侧边栏壁纸
博主头像
JamKing工作站

行动起来,活在当下

  • 累计撰写 23 篇文章
  • 累计创建 3 个标签
  • 累计收到 3 条评论

目 录CONTENT

文章目录
ELK

ELK实战

JamKing
JamKing
2025-11-12 / 0 评论 / 0 点赞 / 12 阅读 / 0 字

1、前置环境

1.1下载地址

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.0-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.10.0-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.10.0-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.10.0-linux-x86_64.tar.gz

1.2 系统优化

useradd elastic
#增加最大文件打开数
echo "* soft nofile 65536" >> /etc/security/limits.conf
echo "* hard nofile 65535" >> /etc/security/limits.conf
#增加最大进程数
echo "* soft nproc 65536" >> /etc/security/limits.conf
#增加最大内存映射数
echo "vm.max_map_count=262144" >> /etc/sysctl.conf

sysctl -p
#退出当前会话,重新连接服务器

2、部署elasticsearch

2.1 解压elasticsearch

tar xf elasticsearch-7.10.0-linux-x86_64.tar.gz -C /data
mv /data/elasticsearch-7.10.0 /data/elasticsearch
mkdir -p /data/elasticsearch/data
chown -R elastic:elastic /data/elasticsearch

2.2 编辑yml配置文件

vim /data/elasticsearch/config/elasticsearch.yml

cluster.name: dev-elk
node.name: ELK
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
network.host: 0.0.0.0
http.port: 9200
transport.tcp.port: 9300
#单节点模式,集群模式为cluster.initial_master_nodes: ["172.16.10.132","172.16.10.xxx","172.16.10.xxx"] 
cluster.initial_master_nodes: ["172.16.10.132"]
http.cors.enabled: true
http.cors.allow-origin: "*"

image-xIaP.png

2.3 启动elasticsearch

su elastic -c "/data/elasticsearch/bin/elasticsearch &"

2.4 验证elasticsearch

image-JKIP.png

3、部署logstash

3.1 解压logstash

tar xf logstash-7.10.0-linux-x86_64.tar.gz -C /data/
mv /data/logstash-7.10.0 /data/logstash
mkdir -p /data/logstash/data/sincedb
cp /data/logstash/config/logstash-sample.conf /data/logstash/config/logstash.conf

3.2 编辑conf配置文件

vim /data/logstash/config/logstash.conf

input {
  file {
    #测试监听es的日志
    path => "/data/elasticsearch/logs/*.log"
    #从文件末尾开始,只读取新增的内容(适合已经运行的日志)
    start_position => "beginning"
    sincedb_path => "/data/logstash/data/sincedb"
  }
}

output {
  elasticsearch {
    hosts => ["http://172.16.10.132:9200"]
    index => "dev-logs-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}

3.3 启动logstash

/data/logstash/bin/logstash -f /data/logstash/config/logstash.conf

3.4 验证logstash

正常启动

image-wNcn.png

验证索引

curl -X GET "http://172.16.10.132:9200/_cat/indices?v"

#可以看到日志索引已经成功生成了

image-LHVt.png

4、部署kibana

4.1 解压kibana

tar xf kibana-7.10.0-linux-x86_64.tar.gz -C /data/
mv /data/kibana-7.10.0-linux-x86_64 /data/kibana

4.2 编辑yml配置文件

vim /data/kibana/config/kibana.yml

server.port: 5601
server.host: "172.16.10.132"
elasticsearch.hosts: ["http://172.16.10.132:9200"]
kibana.index: ".kibana"
i18n.locale: "zh-CN"

4.3 启动kibana

/data/kibana/bin/kibana --allow-root &

4.4 验证kibana

image-XcUD.png

浏览器访问

http://172.16.10.132:5601/

image-WuEb.png

5、验证采集日志索引

5.1 创建索引模式

image-zyrq.png

image-iqJR.png

image-ZtrU.png

image-VgZt.png

image-RWhJ.png

5.2 选择可视化索引

image-OmJN.png

image-NEnI.png

此时,已经可以看到采集的elasticsearch所有日志

image-hZrq.png

5.3 比对日志一致性

image-CtUK.png

image-xNcy.png

写入一条任意文本

echo "test txt" >> /data/elasticsearch/logs/dev-elk.log

image-TvUY.png

点击kibana刷新

image-KtDa.png

image-oyhP.png

0

  1. 支付宝打赏

    qrcode alipay

  2. 微信打赏

    qrcode weixin
版权归属: JamKing
本文链接: https://jamkingws.top/archives/elkshi-zhan
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区