搭建ELK和EFK

公司突然发下任务让我搭建elk和efk，于是做完之后写入了博客，生产环境下，亲测可用哦

搭建ELK

一共两台服务器，一个节点（logstash）

主服务器上

修改最大链接和最大打开的文件

1、临时修改

ulimit -SHn 65535

永久修改

vim /etc/securitry/limits.conf

在最后一行加上（soft软限制 hard是硬限制）
* soft nofile 65535（最大打开文件数）
* hard nofile 65535
--------------------------
* soft nproc 65535（最大打开进程数）
* hard nproc 65535

2、安装jdk环境

rpm -ivh jdk-8u131-linux-x64_.rpm

3、验证是否安装成功

java -version

4、安装elasticsearch-6.6.0.rpm

rpm -ivh elasticsearch-6.6.0.rpm

可以直接安装rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

5、将elasticsearch设置成开机自启并启动

sudo systemctl enable elasticsearch.service
sudo systemctl start elasticsearch.service

6、查看端口是否存在

netstat -lnpt|grep java

7、修改配置文件

vim /etc/elasticsearch/elasticsearch.yml

#将network.host的IP修改一下，改为本机或0.0.0.0

networkhost:0.0.0.0

8.重启elasticsearch

sudo systemctl restart elasticsearch.service

9、查看日志

tailf /var/log/elasticsearch/elasticsearch.log

从服务器上

10、安装logstash-6.6.0.rpm

rpm -ivh logstash-6.6.0.rpm

或者用这个地址获取：curl -L -O https://artifacts.elastic.co/downloads/logstash/logstash-6.6.1.rpm

cd /etc/logstash/conf.d中编辑一个system.conf文件

vim system.conf
input {
file {
path => "/var/log/messages"
type => "system-log"
start_position => "beginning"
}
}

output {
elasticsearch {
hosts => "192.168.189.128:9200"
index => "system_log-%{+YYYY.MM.dd}"
}
}

里面的参数按情况来

11、给日志路径授权

chmod 777 /var/log/messages

12、.启动logstash

systemctl start logstash

主服务器上

13、安装kibana

rpm -ivh kibana-6.6.0-x86_64.rpm

或者用这个地址也可以：wgethttps://artifacts.elastic.co/downloads/kibana/kibana-6.6.1-linux-x86_64.tar.gz

14、修改配置文件

vim etc/kibana/kibana.yml

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://0.0.0.0:9200"]

r

注：配置文件按照公司要求来