

Maple's Blog.

Maple's Blog.

ELK 搭建



ELK 搭建

elk

字数统计: 2.1k阅读时长: 10 min

 2019/11/12   Share

• 
• 
• 
• 
• 

起因

• 项目需求
• 公司某位大佬有记录文档可以参考

ELK

ELK 平台是当前应用比较广泛的一套开源实时日志分析解决方案。ELK 由 ElasticSearch、Logstash 和 Kiabana 三个开源工具组成。

ELK = Elasticsearch + Logstash + Kibana

参考 & 下载地址: https://www.elastic.co/cn/products/

MacOS

Elasticsearch

Elasticsearch 是一个基于 JSON 的分布式搜索和分析引擎。

Kibana

Kibana 可谓 Elastic Stack 的窗户。探索数据并管理堆栈。

Beats

Beats 是一个面向轻量型采集器的平台，这些采集器可从边缘机器发送数据。

Logstash

Logstash 是动态数据收集管道，拥有可扩展的插件生态系统。

搭建 ELK

官网的下载的速度真的，还是提前下载好安装包备用

产品	下载地址 (Linux 64 bits)
Elasticsearch	https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-linux-x86_64.tar.gz
Kibana	https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-linux-x86_64.tar.gz
Beats	https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.4.2-linux-x86_64.tar.gz
Logstash	https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.tar.gz

1. 创建应用用户

教程有推荐创建一个新用户 elk-test 。但是创建用户就有一堆账户和权限问题需要操作，总的来看成本抬高了。

所以我这边打算安装在默认用户目录。

2. 安装 Java 运行环境

略

3. 安装 ELK

3.1 下载 ElasticSearch & 安装 x-pack

x-pack 用于安全认证，可以不安装

$: su elk-test
$: mkdir elk
$: cd elk/
$: wget http://pi.file.mpae.cc/%E5%AE%89%E8%A3%85%E5%8C%85/elk/elasticsearch-7.4.2-linux-x86_64.tar.gz
$: tar -xvf elasticsearch-7.4.2-linux-x86_64.tar.gz
$: mv elasticsearch-7.4.2 elasticsearch
$: cd elasticsearch
$: ./bin/elasticsearch-plugin install x-pack

得到 warning

future versions of Elasticsearch will require Java 11; your Java version from [/opt/jdk1.8.0_77/jre] does not meet this requirement
ERROR: this distribution of Elasticsearch contains X-Pack by default

1. Elasticsearch 未来需要 Java 11 支持
2. X-Pack 默认已安装

Elk 日志可视化管理系是目前比较主流的一套日志管理工具。对日志查找，阅读、收集都非常方便。所以今天的正文来了，今天文章的内容写的是 elk 的系统组件 x-pack。一个集安全、警报、监视、报告和图形功能于身的扩展，轻松开启或关闭那你想要的功能。

3.2 修改 JVM 内存参数

可以根据需求修改 config/jvm.options 的 jvm 内存参数。

Xm max 需要 4G

Xms1g
Xmm4g

3.3 修改监听端口和绑定地址

文件: config/elasticsearch.yml

参数: network.host

network.host: 192.168.3.242

3.4 启动 ElasticSearch

$: bin/elasticsearch

3.5证 ElasticSearch

curl http://elastic:changeme@192.168.3.242:9200

返回

{
  "name" : "vm-ubuntu-201",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "2CeztDYyTJ6XqLr9JRaR3Q",
  "version" : {
    "number" : "7.4.2",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "2f90bbf7b93631e52bafb59b3b049cb44ec25e96",
    "build_date" : "2019-10-28T20:40:44.881551Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

3.6 启动错误

以下是教程给的解决方案：

• max file descriptors

  • max file descriptors [65535] forelasticsearch process likely too low, increase to at least [65536]

  解决方案:

  • 修改文件 /etc/security/limits.conf，末尾增加如下内容:

