阿里云搭建elk

参考了阿里云搭建ELK日志平台安装过程。

系统环境

阿里云ECS 2C2G
CentOS 7.6
请确保机器配置至少4G！！！

配置秘钥

• 1、下载并安装公共签名密钥

[root@aliplay ~]# sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

• 2、在/etc/yum.repos.d/目录下新建一个elastic.repo文件

[root@aliplay ~]# vim /etc/yum.repos.d/elastic.repo

内容如下：

[elastic-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

安装filebeat

• 1、安装

[root@aliplay ~]# sudo yum install filebeat

• 2、配置开机启动

[root@aliplay ~]# sudo chkconfig --add filebeat

• 3、增加配置

[root@aliplay ~]# vim /etc/filebeat/filebeat.yml

改动内容如下：

- type: log
  enabled: true
  paths:
    - /data/logs/test_app/*.log

mock日志内容

可以创建刚才配置中的日志目录，并创建相应的文件，以配合后面的elastic search查询

• 4、重新启动

[root@aliplay ~]# /etc/init.d/filebeat restart
Restarting filebeat (via systemctl):                       [  确定  ]

安装elasticsearch

• 1、 安装

[root@aliplay ~]# yum install -y elasticsearch

• 2、 配置

[root@aliplay ~]# vim /etc/elasticsearch/elasticsearch.yml

改动内容如下：

# 集群名称
cluster.name: my-application
# 节点名称
node.name: node-1
# 网络设置
network.host: 0.0.0.0
http.port: 9200
# 集群设置
cluster.initial_master_nodes: ["node-1"]

• 3、 启动

# 启动
[root@aliplay ~]# systemctl start elasticsearch.service

# 开机自启
[root@aliplay ~]# systemctl enable elasticsearch.service

# 查看状态
[root@aliplay ~]# systemctl status elasticsearch.service
● elasticsearch.service - Elasticsearch
   Loaded: loaded (/usr/lib/systemd/system/elasticsearch.service; enabled; vendor preset: disabled)
   Active: active (running) since 二 2021-01-05 15:33:23 CST; 5s ago
     Docs: https://www.elastic.co
 Main PID: 1738 (java)
   CGroup: /system.slice/elasticsearch.service
           ├─1738 /usr/share/elasticsearch/jdk/bin/java -Xshare:auto -Des.networkaddress.cache.ttl=60 -Des.networkaddress.cache.negative.ttl=10 -XX:+AlwaysPreTouch -Xss...
           └─1893 /usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86_64/bin/controller

1月 05 15:33:11 aliplay systemd[1]: Starting Elasticsearch...
1月 05 15:33:23 aliplay systemd[1]: Started Elasticsearch.

• 4、设置外网访问
  
  要在阿里云控制台配置规则
  
  
  
  配置完成后访问如下链接http://你的阿里云外网地址:9200/

看到类似如下配置就对了

{
  "name" : "node-1",
  "cluster_name" : "my-application",
  "cluster_uuid" : "XXXXX",
  "version" : {
    "number" : "7.10.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "XXXXX",
    "build_date" : "2020-12-05T01:00:33.671820Z",
    "build_snapshot" : false,
    "lucene_version" : "8.7.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

• 5、试试看filebeat是否向elastic search吐出数据了
  
  访问如下链接

http://你的阿里云外网地址:9200/_cat/indices?v

如果看到如下信息，说明没问题了

health status index                             uuid                   pri rep docs.count docs.deleted store.size pri.store.size
yellow open   filebeat-7.10.1-2021.01.06-000001 Mc_rDSlhS1q8kQpvtbTlsQ   1   1          3            0     20.5kb         20.5kb

安装kibana

• 1、 安装

[root@aliplay ~]# sudo yum install kibana

• 2、 配置

[root@aliplay ~]# vim /etc/kibana/kibana.yml

改动内容如下：

server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
i18n.locale: "zh-CN"

• 3、启动

# 刷新服务配置
[root@aliplay ~]# systemctl daemon-reload
# 开机自启
[root@aliplay ~]# systemctl enable kibana.service
# 启动
[root@aliplay ~]# systemctl start kibana.service
# 查看状态
[root@aliplay ~]# systemctl status kibana.service

• 4、设置外网访问
  
  要在阿里云控制台配置规则
  
  

配置完成后访问如下链接http://你的阿里云外网地址:5601/

kibana的默认端口是5601

等loading图结束后，看到下面的界面就对了

如何在kibana中查看查询的语句

我们如果想要自己封装elastic search，想要参造kibana的查询语句，但是不知道查询条件咋写，怎么办？

可以按照下面顺序，找到：Inspect > Request，即可看到kibana发给els的请求体啦！