ELK单机版安装部署

环境：centos7

1. elasticsearch安装

版本：7.13.0

下载地址：https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.13.0-linux-x86_64.tar.gz

• 添加用户及用户组

groupadd elk
useradd elk -g elk -p elk@2021
#root用户是不能直接启动elasticsearch的，需要新建用户,并且使用新建的用户启动es

• 上传到服务器将下载好的压缩包上传到服务器上。本次上传到/home/elk/目录下。此目录为新建用户时产生。
• 解压

tar -zxvf elasticsearch-7.13.0-linux-x86_64.tar.gz

• 配置进入es的config目录下，编辑elasticsearch.yml文件，在最后加入如下几行：

network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.initial_master_nodes: ["node-1"]

配置/etc/sysctl.conf，在末尾加入：
vm.max_map_count=262144

配置 /etc/security/limits.conf，追加以下内容：
soft nofile 65536
hard nofile 65536

• 启动

#切换用户
su elk

#进入目录
cd /home/elk/elasticsearch-7.13.0/bin/

#后台启动
./slasticsearch -d

• 防火墙配置关闭防火墙则不需要配置

firewall-cmd --add-port=9200/tcp --permanent
firewall-cmd --reload

2. kibana安装部署

版本：7.13.0

下载地址：https://artifacts.elastic.co/downloads/kibana/kibana-7.13.0-linux-x86_64.tar.gz

• 上传到服务器将下载的文件上传到服务器/home/elk/目录下
• 解压

tar -zxvf kibana-7.13.0-linux-x86_64.tar.gz

• 配置

cd /home/elk/kibana-7.13.0-linux-x86_64/config
vim kibana.yml   #末尾加入以下内容：

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"] #与elasticsearch在同一台服务器
kibana.index: ".kibana"

• 运行

cd /home/elk/kibana-7.13.0-linux-x86_64/bin
./kibana --allow-root   #如果使用root账户启动，需要加参数--allow-root

#后台运行
nohup ./kibana --allow-root &

• 访问通过http://ip:5601 即可访问kibana服务

3. logstash部署安装

版本：7.13.0

下载地址：https://artifacts.elastic.co/downloads/logstash/logstash-7.13.0-linux-x86_64.tar.gz

• 上传将下载的文件上传到/home/elk/目录下，解压

cd /home/elk
tar -zxvf logstash-7.13.0-linux-x86_64.tar.gz

配置本次logstash主要用于收集log4j2日志使用，所以先创建收集log4j2日志的配置文件cd /logstash-7.13.0/config
vim log4j2-collection.conf   #新建文件写入内容

#写入内容

input {
   tcp {
       port => 4560
       codec => json
   }
}

output {
   elasticsearch {
       hosts => "127.0.0.1:9200" #同一台机器部署情况下使用本地地址，不同机器此处填写elasticsearch地址
           index => "es-message-%{+YYYY.MM.dd}"
   }
   stdout { codec => rubydebug }
}

• 启动

./logstash -f ../config/log4j2-collection.conf

如果开启了防火墙，需要将4560端口开启，这样log4j2配置好后就可以将日志推送到logstash中了。

log4j2配置(部分）其他log4j2完整配置自行查阅相关文档：

<Appenders>
   <Socket name="logstash-tcp" host="此处填写logstash的ip" port="4560" protocol="tcp">
            <PatternLayout pattern="${PATTERN_LAYOUT}" />
   </Socket>
</Appenders>

<Loggers>
        <Root level="INFO">
            <appender-ref ref="logstash-tcp" />
        </Root>
</Loggers>

效果：

4、kibana中查看日志

在kibana中添加索引，名称：es-message*

即可通过Analytics->Discover查看日志