一、软件版本

  1.jdk-8u211-linux-x64.rpm

  2.elasticsearch-6.8.1.rpm

  3.logstash-6.8.1.rpm

  4.kibana-6.8.1-x86_64.rpm

  5.winlogbeat-6.8.4-windows-x86_64   在windows服务器安装配置

说明:elasticsearch做集群   主机1:192.168.1.102 主机2:192.168.1.104

     logstash和kibana安装在主机1上

二、安装软件

  2.1 主机1和主机2:jdk-8u211-linux-x64.rpm和elasticsearch-6.8.1.rpm 并配置elasticsearch

    说明:elasticsearch依赖jdk环境,所以先安装jdk-8u211-linux-x64.rpm

    yum -y localinstall  jdk-8u211-linux-x64.rpm

            yum -y localinstall  elasticsearch-6.8.1.rpm

        

  创建数据目录和日志目录及权限修改
  [root@linux-elk1 ~]# mkdir -p /elk/{data,logs}
  [root@linux-elk1 ~]# chown elasticsearch.elasticsearch /elk/ -R

  修改内存限制,内存锁定需要进行配置需要2g以上内存,否则会导致无法启动elasticsearch。
  [root@linux-elk1 ~]# vim /usr/lib/systemd/system/elasticsearch.service
  在[Service]下加入下面这行内容
  LimitMEMLOCK=infinity

  [root@linux-elk1 ~]# vim /etc/elasticsearch/jvm.options
  -Xms2g
  -Xmx2g #最小和最大内存限制.

        编辑配置文件:vim /etc/elasticsearch/elasticsearch.yml 

  [root@logsystem src]# grep -v "^#" /etc/elasticsearch/elasticsearch.yml
  cluster.name: my-log
  node.name: node-1
  path.data: /elk/data
  path.logs: /elk/logs
  network.host: 192.168.1.102
  http.port: 9200
  discovery.zen.ping.unicast.hosts: ["192.168.1.102","192.168.1.104"]

  设置开机启动
  systemctl enable elasticsearch.service

  systemctl daemon-reload
  systemctl start elasticsearch.service

  查看状态
  systemctl status elasticsearch.service

  正在运行,查看端口
  ss -tnl

  

  查看信息,也是一种检测。若能出现如下信息,则说明配置正确
  curl http://192.168.1.102:9200

  

  

  集群有状态: green ,red , yellow
  绿色表示一切是好的(集群功能齐全)
  黄色意味着所有数据是可用的,但是一些副本尚未分配(集群功能齐全)
  红色意味着一些数据不可用
  即使一个集群是红色的,它仍然是部分功能(即它将继续搜索请求从服务可用的碎片)但是你可能需要尽快修复它,因为你有缺失的数据。

  Restful API:
  四类API
  1. 检查集群,节点,索引等健康与否,以及获取其相应状态
  2.管理集群,节点,索引及元数据
  3.执行CRUD操作
  4.执行高级操作,如paging ,filtering等

  ES访问接口:9200/tcp

  语法:
  curl -X<VERB> '<PROTOCOL>://host:port/<PATH>?QUERY_STRING/' -d '<BODY>'

  查看elasticsearch相关信息 json格式的
  [root@logsystem ~]# curl http://192.168.1.102:9200/_cluster/health?pretty=true
  {
  "cluster_name" : "elasticsearch",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 0,
  "active_shards" : 0,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
  }

  [root@logsystem ~]# curl -X GET http://192.168.1.102:9200/_cat/nodes?v
  ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
  192.168.1.102 7 95 1 0.00 0.01 0.05 mdi * node-1

  [root@logsystem ~]# curl -X GET http://192.168.1.102:9200/_cat/indices?help

  [root@logsystem ~]# curl -X GET 'http://192.168.1.102:9200/_cluster/state/version?pretty'
  {
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "qKuBK9TlQ3G-Rj6IFAXzTQ",
  "version" : 16,
  "state_uuid" : "SzhdF4PvRIGFbwlI_PD_cg"
  }

  2.2主机1: logstash-6.8.1.rpm 并配置

   wget https://artifacts.elastic.co/downloads/logstash/logstash-6.8.1.rpm

   yum -y localinstall  logstash-6.8.1.rpm

  [root@logsystem ~]cd /etc/logstash/conf/

  vim system-log.conf 

  input{

    beats{
    add_field => {"myid"=>"windows_log"}
    port => 5044
  }
    beats {
    add_field => {"myid"=>"nginx_log"}
    port => 5400
    }
  stdin{}
  }

  output{
    if [myid] == "windows_log"{
      elasticsearch{
      hosts=>"192.168.1.102:9200"
      index=>"%{type}-%{+YYYY-MM-dd}"
      }
  }
  if [myid] == "nginx_log"{
      elasticsearch{
      hosts=>"192.168.1.102:9200"
      index=>"nginx_pj_log-%{+YYYY-MM-dd}"
      }
      }
  stdout{ codec=>rubydebug }
  }

