ELK环境搭建完整说明

ELK环境搭建完整说明

ELK：ElasticSerach、Logstash、Kibana三款产品名称的首字母集合，用于日志的搜集和搜索。简单地理解为我们可以把服务端的日志（nginx、tomcat等）直接web化展示查看，十分方便。

本机环境说明：
    系统：centos7.5
    ElasticSerach：6.4.2
    Logstash：6.4.2
    Kibana：6.4.2
    Filebeat：6.4.2

部署情况简介

说明：图是直接搜索的网上的，其中nginx、elk这里都采用单机直接部署，所以ip相同，我这里为192.168.21.128。

流程说明

 1. 业务请求到达nginx-server机器上的Nginx；
 2. Nginx响应请求，并在access.log文件中增加访问记录；
 3. FileBeat搜集新增的日志，通过LogStash的5044端口上传日志；
 4. LogStash将日志信息通过本机的9200端口传入到ElasticSerach；
 5. 搜索日志的用户通过浏览器访问Kibana，服务器端口是5601；
 6. Kibana通过9200端口访问ElasticSerach；

安装java环境

因为ElasticSerach运行需要java环境支持，所以首先要配置java环境，具体操作方法自行百度吧，网上比较多。

下载ELK安装包

ELK官网：https://www.elastic.co/downloads

手动下载ELK安装的tag.gz文件，这里我们放入/usr/local/work/下，并解压缩，最终效果如下：

创建用户

因为ElasticSerach运行时不允许以root用户身份的，所以这里需要手动创建用户并分配权限，具体如下：

1. 创建用户组：groupadd elasticsearch
2. 创建用户加入用户组：useradd elasticsearch -g elasticsearch
3. 设置ElasticSerach文件夹为用户elasticsearch所有：chown -R elasticsearch.elasticsearch /usr/local/work/elasticsearch-6.4.2

系统设置部分

1. 打开文件/etc/security/limits.conf，添加下面4处内容：

   * soft nofile 65536
   * hard nofile 131072
   * soft nproc 2048
   * hard nproc 4096
   

2. 打开文件/etc/sysctl.conf，添加下面内容：

   vm.max_map_count=655360
   

3. 加载sysctl配置，执行命令：sysctl -p

4. 重启电脑，执行命令：reboot

启动ElasticSerach

1. 切换到用户elasticsearch：su elasticsearch
2. 进入目录/usr/local/work/elasticsearch-6.4.2
3. 执行启动命令：bin/elasticsearch -d，此时会在后台启动elasticsearch（如果启动报错没有权限的话，重新执行上面的chown那部分命令设置权限）
4. 查看启动日志可执行命令：tail -f /usr/local/work/elasticsearch-6.4.2/logs/elasticsearch.log
5. 执行curl命令检查服务是否正常响应：curl 127.0.0.1:9200，收到响应如下：

具体效果：

配置启动Logstash

1. 在目录/usr/local/work/logstash-6.4.2下创建文件default.conf，内容如下：

# 监听5044端口作为输入
input {
    beats {
        port => "5044"
    }
}
# 数据过滤
filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
    geoip {
        source => "clientip"
    }
}
# 输出配置为本机的9200端口，这是ElasticSerach服务的监听端口
output {
    elasticsearch {
        hosts => ["127.0.0.1:9200"]
    }
}

1. 后台启动Logstash服务：nohup bin/logstash -f default.conf –config.reload.automatic &
2. 查看启动日志：tail -f logs/logstash-plain.log，启动成功的信息如下：

Kibana

1. 打开Kibana的配置文件/usr/local/work/kibana-6.4.2-linux-x86_64/config/kibana.yml，找到下面这行：

#server.host: "localhost"

改成如下内容：

server.host: "192.168.21.128"

1. 进入Kibana的目录：/usr/local/work/kibana-6.4.2-linux-x86_64
2. 执行启动命令：nohup bin/kibana &
3. 查看启动日志：tail -f nohup.out
4. 在浏览器访问http://192.168.21.128:5601，看到如下页面：

注意：
    这里访问5601的时候可能访问不通，centos有自己的防火墙及端口限制，具体设置自行百度吧，很多的。

配置Filebeat，传送nginx日志至LogStash

1. 打开文件/usr/local/work/filebeat-6.4.2-linux-x86_64/filebeat.yml，找到如下图的位置并设置：

1. 继续修改filebeat.yml文件，找到下图中的内容并设置：

1. 启动FileBeat：nohup ./filebeat -e -c filebeat.yml -d "publish" &

验证kibana是否能显示nginx的日志

至此，环境搭建完成~