• soft nofile 65536

  • hard nofile 65536

• max virtual memory

  • max virtual memory areas vm.max_map_count[65530] likely too low, increase to at least [262144]

  解决方案:

  • 修改文件 /etc/sysctl.conf
  • 设置参数 vm.max_map_count = 262144
  • 执行命令 sysctl -p

实际查阅资料，说是因为部署模式的问题，默认是作为服务器来部署的，而生产环境部署，会对环境的指标进行检查。我们可以通过修改部署模式，来关闭启动检查。

• 修改 config/elasticsearch.yml discovery.type 为 single-node
• discovery.type: single-node

改为单节点之后，启动正常。

4. 安装 Logstash

4.1 下载 Logstash

$ wget http://pi.file.mpae.cc/%E5%AE%89%E8%A3%85%E5%8C%85/elk/logstash-7.4.2.tar.gz
$ tar -xvf logstash-7.4.2.tar.gz
$ mv logstash-7.4.2 logstash
$ cd logstash 

4.2 测试 log

在 logstash 根目录创建配置文件 sample.conf

input {
	stdin {
		type => "syslog"
	}
}

filter {

}

output {
	elasticsearch {
		hosts       => "http://192.168.3.242:9200"
		user        => "elastic"
		password    => "changeme"
	}
	
	stdout {
		codec => rubydebug
	}
}

执行bin/logstash -f sample.conf

启动之后，输入以下内容:

Jan 19 12:28:31 elk-test sshd[13990]:pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=sshruser= rhost=92.246.190.31 user=root

别人测试的内容

返回

{
          "host" => "vm-ubuntu-201",
       "message" => "Jan 19 12:28:31 elk-test sshd[13990]:pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=sshruser= rhost=92.246.190.31 user=root",
    "@timestamp" => 2019-11-22T09:55:30.979Z,
      "@version" => "1",
          "type" => "syslog"
}

4.3 启动错误

• Logstash 启动缓慢

  • JVM 随机数生成参数配置错误问题

  推荐操作:

  • 修改文件 $JAVA_HOME/jre/lib/security/java.security
  • 设置参数 securerandom.source = file:/dev/urandom
  • 参考资料
    • https://github.com/elastic/logstash/issues/5491
    • https://docs.oracle.com/cd/E13209_01/wlcp/wlss30/configwlss/jvmrand.html
    • urandom = unblocked random 非堵塞随机数生成
    • 实际按照这个修改后，启动速度依然保持在 1 分钟以上

5 安装 Kibana

5.1 下载 Kibana & 安装 x-pack

$ wget http://pi.file.mpae.cc/%E5%AE%89%E8%A3%85%E5%8C%85/elk/kibana-7.4.2-linux-x86_64.tar.gz
$ tar -xvf kibana-7.4.2-linux-x86_64.tar.gz
$ cd xxx
$ mv kibana-7.4.2-linux-x86_64 kibana
$ cd kibana
$ ./bin/kibanna-plugin install x-pack

吐槽为了节省安装，直接把 node_modules 打包到服务里

Plugin installation was unsuccessful due to error “Kibana now contains X-Pack by default, there is no longer any need to install it as it is already present.”

5.2 配置访问 IP 和 ElasticSearch 地址

编辑 config/kibana.yml，配置 server.host 和 elasticsearch.url

# server.host: "localhost"
server.host: "192.168.3.242"

# elasticsearch.url: ["http://localhost:9200"]
elasticsearch.url: ["http://192.168.3.242:9200"]

5.3 启动 Kibana

$ ./bin/kibana

访问服务地址 http://192.168.3.242:5601/app/kibana

默认登录并没有要求我输入密码

5.4 修改中文

修改 kibana.yml 中的 i18n.locale为 zh-CN 。

英文弱鸡的福音

5.5 创建 index pattern

1. 进入 Kibana 设置页面， Configure an index pattern
2. Index Pattern 必须和 Logstash output 参数一致，Logstash 输出默认参数为 logstash-*