  启动logstash:

    [root@logsystem src]# nohup logstash -f /etc/logstash/conf.d/server_log.conf & 

  测试配置文件是否有语法错误:
  [root@logsystem ~]logstash -f /etc/logstash/conf/system-log.conf

  数据类型
  Array: [item1,item2,...]
  Boolean: true,false
  Bytes:
  Codec: 编码器
  Hash: key=>value
  Number:
  Password:
  Path:文件系统路径
  String:字符串
  字段引用 []
  条件判断: == ,!=,<,>, in ,not in ,and,or ....

  常用imput Plugin
  imput插件:
  File :从指定的文件中读取事件流,按行来标记一个事件。
  使用FileWatch(Ruby开发)来监听文件是否变化; .sincedb保存文件的相关信息数据库中。

  [root@logsystem logstash]# rpm -ql logstash |grep "patterns" 查找pattern

elasticsearch服务收到数据验证:

  2.3主机1:安装配置kibana   

  [root@logsystem src]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.8.1-x86_64.rpm
  安装
  [root@logsystem src]# yum localinstall kibana-6.8.1-x86_64.rpm -y 

  配置
  [root@logsystem src]# vim /etc/kibana/kibana.yml
  server.port: 5601 #监听端口
  server.host: "192.168.1.102" #监听地址
  elasticsearch.hosts: ["http://192.168.1.102:9200"] #elasticsearch服务器地址
  i18n.locale: "zh-CN" #修改中文

  [root@logsystem src]# systemctl start kibana
  [root@logsystem src]# systemctl enable kibana

查看服务

访问:http://192.168.1.102:5601

  2.4 收集服务器日志上安装winlogbeat-6.8.4-windows-x86_64

  解压到 C:\Program Files

  重新命名文件夹为winlogbeat
  用管理员身份打开windows的 powershell
  运行以下命令来安装服务
  PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
  PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1

  不能安装时,令来关闭一些安全防护,输入命令后按Y确认
  PS C:\Program Files\Winlogbeat> set-executionpolicy remotesigned
  PS C:\Program Files\Winlogbeat> set-executionpolicy Bypass

winlogbeat.yml 配置文件修改:

  winlogbeat.event_logs:
  - name: Application #应用程序事件;
  ignore_older: 8h #忽略8小时后的日志,初次启用传日志很有用;
  provider: #过虑源yml列表
  - Application Error
  - Application Hang
  - Windows Error Reporting
  - name: Security #安全日志
  ignore_older: 8h
  event_id: 4624, 4625, 4700-4800, -4735 #事件ID 匹配中事件ID发送
  - name: System #系统日志
  ignore_older: 8h

  检查配置语法
.  \winlogbeat.exe test config -c .\winlogbeat.yml -e

  启动winlogbeat
  C:\Program Files\Winlogbeat> Start-Service winlogbeat

  Windlogbeat基本配置 

  1.配置发送日志到logstash
  output.logstash:
  # The Logstash hosts
  hosts: ["10.10.10.10:5044"]
  2.配置发送日志到elasticsearch
  output.elasticsearch:
  hosts: ["10.10.10.10:9200"]
  template.name: "winlogbeat"
  template.path: "winlogbeat.template.json"
  template.overwrite: false

坑1:插件存放路径
报错:
org.elasticsearch.bootstrap.StartupException: java.lang.IllegalArgumentException: Property [elasticsearch.version] is missing for plugin [head]
        at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:125) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:112) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.cli.SettingCommand.execute(SettingCommand.java:54) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:122) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.cli.Command.main(Command.java:88) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:89) ~[elasticsearch-5.2.2.jar:5.2.2]
        at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:82) ~[elasticsearch-5.2.2.jar:5.2.2]

原因:新版本的elasticsearch不允许插件放入/usr/share/elasticsearch/plugins 目录下。(插件bigdesk,head ...)
解决:把插件移到其它目录即可

  

ELK收集windows服务器日志笔记的更多相关文章

  1. salt收集windows服务器日志时间

    定义收集时间区间: time.ps1 $a = get-date $b = $a.adddays(-) $c = $b.tostring('yyyy-MM-dd') $d = get-date -fo ...

