Получить ElasticSearch+LogStash+Kibana+FileBeats

Все продукты, созданные elk, могут получить последнюю версию с официального сайта elastic.
эластичный официальный сайт

как показано на рисунке
В настоящее время представители эластичных систем больше не рекомендуют просто использовать три продукта elk (ElasticSearch+LogStash+Kibana) для создания платформы журналов, а добавляют на этой основе облегченный подключаемый модуль FileBeats для сбора журналов.

Установить эластичный поиск

Сначала получаем установочный пакет
Перейдите на страницу https://www.elastic.co/cn/downloads/elasticsearch.

Щелкните linux в разделе «Загрузки», чтобы загрузить пакет tar для установки Linux.
Если он установлен непосредственно в Linux, используйте команду wget.
Например: wgetArtifacts.elastic.co/downloads/ о…
Если вам нужна более старая историческая версия, щелкните прошлый выпуск ниже.

После получения установочного пакета среда Windows должна перенести пакет tar в linux и использовать команду scp (для Windows требуется предварительно установленный git).
Например: scp C:/Пользователи/Администратор/Загрузки/elasticsearch-7.3.1-linux-x86_64.tar.gzroot@100.100.100.100:/home/elk/
В Linux перейдите в каталог установочного пакета и используйте команду tar -zxvf для распаковки
Например: tar -zxvf elasticsearch-7.3.1-linux-x86_64.tar.gz
После завершения распаковки elasticsearch фактически завершил установку.

Запустить эластичный поиск

Обратите внимание перед запуском elasticsearch: elasticsearch не может быть запущен с пользователем root, поэтому в linux необходимо заранее установить пользователя без полномочий root
Как создать пользователя администратора в LinuxПосле создания пользователя linux переключитесь на пользователя, войдите в каталог elasticsearch и выполните bin/elasticserach. Порт elasticsearch по умолчанию — 9200, откройте браузер, введите http://elasticsearch address: 9200/, появится следующий экран, указывающий, что elasticsearch успешно запущен.

Установить Логсташ

Способ скачивания и заливки на linux в среде windows повторяться не буду, смотрите предыдущую статью
В среде Linux обратитесь к следующим командам:
1. Выполнить wgetArtifacts.elastic.co/downloads/com…
2. Войдите в каталог установочного пакета logstash и выполните команду tar -zxvf logstash-7.4.0.tar.gz.

Настройте и запустите LogStash

1. Перед запуском logstash необходимо создать новый файл конфигурации logstash.
Ссылаясь на файл config/logstash-sample.config в каталоге logstash (как показано на рисунке), создайте новый файл logstash-elk.config.

input, то есть прослушивающий порт для входных данных, это вообще менять не нужно.
output, используется для отправки полученных данных в elasitcsearch.Измените hosts на адрес развертывания elasticsearch, если elasticsearch и logstash это одна и та же машина, менять не нужно.
Примечание. Если данные, отправляемые FileBeats в нескольких экземплярах, должны поступать в один и тот же экземпляр elasticsearch и делятся на разные индексы в соответствии с разными IP-адресами, настройте следующим образом.

output {
    if "100.100.100.101" in [host][ip] {
        elasticsearch{
          hosts => ["localhost:9200"]
          index => "sample1"
        }
    }else if "100.100.100.102" in [host][ip] {
        elasticsearch{
          hosts => ["localhost:9200"]
          index => "sample2"
        }
    } else {
      elasticsearch{
        hosts => ["localhost:9200"]
        index => "other"
      }
    }

}

После завершения настройки запустите logstash и выполните команду bin/logstash -f config/logstash-elk.conf.

Установить Кибану

linux обратитесь к следующей команде
1.wget Artifacts.elastic.co/downloads/…
2. Войдите в каталог установочного пакета kibana и выполните команду tar -zxvf kibana-7.4.0-linux-x86_64.tar.gz.

Настроить и запустить кибану

Введите config/kibana.yml
1. Измените server.host на фактический адрес Linux-машины.
2. Измените i18n.locale: "zh-CN", чтобы интерфейс кибаны отображался на китайском языке.
3. Вернитесь в домашний каталог кибаны и запустите bin/kibana (Примечание: кибана не может быть запущена с правами root) 4. Откройте браузер, введите адрес http://kibana: 5601, появится следующий экран.

Установить FileBeats

Уведомление:FileBeats необходимо установить на все серверы, которым необходимо отправлять журналы.
linux обратитесь к следующей команде
1.wget Artifacts.elastic.co/downloads/ нет… 2.tar -zxvf filebeat-7.4.0-linux-x86_64.tar.gz

Настройте и запустите FileBeats

Войдите в каталог установки filebeats, vi filebeat.yml 1. Измените каталог в разделе paths и введите адрес журнала, который должен собираться сервером, на котором находится filebeats, например:

paths:
    - /home/sample1/logs/log.*
    - /home/sample2/logs/log.*

2. Измените содержимое в output.logstash и введите адрес развертывания logstash следующим образом:

output.logstash:
  hosts: ["100.100.100.101:5044"]
  enabled: true

3. Зайти в основную директорию файловых битов, выполнить ./filebeat -e -c filebeat.yml, запуск прошел успешно

Кибана просмотр содержимого лога

После установки и сборки вышеуказанного Elk+FileBeats браузер входит в интерфейс kibana.
1. Откройте «Управление» — «Режим индекса» — «Создать режим индекса» и войдите в следующий интерфейс:

2. Вы можете видеть, что есть три индекса, которые можно сопоставить, введите индекс, который вы хотите создать, в поле ввода режима индекса, например, другой, а затем нажмите «Далее».

3. Выберите отметку времени, нажмите «Создать шаблон индекса».

4. Создайте успешно, нажмите «Обнаружить».

5. Вы можете видеть, что есть новый индекс, из которого можно выбирать.

6. На этом базовая конструкция elk+filebeats завершена.