配置的前提是，这个 index 的日志先进入 ElastciSearch 之后，才能在 Kibana 上创建 Index。

6 安装 FileBeat

FileBeat 和 Logstash 区别:

• Logstash 兼顾收集日志 & 处理日志
• FileBeat 仅仅收集日志文件，并发送到 Logstash 开放的端口

有个概念是：当你开启 filebeat 程序的时候，它会启动一个或多个探测器（prospectors）去检测你指定的日志目录或文件，对于探测器找出的每一个日志文件，filebeat 启动收割进程（harvester），每一个收割进程读取一个日志文件的新内容，并发送这些新的日志数据到处理程序（spooler），处理程序会集合这些事件，最后 filebeat会发送集合的数据到你指定的地点。

• 检测日志时间间隔： 10s
  • 修改地址: filebeat.yml 中的 # scan_frequency 字段

6.1 下载 & 安装

$ wget http://pi.file.mpae.cc/%E5%AE%89%E8%A3%85%E5%8C%85/elk/filebeat-7.4.2-linux-x86.tar.gz
$ tar -xf filebeat-7.4.2-linux-x86.tar.gz
$ mv filebeat-7.4.2-linux-x86 filebeat
$ cd filebeat

6.2 修改配置

修改的两个点，一个是 log ，配置 log 路径，另个是配置 Logstash 的信息。

6.3 配置修改范例

filebeat.inputs:

# Below are the input specific configurations.

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /home/maple/access.log
    #- c:\programdata\elasticsearch\logs\*


#============================= Filebeat modules ===============================

filebeat.config.modules:
  # Glob pattern for configuration loading
  path: ${path.config}/modules.d/*.yml

  # Set to true to enable config reloading
  reload.enabled: false


#==================== Elasticsearch template setting ==========================

setup.template.settings:
  index.number_of_shards: 1
  #index.codec: best_compression
  #_source.enabled: false

#================================ General =====================================

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.3.242:9200"]

  # Optional protocol and basic auth credentials.
  #protocol: "https"
  #username: "elastic"
  #password: "changeme"

#================================ Processors =====================================

# Configure processors to enhance or manipulate events generated by the beat.

processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~

6.4 重新读取文件

删除执行目录下的

rm ./data/registry/data.json

测试功能

依次启动 elasticsearch 和 kibana。

$ cd elasticsearch/
$ ./bin/elasticsearch
...
$ cd kibana
$ ./bin/kibana

配置 logstash 的 conf。我这边拿公司业务日志文件来测试，conf 也是前同事改的 conf(具体内容涉及隐私就不贴了)。

./filebeat -e -c filebeat.yml

---

FileBeat 为了解决 Logstash 开销大的问题。

---

参考：公司某大佬遗留文档 https://souche.yuque.com/koumakan-ancuo/izayoi/ob078w

参考：https://mp.weixin.qq.com/s/eVukCJI-U7uWsoO7uLacUA

原文作者：Maple

原文链接：https://blog.vvcat.cn/2019/11/12/2019/11/ELK/

发表日期：November 12th 2019, 10:56:21 am

更新日期：January 9th 2024, 12:20:32 am

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  CentOS 5.x 版本 repo 地址
• Previous Post
  Shell 自动输入 sudo 密码

Powered by Hexotheme Archer

浙ICP备20017606号-1 浙公网安备33011002014704号

PV: :)

