ELK:ElasticSerach、Logstash、Kibana三款产品名称的首字母集合,用于日志的搜集和搜索。简单地理解为我们可以把服务端的日志(nginx、tomcat等)直接web化展示查看,十分方便。
本机环境说明:
系统:centos7.5
ElasticSerach:6.4.2
Logstash:6.4.2
Kibana:6.4.2
Filebeat:6.4.2
说明:图是直接搜索的网上的,其中nginx、elk这里都采用单机直接部署,所以ip相同,我这里为192.168.21.128。
1. 业务请求到达nginx-server机器上的Nginx;
2. Nginx响应请求,并在access.log文件中增加访问记录;
3. FileBeat搜集新增的日志,通过LogStash的5044端口上传日志;
4. LogStash将日志信息通过本机的9200端口传入到ElasticSerach;
5. 搜索日志的用户通过浏览器访问Kibana,服务器端口是5601;
6. Kibana通过9200端口访问ElasticSerach;
因为ElasticSerach运行需要java环境支持,所以首先要配置java环境,具体操作方法自行百度吧,网上比较多。
ELK官网:https://www.elastic.co/downloads
手动下载ELK安装的tag.gz文件,这里我们放入/usr/local/work/下,并解压缩,最终效果如下:
因为ElasticSerach运行时不允许以root用户身份的,所以这里需要手动创建用户并分配权限,具体如下:
groupadd elasticsearch
useradd elasticsearch -g elasticsearch
chown -R elasticsearch.elasticsearch /usr/local/work/elasticsearch-6.4.2
sysctl -p
reboot
su elasticsearch
bin/elasticsearch -d
,此时会在后台启动elasticsearch(如果启动报错没有权限的话,重新执行上面的chown那部分命令设置权限)tail -f /usr/local/work/elasticsearch-6.4.2/logs/elasticsearch.log
curl 127.0.0.1:9200
,收到响应如下:具体效果:
# 监听5044端口作为输入 input { beats { port => "5044" } } # 数据过滤 filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } geoip { source => "clientip" } } # 输出配置为本机的9200端口,这是ElasticSerach服务的监听端口 output { elasticsearch { hosts => ["127.0.0.1:9200"] } }
nohup bin/logstash -f default.conf –config.reload.automatic &
tail -f logs/logstash-plain.log
,启动成功的信息如下:#server.host: "localhost"
改成如下内容:
server.host: "192.168.21.128"
nohup bin/kibana &
tail -f nohup.out
注意:
这里访问5601的时候可能访问不通,centos有自己的防火墙及端口限制,具体设置自行百度吧,很多的。
nohup ./filebeat -e -c filebeat.yml -d "publish" &
至此,环境搭建完成~