安装ELK平台 7.3.0版本
0. 事前准备工作
0.1 防火墙
- 若是使用公网IP的话可以考虑关闭防火墙,或者放行相应端口
- 使用内网IP的话可以不用管防火墙
0.2 关闭SElinux
# setenforce 0
文件:/etc/selinux/config
SELINUX=disabled
0.3 内核优化
文件:/etc/security/limits.conf,在最后加入如下内容:
* soft nofile 65537
* hard nofile 65537
* soft nproc 65537
* hard nproc 65537
文件:/etc/security/limits.d/20-nproc.conf,修改如下内容:
* soft nproc 4096
文件:/etc/sysctl.conf,修改好后使用sysctl -p
生效
vm.max_map_count = 262144
net.core.somaxconn = 65535
net.ipv4.ip_forward = 1
0.4 软件准备
软件存放路径:/usr/local/src
- elasticsearch-7.3.0-x86_64.rpm
- filebeat-7.3.0-x86_64.rpm
- kibana-7.3.0-x86_64.rpm
- logstash-7.3.0.rpm
- openjdk-12_linux-x64_bin.tar.gz
0.5 规划
主机1:192.168.10.170,安装有nginx,filebeat,kibana
主机2:192.168.10.102,安装有logstash,elasticsearch,kibana,java
后期考虑:
- 使用多台主机搭建elasticsearch集群
- 使用elasticsearch-head监控elasticsearchz状态,设置密码
- 访问kibana使用nginx代理进行访问,kibana配置文件监听本机ip,kibana设置访问密码
- filenbeat与logstash进行ssl安全通信
- Heartbeat检测
- elasticsearch-certutil安全,设置密码
0.6 日志路径流程
nginx程序产生日志,filebeat配置文件中获取该日志,并把日志输出给logstash,logstash把日志输出给elasticsearch,使用kibana构建索引展示出来。
1. 配置java环境
# cd /usr/local/src
# tar -zxv -f openjdk-12_linux-x64_bin.tar.gz -C /usr/local/
# vim /etc/profile
export JAVA_HOME=/usr/local/jdk-12
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
# source /etc/profile
# ln -s /usr/local/jdk-12/bin/java /usr/bin/java
# java -version
openjdk version "12" 2019-03-19
OpenJDK Runtime Environment (build 12+33)
OpenJDK 64-Bit Server VM (build 12+33, mixed mode, sharing)
2. Elasticsearch
2.1 安装
# rpm -Uvh elasticsearch-7.3.0-x86_64.rpm
# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service
2.2 测试
# 测试
# curl -X GET http://localhost:9200
3. Kibana
3.1 安装
# rpm -Uvh kibana-7.3.0-x86_64.rpm
# systemctl daemon-reload
# systemctl enable kibana.service
# systemctl start kibana.service
3.2 配置文件修改
# 默认配置文件路径
# /etc/kibana/kibana.yml
server.host: "192.168.10.102" # 能够访问kibana的ip,此处设置公网IP直接本机访问
elasticsearch.hosts: ["http://localhost:9200"] # 关联的elasticsearch,多个的话中间用逗号隔开
i18n.locale: "zh-CN" # web界面使用中文
3.3 测试
# 测试
打开浏览器,输入地址:http://192.168.10.102:5601 进行访问
4. Logstash
4.1 安装
# rpm -Uvh logstash-7.3.0.rpm
# systemctl daemon-reload
# systemctl enable logstash.service
# systemctl start logstash.service
4.2. 配置filebeat日志输出到logstash
注意:这一步不能直接修改logstash-sample.conf使用,需要在conf.d目录下创建conf文件使用,具体可以查看logstash日志文件
# /etc/logstash/logstash-sample.conf /etc/logstash/conf.d/nginx.conf
# vim /etc/logstash/conf.d/nginx.conf
input {
beats {
port => 5044
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
#user => "elastic"
#password => "changeme"
}
}
5. filebeat
5.1 安装
# rpm -Uvh filebeat-7.3.0-x86_64.rpm
# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service
5.2 配置文件
# vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /usr/local/openresty/nginx/logs/*.log
#output.elasticsearch:
# hosts: ["localhost:9200"]
output.logstash:
hosts: ["192.168.10.102:5044"]
6. nginx
忽略
7. 补充
7.1 通过nginx访问kibana
# /etc/kibana/kibana.yml
server.port: 5601
server.host: "127.0.0.1"
server.basePath: "/kibana"
# nginx.conf
location /kibana/ {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:5601;
rewrite ^/kibana/(.*)$ /$1 break;
}
重启nginx和kibana,然后就能使用http://ip/kibana进行访问了
延伸:
可以给nginx访问配置密码,进一步加强安全