CATALOG

1. 1. 起因
2. 2. ELK
   1. 2.1. Elasticsearch
   2. 2.2. Kibana
   3. 2.3. Beats
   4. 2.4. Logstash
3. 3. 搭建 ELK
   1. 3.0.1. 1. 创建应用用户
   2. 3.0.2. 2. 安装 Java 运行环境
   3. 3.0.3. 3. 安装 ELK
      1. 3.0.3.1. 3.1 下载 ElasticSearch & 安装 x-pack
      2. 3.0.3.2. 3.2 修改 JVM 内存参数
      3. 3.0.3.3. 3.3 修改监听端口和绑定地址
      4. 3.0.3.4. 3.4 启动 ElasticSearch
      5. 3.0.3.5. 3.5证 ElasticSearch
      6. 3.0.3.6. 3.6 启动错误
   4. 3.0.4. 4. 安装 Logstash
      1. 3.0.4.1. 4.1 下载 Logstash
      2. 3.0.4.2. 4.2 测试 log
      3. 3.0.4.3. 4.3 启动错误
   5. 3.0.5. 5 安装 Kibana
      1. 3.0.5.1. 5.1 下载 Kibana & 安装 x-pack
      2. 3.0.5.2. 5.2 配置访问 IP 和 ElasticSearch 地址
      3. 3.0.5.3. 5.3 启动 Kibana
      4. 3.0.5.4. 5.4 修改中文
      5. 3.0.5.5. 5.5 创建 index pattern
   6. 3.0.6. 6 安装 FileBeat
      1. 3.0.6.1. 6.1 下载 & 安装
      2. 3.0.6.2. 6.2 修改配置
      3. 3.0.6.3. 6.3 配置修改范例
      4. 3.0.6.4. 6.4 重新读取文件
4. 3.1. 测试功能

• Archive
• Tag
• Cate

Total : 184

2024

• 04/11 rsync 命令参数详解
• 04/11 SSH密钥类型
• 03/14 得力和假货和美工刀和订书钉
• 03/08 PostgreSQL Ubuntu 安装
• 02/22 通过 docker 来部署 outline
• 02/01 Traefik 使用和配置

2023

• 12/21 validation-api
• 09/20 Python shutil 笔记
• 08/31 Nestjs Provider
• 08/03 mvn 命令参数含义
• 07/26 强关 esxi，数据损坏和修复
• 06/13 Esxi 磁盘容量收缩
• 06/13 [Untitled Post]
• 05/09 Nodejs 实现 Python os.walk()
• 04/22 TypeScript Type 类型判断
• 04/21 Python3 安装 mailer 失败
• 04/21 TypeScript 重载
• 04/12 rabbtmq 笔记 & demo
• 04/05 黑群晖新引导洗白（转载）
• 03/17 廖雪峰 Python 教程笔记
• 03/08 Java中PO，VO，POJO，DTO，DAO的基本概念
• 02/28 MySQL 启动 error [InnoDB: Missing MLOG_CHECKPOINT]
• 02/28 RabbitMQ 重启后无法启动问题
• 02/23 谈谈 es module
• 01/03 OpenVPN 存在 ping 超时的问题

2022

• 12/07 bootstrap.yaml 参数获取
• 09/28 Java9 - Java18 新特性
• 09/27 TypeScript 的高级类型
• 09/27 ArrayBuffer，二进制数组
• 09/26 ES 版本新特性
• 08/24 进击的巨人完整的故事
• 08/20 mc 魔戒 mod 酿酒系统
• 08/19 分布式互斥
• 08/19 hash map
• 08/19 阳光十六法则
• 08/12 Java 发展简史
• 08/12 Java 的一系列概念
• 08/11 JVM 8 特有的参数（区别 JVM 7）
• 08/11 Java GC
• 08/10 jvm7 一份调优参数分析
• 08/04 Java 的 21 种锁
• 08/04 maven settings.xml 笔记
• 08/03 zookeeper 笔记
• 08/02 Java Stream
• 07/18 解决群晖 vpn 后无法访问本机的问题
• 07/06 Python 项目 & requirement.txt
• 06/07 VLAN
• 05/30 pm2 管理所有应用
• 05/28 RabbitMQ 客户端(nodejs)
• 05/25 gitlab 升级失败 or gitlab-ctl reconfigure 失败
• 05/19 python 更换国内镜像源
• 05/19 python venv
• 04/30 OpenStack 学习
• 04/20 Centos7 防火墙 firewalld 基本配置与端口转发
• 04/20 linux 端口转发 iptables
• 04/19 30 个 Maven 命令
• 04/07 3 分钟学习 (Python)
• 04/07 mvn 笔记精简
• 04/06 记一次 highlight.js 不生效的问题
• 02/09 python 对 zip 和 rar 文件进行解压

