...
11月 09 15:34:53 node2 kibana[21387]: Browserslist: caniuse-lite is outdated. Please run next command `npm update`
11月 09 15:34:55 node2 kibana[21387]: Browserslist: caniuse-lite is outdated. Please run next command `npm update`
看到这里爆红不要紧张,等待一会就好了,再次打开kibana页面插件就出来了!
ELK套件部署的更多相关文章
- Docker环境 ELK 快速部署
Docker环境 ELK快速部署 环境 Centos 7.4 , Docker version 17.12 Docker至少3GB内存: #内核配置 echo ' vm.max_map_count = ...
- ELK 安装部署实战 (最新6.4.0版本)
一.实战背景 根据公司平台的发展速度,对于ELK日志分析日益迫切.主要的需求有: 1.用户行为分析 2.运营活动点击率分析 作为上述2点需求,安装最新版本6.4.0是非常有必要的,大家可根据本人之前博 ...
- 精讲 使用ELK堆栈部署Kafka
使用ELK堆栈部署Kafka 通过优锐课的java架构学习分享,在本文中,我将展示如何使用ELK Stack和Kafka部署建立弹性数据管道所需的所有组件. 在发生生产事件后,恰恰在你最需要它们时,日 ...
- ELK快速部署及使用~
Elastic Stack 开发人员不能登陆线上服务器查看详细日志 各个系统都有日志,日志数据分散难以查找 日志数据量大,查询速度慢,或者数据不够实时 官网地址:https://www.elastic ...
- ELK 完整部署和使用 - 每天5分钟玩转 Docker 容器技术(90)
上一节已经部署了容器化的 ELK,本节讨论如何将日志导入 ELK 并进行图形化展示. 几乎所有的软件和应用都有自己的日志文件,容器也不例外.前面我们已经知道 Docker 会将容器日志记录到 /var ...
- Docker ElK安装部署使用教程
一.简介 1.核心组成 ELK由Elasticsearch.Logstash和Kibana三部分组件组成: Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引 ...
- ELK安装部署
一.ELK简介 ELK是Elasticsearch.Logstash.Kibana的简称,这三者是核心套件,但并非全部.Elasticsearch是实时全文搜索和分析引擎,提供搜集.分析.存储数据三大 ...
- ELK 安装部署小计
ELK的安装部署已经是第N次了! 其实也很简单,这里记下来,以免忘记. #elasticsearch安装部署 wget https://artifacts.elastic.co/downloads/e ...
- ELK Stack部署
部署ELK Stack 官网:https://www.elastic.co 环境准备: ip hostname 服务 用户.组 192.168.20.3 node2003 kibana6.5,file ...
随机推荐
- OpenAPI 3.0 规范-食用指南
概述 OpenAPI 3.0 规范由 8 个根对象组成: openapi info servers paths components security tags externalDocs OpenAP ...
- 【RocketMQ】消息的存储
Broker对消息的处理 BrokerController初始化的过程中,调用registerProcessor方法注册了处理器,在注册处理器的代码中可以看到创建了处理消息发送的处理器对象SendMe ...
- Django【执行查询】(二)
官方Django3.2 文档:https://docs.djangoproject.com/en/3.2/topics/db/queries/ 本文大部分内容参考官方3.2版本文档撰写,仅供学习使用 ...
- 温湿度监测系统设计:基于 STM32 的温湿度变送器的设计与实现
前言:这个是2018年上半年完成的,这里只贴出硬件设计部分,软件设计部分可以看上位机说明书. 设计总说明 随着科学技术的不断发展,高集成度.高精度.高可靠性的一体化温湿度变送器开始 得到广泛的应用.同 ...
- .NET(C#)发送邮件的实现方法
.NET(C#)发送邮件的实现方法 微软已经为我们准备好了现成的工具类供我们调用: MailMessage //邮件信息类 SmtpClient //邮件发送类 首先需要在项目的类文件中引用以下命名空 ...
- SSH 多密钥配置
目录 前言 一.SSH 是什么 二.密钥生成工具 三.密钥类型 四.本地配置 1.单密钥配置 2.多密钥配置 五.远端配置 1.GitHub/Gitee 2.服务器 前言 当我们从 GitHub 克隆 ...
- C++几种特殊形式的函数
本篇文章主要介绍C++语言中5中特殊形式的函数,分别是带默认形参值的函数.重载函数.内联函数.带形参和返回值的主函数以及递归函数. 一.带默认形参值的函数 如果函数的形参在多数情况下都可以取某个固定的 ...
- 2、MYSQL介绍
一.mysql优点 1.成本低:开放源代码,一般可以免费试用,采用的是gpl协议 2.性能高:执行很快 3.简单:很容易安装和使用 二.DBMS分为两类: 1.基于共享文件系统的DBMS(Acce ...
- Hbase学习(三)过滤器 java API
Hbase学习(三)过滤器 HBase 的基本 API,包括增.删.改.查等. 增.删都是相对简单的操作,与传统的 RDBMS 相比,这里的查询操作略显苍白,只能根据特性的行键进行查询(Get)或者根 ...
- 「一本通 1.4 例 2」[USACO3.2]魔板 Magic Squares
[USACO3.2]魔板 Magic Squares 题目背景 在成功地发明了魔方之后,鲁比克先生发明了它的二维版本,称作魔板.这是一张有8个大小相同的格子的魔板: 1 2 3 4 8 7 6 5 题 ...