Logstash: Logstash服務的元件，用於處理傳入的日誌。

Elasticsearch: 儲存所有日誌

Kibana : 用於搜尋和視覺化的日誌的Web介面，通過nginx反代

Logstash Forwarder: 安裝在將要把日誌傳送到logstash的伺服器上，作為日誌轉發的道理，通過  lumberjack 網路協議與 Logstash 服務通訊


下載地址

elasticsearch    https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz
kibana    https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz
Logstash    https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz

 

一、安裝JDK

下載地址
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

#解壓到 /usr/java/jdk1.8.0_162

vim /etc/profie 在尾部新增以下內容
#JDK 1.8
export JAVA_HOME=/usr/java/jdk1.8.0_162
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
 

立即生效配置檔案執行命令

[email protected]:~# source /etc/profil

[email protected]:~# java -version
java version "1.8.0_162"
Java(TM) SE Runtime Environment (build 1.8.0_162-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.162-b12, mixed mode)

二、elasticsearch安裝

1.解壓elasticsearch

[email protected]
 
:~# tar xvf elasticsearch-6.2.3.tar.gz -C /usr/local/elk/

2.建立elasticsearch使用者

[email protected]:~# adduser elasticsearch

3.elasticsearch目錄許可權修改

[email protected]:~# chown -R elasticsearch.elasticsearch /usr/local/elk/elasticsearch-6.2.3

4.修改limits.conf (檔案限制著使用者可以使用的最大檔案數，最大執行緒，最大記憶體等資源使用量)

[email protected]:~# vim /etc/security/limits.conf 
#新增以下內容
* soft nofile 262144
* hard nofile 262144
elasticsearch soft memlock unlimited
elasticsearch hard memlock unlimited

5.修改sysctl.conf(核心的執行引數)

[email protected]:~# vim /etc/sysctl.conf
net.ipv4.conf.all.arp_notify = 1
#更改linux一個進行能擁有的最多的記憶體區域要求
vm.max_map_count=262144
#更改linux禁用swapping
vm.swappiness = 1

#載入sysctl配置，執行命令
sysctl -p

6.elasticsearch配置檔案修改elasticsearch.yml

cluster.name: chuck-cluster #判別節點是否是統一叢集
node.name: ubuntu-elk-node1 #節點的hostname
path.data: /home/elk/es-data #資料存放路徑
path.logs: /home/elk/es-log #日誌路徑
bootstrap.mlockall: false #鎖住記憶體，使記憶體不會再swap中使用
network.host: 0.0.0.0 #允許訪問的ip
http.port: 9200 #埠

7.建立日誌資料目錄，並授權

[email protected]:~# mkdir -p /home/elk/es-data
[email protected]:~# mkdir -p /home/elk/es-log
[email protected]:~# chown -R elasticsearch.elasticsearch /home/elk/es-data
[email protected]:~# chown -R elasticsearch.elasticsearch /home/elk/es-log

su elasticsearch -l -c "/usr/local/elk/elasticsearch-6.2.3/bin/elasticsearch -d"

9.檢視執行狀態

[email protected]:~# netstat -lntup|grep 9200
tcp6       0      0 :::9200                 :::*                    LISTEN      1425/java 

三、安裝kibana

1.解壓kibana

tar xvf kibana-6.2.3-linux-x86_64.tar.gz -C /usr/local/elk/

2.修改kibana.yml配置檔案

server.port: 5601 kibana埠
server.host: "0.0.0.0"  對外服務的主機
elasticsearch.url:       "http://127.0.0.1:9200"
kibana.index: ".kibana  在elasticsearch中新增.kibana索引

3.啟動kibana 後臺執行加上&

/usr/local/elk/kibana-4.5.1-linux-x64/bin/kibana &

4.檢視執行狀態

[email protected]:~# netstat -lntup|grep 5601
tcp        0      0 0.0.0.0:5601            0.0.0.0:*               LISTEN      32358/node