ELK7.4.2安装教程

ELK简介

“ELK”是三个开源项目的首字母缩写，这三个项目分别是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。

更多参考：什么是 ELK Stack

一、环境准备

本教程所用系统为 CentOS7.7 ,建议使用 CentoOS7.4 及以上版本。

所用ELK版本为7.4.2。

修改主机名

方便区分主机与规范化管理，如果配置es集群环境，请配置正规DNS，或者在/etc/hosts文件中写入对应关系。

hostnamectl set-hostname node-1

重启主机

安装JKD1.8开发环境

虽然es7.x及以后版本自带JDK，此处安装是logstash也要用。如果不装logstash的话可选择跳过此步。

yum安装JKD1.8

yum install java-1.8.0-openjdk-devel

设置环境变量（无脑粘贴即可）

jh_pwd=`ls -d /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.*`
JAVA_HOME='$JAVA_HOME'
cat >> /etc/profile <<EOF
#set java environment
   JAVA_HOME=$jh_pwd
   JRE_HOME=$JAVA_HOME/jre
   CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
   PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
   export JAVA_HOME JRE_HOME CLASS_PATH PATH
EOF

使环境变量生效

source /etc/profile

修改文件与线程数限制limits.conf

cat >> /etc/security/limits.conf <<EOF
*               soft    nofile          65536
*               hard    nofile          65536
*               soft    nproc           4096
*               hard    nproc           4096
EOF

修改vm.max_map_count

sed -i '$a vm.max_map_count=655360' /etc/sysctl.conf

下载安装包

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.rpm

二、安装ELK(无认证)

生产环境下请配置传输加密与安全认证

rpm包自动安装

此方法可以用systemctl方式启动服务，方便管理。

rpm -ivh elasticsearch-7.4.2-x86_64.rpm
rpm -ivh kibana-7.4.2-x86_64.rpm
rpm -ivh logstash-7.4.2.rpm

创建数据目录并设置权限

rpm安装完es,会自动创建elasticsearch用户与用户组，无需手动创建。

mkdir -p /data/es-data
chown -R elasticsearch:elasticsearch /data/es-data/

调整JVM内存

此处为将1g改为8g,可设置为物理内存的一半or more

sed -i 's/-Xms1g/-Xms8g/g' /etc/elasticsearch/jvm.options
sed -i 's/-Xmx1g/-Xmx8g/g' /etc/elasticsearch/jvm.options

编辑es配置文件

注释掉默认数据目录

sed -i 's/path.data/#path.data/g' /etc/elasticsearch/elasticsearch.yml

追加自定义配置，根据自己需求更改集群及节点名称

cat >> /etc/elasticsearch/elasticsearch.yml <<EOF
#------开始定义------
#集群名
cluster.name: my-es
#node名
node.name: node-1
#数据目录
path.data: /data/es-data
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.initial_master_nodes: ["node-1"]
EOF

启动es

systemctl enable elasticsearch
systemctl start elasticsearch

验证es

访问http://xxx:9200 会出现如下类似response。

如果启动faided,可查看/var/log/elasticsearch/my-es_server.json进行排错

{
  "name" : "node-1",
  "cluster_name" : "my-es",
  "cluster_uuid" : "CxiYplRUTB-CxFF_3OYZWA",
  "version" : {
    "number" : "7.4.2",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "2f90bbf7b93631e52bafb59b3b049cb44ec25e96",
    "build_date" : "2019-10-28T20:40:44.881551Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

修改kibana配置文件

cat >> /etc/kibana/kibana.yml <<EOF
#----customed----:
server.port: 5601
server.host: "0.0.0.0"
kibana.index: ".kibana"
elasticsearch.hosts: "http://localhost:9200"
EOF

启动kibana

systemctl enable kibana
systemctl start kibana

访问http://xxx:9200 即可访问kibana管理界面

关于logstash

相关参考：logstash启动失败的问题追查

ls /etc/logstash/
conf.d  jvm.options  log4j2.properties  logstash-sample.conf  logstash.yml  pipelines.yml  startup.options

logstash服务中，会去pipelines.yml中过滤数据，但这个文件的内容其实指向的是conf.d这个目录，因此我们要在conf.d目录下创建好配置文件，以备logstash服务来对数据进行使用。

systemctl enable kibana
systemctl start kibana

排错可查看/var/log/logstash/logstash-plain.log