ELK日志收集分析平台部署使用

一、ELK介绍

　　开源实时日志分析ELK平台能够完美的解决我们上述的问题，ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成：

1、ElasticSearch是一个基于Lucene的开源分布式搜索服务器。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是第二流行的企业搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

在elasticsearch中，所有节点的数据是均等的。

2、Logstash是一个完全开源的工具，它可以对你的日志进行收集、过滤、分析，支持大量的数据获取方法，并将其存储供以后使用（如搜索）。说到搜索，logstash带有一个web界面，搜索和展示所有日志。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

3、Kibana 是一个基于浏览器页面的Elasticsearch前端展示工具，也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。

二、ELK下载安装

注意：本文使用filebeat代替了logstash

第一步：下载下面的三个软件https://www.elastic.co/cn/products

[root@ren ~]# ls
elasticsearch-7.1.0-x86_64.rpm kibana-7.1.0-x86_64.rpm  filebeat-7.1.0-x86_64.rpm

第二步：下载java环境

[root@ren ~]# yum install java -y

第三步：安装ELK

[root@ren ~]# yum install elasticsearch-7.1.0-x86_64.rpm kibana-7.1.0-x86_64.rpm filebeat-7.1.0-x86_64.rpm   -y

三、filebeat配置

第一步：安装

[root@ren ~]# yum install filebeat-7.1.0-x86_64.rpm -y

第二步：配置filebeat

第三步：启动filebeat

[root@ren ~]# systemctl restart filebeat

四、elasticsearch启动

第一步：启动

[root@ren ~]# systemctl restart elasticsearch

五、kibana启动

第一步：修改监听地址

[root@ren ~]# vim /etc/kibana/kibana.yml
server.host: “192.168.64.4”

第二步：重启kibana

[root@ren ~]# systemctl restart kibana

查看所有端口

[root@ren ~]# ss -tnl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 192.168.64.4:5601 *:*
LISTEN 0 128 *:22 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 128 ::ffff:127.0.0.1:9200 :::*
LISTEN 0 128 ::1:9200 :::*
LISTEN 0 128 ::ffff:127.0.0.1:9300 :::*
LISTEN 0 128 ::1:9300 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*

六、浏览器访问kibana

第一步：输入服务器IP

指定kibana端口5601

七、ELK使用

第一步：输入filebeat

第二步：选择timestamp

第三步：点击discovery可以发现日志