2021

• 09/16 Synolog 群晖 Drive 图标不显示的问题
• 09/13 memcached 实现高并发条件下全局锁
• 09/13 树莓派 4B 安装 watchdog 以解决崩溃无响应问题
• 07/21 ESXi 支持复制粘贴
• 05/25 k8s mysql demo
• 05/24 frp 的使用
• 04/23 Prisma connection URLs
• 04/23 GraphQL
• 04/13 kubernetes 学习
• 04/09 Nginx 支持 WebSocket
• 02/24 中国白酒分类

2020

• 12/02 阿里云 Ubuntu 数据盘格式化和挂载
• 11/23 Dpkg 包损坏无法安装 & 卸载
• 11/14 黑群晖 6.2.3 安装指南
• 11/09 黑群辉安装教程 (6.2.3)
• 10/20 争论的艺术
• 10/14 set: Illegal option -o pipefail;ubuntu 执行 bash 脚本发生报错
• 09/22 raspberry 4B Ubuntu 系统 USB 启动
• 09/16 我不推荐使用树莓派来当做家用服务器
• 09/09 悲观锁 & 乐观锁
• 09/06 redis 集群
• 09/06 API 网关功能
• 08/18 从一个程序猿角度来分析下，交通银行的系统到底有多么垃圾
• 08/13 Python & Ubuntu
• 07/07 HashMap和HashTable的区别
• 06/18 esxi 下 DSM 创建 ddsm IP 显示 169.254.x.x 问题解决
• 06/17 esxi 安装
• 06/17 日记
• 05/22 自製鋼筆染料墨水配方[转载]
• 05/18 解决 Chrome 无法自动填充账号密码的问题
• 05/08 初学者指南：ZFS 是什么，为什么要使用 ZFS？(转载)
• 05/02 群晖 Drive 反复同步问题
• 04/15 类成员的访问控制模式及其允许访问范围
• 04/01 WordPress 绑定多域名
• 03/10 Nginx 降低 IO 负荷
• 01/18 Java 学习路线
• 01/18 树莓派安装 PIVPN
• 01/18 nameserver 127.0.0.53
• 01/08 杭州科目三

2019

• 12/24 Raspberry4 安装 Ubuntu
• 12/24 XP 序列号
• 12/17 Koa-Compose 源码试写
• 11/26 Logstash conf 语法
• 11/14 CentOS 5.x 版本 repo 地址
• 11/12 ELK 搭建
• 11/11 Shell 自动输入 sudo 密码
• 11/11 vCenter 和 vCSA 对比
• 11/08 ESXi 使用笔记
• 09/05 RabbitMQ Node demo
• 09/02 版本号对比
• 08/13 单反画幅
• 07/21 Let's encrypt 证书申请
• 07/05 唯一 ID 生成
• 06/17 mac os codesign
• 05/23 redis 学习笔记
• 04/30 迅雷下载宝定制固件
• 04/16 GitLab Ubuntu 使用清华镜像站
• 03/29 黑群晖的安装 & 洗白
• 03/15 Redis 性能问题分析（转载）
• 03/14 node.js 请求 redis 的性能优化和 redis 的管道和事务机制
• 02/25 MC 服务器启动之后无法在服务端输入指令
• 02/21 关于 grub2 的修复
• 01/28 Python 字符串中的转移符
• 01/11 RabbitMQ 安装 & 添加登录用户[转载]
• 01/07 Red Lock
• 01/07 Kafka-node 的使用 Demo

