ELK 安装

ELK 是 Elasticesarch Logstash kibana  三个开源软件

Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。

建立集中的日志收集系统 然后将节点上的日志 统一收集

重点 知识总结

Elasticesarch 端口9200 9300 对外 和对内

1. 先做一个简单的优化 最大打开数 和最大进程数管理访问

ulimit -n 查看是否更改成功

临时修改
ulimit -SHn 65535

永久修改

vim /etc/securitry/limits.conf

在最后一行加上（soft软限制 hard是硬限制）
* soft nofile 65535（最大打开文件数）
* hard nofile 65535
--------------------------
* soft nproc 65535（最大打开进程数）
* hard nproc 65535

　如图：

2. 安装 jdk环境

 rpm -ivh jdk-8u131-linux-x64_.rpm

　　

3. 查看jdk的版本 看看有没有配置成功

[root@localhost ~]# java -version
java version "1.8.0_131"
Java(TM) SE Runtime Environment (build 1.8.0_131-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)

如果是下面这种 说明这是自带的角度看环境 如果想用自己的角度看环境需要删除自带的
[root@localhost ~]# java -version
openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)
删除演示 ：

[root@localhost ~]# rpm -qa |grep java
javapackages-tools-3.4.1-11.el7.noarch
java-1.7.0-openjdk-headless-1.7.0.191-2.6.15.5.el7.x86_64
java-1.8.0-openjdk-1.8.0.181-7.b13.el7.x86_64
python-javapackages-3.4.1-11.el7.noarch
java-1.8.0-openjdk-headless-1.8.0.181-7.b13.el7.x86_64
java-1.7.0-openjdk-1.7.0.191-2.6.15.5.el7.x86_64
tzdata-java-2018e-3.el7.noarch

2.

[root@localhost ~]# rpm -e --nodeps java-1.
java-1.7.0-openjdk java-1.8.0-openjdk
java-1.7.0-openjdk-headless java-1.8.0-openjdk-headless

[root@localhost ~]# rpm -e --nodeps java-1.8.0-openjdk
[root@localhost ~]# rpm -e --nodeps java-1.8.0-openjdk-headless
[root@localhost ~]# rpm -e --nodeps java-1.7.0-openjdk

3.检测一下 是不是删除完毕了

　　

4.安装 elasticsearch

rpm -ivh elasticsearch-6.6.0.rpm

　　

5.修改配置文件

vim /etc/elasticsearch/elasticsearch.yml

　　如图：

如果是集群 就更改

6. 重启一下

systemctl restart elasticsearch.service

　　

7.查看日志

tailf /var/log/elasticsearch/elasticsearch.log

查看端口是否存在netstat -lnpt|grep java

[root@localhost ~]# netstat -ntlp |grep java
tcp6 0 0 192.168.202.132:9200 :::* LISTEN 9352/java
tcp6 0 0 192.168.202.132:9300 :::* LISTEN 9352/java

　　

8.收集另外一台主机的日志  安装jdk

 rpm -ivh jdk-8u131-linux-x64_.rpm 　　

9.安装logstash-6.6.0.rpm

rpm -ivh logstash-6.6.0.rpmcd

cd  /etc/logstash/conf.d中编辑一个system.conf
vim system.conf
input {
　　file {
　　　　path => "/var/log/messages"
　　　　type => "system-log"
　　　　start_position => "beginning"
　　　　}
}

output {
　　elasticsearch {
　　　　　　hosts => "第一天ip:9200"
　　　　　　index => "system_log-%{+YYYY.MM.dd}"　　
　　　　　　　　　}
}

　　

10.给日志路径授权

chmod 777 /var/log/messages

　　

11.启动logstash

systemctl start logstash

　　

12.安装kibana

rpm -ivh kibana-6.6.0-x86_64.rpm

　

13.配置文件

vim etc/kibana/kibana.yml

　　如图：

14 启动服务

systemctl restart kibana
netstat -lnpt|grep node