  2. elk收集windows日志

    参考网站:https://www.secpulse.com/archives/55636.html https://blog.csdn.net/qq_38094271/article/details/ ...

  3. ELK收集Nginx自定义日志格式输出

    1.ELK收集日志的有两种常用的方式: 1.1:不修改源日志格式,简单的说就是在logstash中转通过 grok方式进行过滤处理,将原始无规则的日志转换为规则日志(Logstash自定义日志格式) ...

  4. 带你了解zabbix整合ELK收集系统异常日志触发告警~

    今天来了解一下关于ELK的“L”-Logstash,没错,就是这个神奇小组件,我们都知道,它是ELK不可缺少的组件,完成了输入(input),过滤(fileter),output(输出)工作量,也是我 ...

  5. ELK收集Nginx|Tomcat日志

    1.Nginx 日志收集,先安装Nginx cd /usr/local/logstash/config/etc/,创建如下配置文件,代码如下 Nginx.conf input { file { typ ...

  6. 搭建ELK收集PHP的日志

    架构: filebeat --> redis -->logstash --> es --> kibana 每个客户端需要安装filebeat收集PHP日志 filebeat把收 ...

  7. elk收集tomcat的日志

    logstash收集tomcat的日志 不要修改下tomcat中server.xml的日志格式,否则tomcat无法启动,试过多次,不行,就用自带的日志让logstash去收集 首先给tomcat日志 ...

  8. ELK收集tomcat访问日志并存取mysql数据库案例

    这个案例中,tomcat产生的日志由filebeat收集,然后存取到redis中,再由logstash进行过滤清洗等操作,最后由elasticsearch存储索引并由kibana进行展示. 1.配置t ...

  9. ELK收集tomcat状态日志

    1.先查看之前的状态日志输出格式:在logs/catalina.out这个文件中 最上面的日志格式我们可能不太习惯使用,所以能输出下面的格式是最好的,当然需要我们自定义日志格式,接下来看看如何修改 2 ...

随机推荐

  1. 一款简单的C++猜数字游戏(新手必学)

    前言本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理.作者:1只小弛 废话不多说,直接上代码! #include<bits/s ...

  2. 一文讲透Dubbo负载均衡之最小活跃数算法

    本文是对于Dubbo负载均衡策略之一的最小活跃数算法的详细分析.文中所示源码,没有特别标注的地方均为2.6.0版本. 为什么没有用截止目前的最新的版本号2.7.4.1呢?因为2.6.0这个版本里面有两 ...

  3. 基于STM32 HID 游戏手柄开发调试

    stm32自带usb接口,非常适合做hid设备,免驱开发也很方便. 使用stm32通过正确的报告描述符配置后,插入usb,电脑正确识别如下(设备和打印机) 可以通过右键,游戏控制器设置 通过选择属性 ...

  4. InputStream 读取中文乱码 扩展

    对于InputStream读取中文乱码,下面这段话给出了很好的解释,以及后续编码上的扩展. BufferedInputStream和BufferedOutputStream是过滤流,需要使用已存在的节 ...

  5. Python3 类与对象

    目录 面向对象基础 面向过程编程 面向对象编程 类 什么是类 如何定义类 类的基本操作 对象 实例化对象 对象添加特有属性 对象与类的查找顺序 对象的绑定方法 面向对象基础 面向过程编程 面向过程的核 ...

  6. 【MobX】MobX 简单入门教程

    一.MobX 介绍 首先看下官网介绍: MobX 是一个经过战火洗礼的库,它通过透明的函数响应式编程(transparently applying functional reactive progra ...

  7. java虚拟机运行内存图

    首先针对8种常见数据类型(byte,short,int,long,double,float,char,boolean),还有String,他们在类对象被引用的时候,把数据类型存放在栈中,而常量则放在常 ...

  8. TOMCAT_server.xml

    该文件描述了如何启动Tomcat Server <Server>    <Listener />    <GlobaNamingResources>    < ...

  9. python之MiniWeb框架

    以往,我们多完成的是静态web服务器,主要处理的都是一些已经‘写死’的数据,那么今天,我们来学习一下动态数据的处理. 说到动态数据,我们就需要了解一个东西,那就是web框架. 所谓web框架简单地说就 ...

  10. Centos7上离线搭建PHP-7.2.26

    一.下载php源安装包,解压至/home/php目录下 下载地址:https://www.php.net/distributions/php-7.2.26.tar.gz [root@localhost ...