2018

• 11/09 MySQL 外键
• 11/01 VMware 虚拟机硬盘文件扩容
• 11/01 JavaScript Proxy 对象
• 11/01 Kafka auto.offset.reset 值
• 08/30 iterator(迭代器)
• 08/30 Python with as 的作用
• 08/29 MySQL 事务
• 08/27 Node 和观察者设计模式
• 08/26 MySQL 引擎
• 08/24 在树莓派上升级 Nginx 开启 HTTP/2
• 08/10 Nodejs进阶 - 核心模块 Buffer 常用 API 使用总结
• 08/08 Expect 使用小记
• 07/09 git 拉取所有远程分支
• 07/06 Nodejs memcached 包的基本用法
• 07/04 TypeScript 学习笔记
• 06/07 取消 Node 对内存上限的限制条件
• 06/06 Node 异步三种方式的对比 Demo
• 06/01 Node.js 安装依赖编译 C++ node-gyp 报错 unknown type name
• 05/28 MSDN Windows XP Professional x64 Edition with SP2 +VL简体中文语言包+序列号
• 05/23 Babel 学习笔记
• 05/22 Ubuntu 安装中文语言包
• 05/22 Docker 运行文件清理工具 prune
• 05/22 Base64 JavaScript 实现
• 05/21 订单的几种类型
• 05/17 编译 OpenVPN 及解决相关依赖问题
• 05/16 Nginx 部署 react 项目返回 404
• 05/14 React-Redux 笔记 - 其他
• 05/09 React.js 小书 - 第三阶段 - 学习笔记
• 04/23 systemctl 命令(转)
• 04/13 Xms Xmx PermSize MaxPermSize 的含义
• 04/13 Vue.js 数据绑定原理
• 04/12 Shell 获取文件地址
• 04/08 群晖 SFTP 连接失败
• 03/29 Linux 静态 IP 设置
• 03/18 使用 Unixbench 测试 CPU 性能
• 03/18 oh-my-zsh 安装 zsh-autosuggestions 插件
• 03/06 五种开源协议(GPL,LGPL,BSD,MIT,Apache)(转载)
• 02/26 生成 SAN 证书并自签
• 02/23 使用 Expect 自动登录 OpenVPN
• 02/22 Ubuntu 安装 Node.js 环境
• 02/12 Shell 自动重启进程
• 01/22 树莓派用机械硬盘当系统盘

2017

• 12/30 深度剖析：如何实现一个 Virtual DOM 算法(转)
• 12/26 git merge --no-ff
• 12/22 Gulp 常用插件(转)
• 12/15 gulp-autoprefixer 基本使用
• 12/13 Docker 启动后直接退出
• 12/10 Ubuntu APT 更换阿里源
• 12/10 Docker 普通用户操作不用 sudo 权限
• 12/07 Ubuntu 新增 swap
• 11/24 命令执行控制 && 与 ||(转)
• 11/22 常用数据库(缓存)的简单安装配置
• 11/20 优化 Ext4 分区 inode 占用空间问题
• 11/04 my.cnf 参数解释 & 优化 (转载)
• 11/04 GitLab 推送了更新(三) - Nginx 反向代理
• 10/28 GitLab 推送了更新(二) - 安装 docker GitLab
• 10/26 GitLab 推送了更新(一) - 树莓派安装GitLab
• 10/24 PFX文件提取公钥私钥

 rabbitmq  other  photography  ubuntu  shell  babel  javascript  mac os  linux  mysql  mongodb  redis  memcache  expect  git  gitlab  raspberry  docker  nginx  nodejs  gulp  http/2  python  kafka  mc  java  memcached  synology  vue  openssl  openvpn  license  reactjs  redux  san  cpu  vmware  c++  xp  oh-my-zsh  elk  centos  esxi  php  chrome  ink  zfs  daily  sql  graphql  frp  kubernetes  prisma  zip  rar  typescript  dom  前端  mvn  firewalld  liunx  iptables  python pip  pm2  VLAN  zookeeper  maven  jvm  摄影  JavaScript  mq  python3  aligo  ubunutu  outline  traefik  postgresql  rsync  ssh



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

