前言
最近在linux下搭建了一套ELK环境,ELK简单来说,ElasticSearch 作为搜索引擎存储数据,Logstash 负责收集数据并输出给ElasticSearch ,Kibana 可以理解为elasticsearch的显示面板。
本文搭建的ELK环境,主要用来收集应用系统的日志,是单机版;如果想升级成集群版,可以将ElasticSearch 部署成集群,哪个服务器需要采集数据就安装Logstash, 显示面板Kibana可以只安装在一个服务器节点即可。
准备工作
1.安装jdk
由于ElasticSearch 需要 JDK 环境,所以要提前安装好 JDK 。另外,可能jdk的安装路径各有不同,所以可以提前给jdk建立一个软连接 (否则elasticSearch启动时会报错)。
which java
如果结果不是上图显示,可以执行一下命令
ln -s 执行which java所显示的路径 /usr/bin/java
2.创建ES用户
通常 ElasticSearch 及kibana 都是不用root去启动的,所以这里创建一个新用户 ES。
useradd es
passwd es
创建完用户之后,要对其进行授权。下面的 elk安装 ,我专门建了一个 文件夹,然后将该文件夹授权给ES用户,如果操作过程中不小心忘了赋权限,执行不了启动命令,就再授权一下。
[root@ELK-slave home]# cd /usr/local/
[root@ELK-slave local]# mkdir elk
[root@ELK-slave local]# chown -R es:es /usr/local/elk
下面进行安装 ,注意一点,3个软件这里都是通过安装包进行部署的,要注意版本的一致性。下面安装时,可切换到 es用户。
ElasticSearch
在 /usr/local/elk/ 下建立 es文件夹,下载安装包,并解压
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.6.2-linux-x86_64.tar.gz
解压完成后,修改配置文件。配置中要指定数据和日志路径,所以我提前建好文件夹。
修改config目录下的elasticsearch.yml文件,加入以下内容(单机配置)
cluster.name: es
node.name: node-1
path.data: /usr/local/elk/es/data
path.logs: /usr/local/elk/es/log
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["192.168.179.129"]
cluster.initial_master_nodes: ["node-1"]
http.cors.enabled: true
http.cors.allow-origin: "*"
配置完成后,执行启动命令
nohup ./elasticsearch > /usr/local/elk/es/run.log 2>&1 &
查看运行日志,并访问对应的链接,http://192.168.179.129:9200/
到这里,就启动成功了。
其实在启动时,可能会报虚拟内存不足、最大文件数太小等问题,所以如果启动失败,可以进行以下配置
1.切换root用户 ,编辑 limits.conf (vi /etc/security/limits.conf),末尾加入以下内容
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096
2.切换root用户,修改 sysctl.conf (vi /etc/sysctl.conf),加入如下配置
vm.max_map_count=655360
并执行以下命令,使配置生效。
sysctl -p
完成上述配置后,切换到es用户,重新启动。
Logstash
在 /usr/local/elk/ 下建立 logstash文件夹,下载安装包,并解压
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.6.2.tar.gz
logstash通过 input采集数据,output 输出数据,并且支持过滤功能。输入、输出都支持多种插件,如标准输入、文件输入、kafka 等,输出包括 elasticsearch 、文件,kafka等等。
为方便,先使用 标准输入输出查看下效果,进入bin目录,执行以下命令
./logstash -e 'input { stdin{} } output { stdout{} }'
我们的目的是输出到 elasticsearch ,所以使用 标准输入,并输出到 elasticsearch 再测试一下
./logstash -e 'input { stdin{} } output { elasticsearch { hosts => ["192.168.179.129:9200"] } }'
输入字符,然后查看对应的elasticsearch中是否存在
至此,说明logstash输出到 elasticsearch没有问题,这时可以进行正式配置了。logstash启动时,输入、输出的配置都通过配置文件来定义,进入config 目录,创建 springboot-logstash.conf文件。
这里要采集系统应用的日志,输入采用 文件方式,修改 springboot-logstash.conf 配置
input {
file {
path => "/usr/local/activity/info.log"
type => "activity"
start_position => "beginning"
}
file {
path => "/usr/local/activityapi/info.log"
type => "activityapi"
start_position => "beginning"
}
}
output {
if [type] == "activity" {
elasticsearch {
hosts => ["192.168.179.129"]
index => "activity-%{+YYYY.MM.dd}"
}
} else if [type] == "activityapi" {
elasticsearch {
hosts => ["192.168.179.129"]
index => "activityapi-%{+YYYY.MM.dd}"
}
}
}
执行启动命令
nohup ./logstash -f ../config/springboot-logstash.conf --config.reload.automatic 2>&1 &
不同的应用(activity、activityapi),建立了不同的索引,并以日为单位做分割,可以查看elasticsearch的索引情况
此时,logstash启动成功
Kibana
在 /usr/local/elk/ 下建立 kibana文件夹,下载安装包,并解压
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.6.2-linux-x86_64.tar.gz
修改配置文件
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://192.168.179.129:9200"]
然后启动即可,注意,不能使用root用户启动,切换到es用户
nohup ./kibana &
启动之后,访问 链接 http://192.168.179.129:5601/
简单使用
kibana安装之后,做一下配置就可以使用了,先找到管理页面,点击 Index Patterns
第一步,定义的 index pattern ,其实和 elasticsearch 对应的 index有关,比如上文中 activity 的日志,都是以 activity- 为前缀,我定义 activity-* ,就可以匹配对应的所有日期下的日志
第二步,点击保存
同理,我对 activityapi 也配置对应的 index pattern,activityapi* 。文章来源:https://www.toymoban.com/news/detail-413988.html
然后点击discover版块,可以看到对应的数据
我们可以通过切换对应 的index pattern ,来查看相关的日志
这就相当于,有了一个实时可视化的tail -f 日志工具,并且支持内容搜索。
至此,单机版的ELK环境就搭建完成了。文章来源地址https://www.toymoban.com/news/detail-413988.html
到了这里,关于ELK单机环境搭建的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
