logstash、elasticsearch、kibana搭建日誌平臺

一、下載logstash

      a、官方下載地址：https://www.elastic.co/downloads/logstash

      b、解壓：tar -xzvf logstash-5.1.1.tar.gz

      c、設置用戶測試的配置文件：vim logstatsh_test.conf，編輯內容以下:

input {
    stdin {
    }
}
output {
    stdout {
    codec => rubydebug {}
    }
}

      d、運行logstash測試：bin/logstash -f logstatsh_test.conf，運行成功界面以下：

      e、logstash和elasticsearch整合：能夠直接命令行啓動以下

bin/logstash -e 'input{stdin{}}output{elasticsearch {hosts => "localhost:9200" index => "logstash_test"}
stdout{codec=>rubydebug}}'

      或者對logstatsh_test.conf進行修改以下

input{
    stdin{
    }
}
output{
    elasticsearch {
        hosts => "localhost:9200" 
        index => "logstash_test"
    }
    stdout{
        codec=>rubydebug
    }
}

      f、狀態查看：

二、下載elasticsearch

      a、官方下載地址：https://www.elastic.co/downloads/elasticsearch

      b、解壓：tar -xzvf elasticsearch-5.1.1.tar.gz

      c、配置文件：vim config/elasticsearch.yml

path.data: /data/es #數據路徑
path.logs: /data/logs/es #日誌路徑
network.host: 本機地址 #服務器地址
http.port: 9200 #端口

      d、啓動程序：/bin/elasticsearch

      e、訪問：http://localhost:9200/ 查看elasticsearch是否成功運行。

      f、訪問：http://localhost:9200/logstash_test/_search，查看logstash_test這個index下的日誌信息。

三、下載下載kibana

      a、官方下載地址：https://www.elastic.co/downloads/kibana

      b、解壓：tar -xzvf kibana-5.1.1.tar.gz

      c、設置配置文件：打開config/kibana.yml,修改以下內容

//啓動端口 由於端口受限 因此變動了默認端口
server.port: 8601
//啓動服務的ip
server.host: "本機ip"
//elasticsearch地址
elasticsearch.url: "http://localhost:9200」

      d、啓動程序：bin/kibana

      e、訪問：http://localhost:8610/查看kibana是否成功運行，並檢索查看已存入的信息。

四、注意：

      a、elasticsearch和kibana版本要對應，不然服務起不來。

      b、若是瀏覽器中訪問http://localhost:9200/沒有返回預期的結果，就須要修改Elasticsearch的配置，使其支持外網訪問。首先，按Ctrl +C中止Elasticsearch，而後，打開Elasticsearch的配置文件vimconfig/elasticsearch.yml，找到network.host這一行。

      c、max virtual memory areas vm.max_map_count [65530] likely too low, increase to at least [262144] 
解決：切換到root用戶修改配置sysctl.conf 
     vi /etc/sysctl.conf 
添加下面配置： 
     vm.max_map_count=655360 
並執行命令： 
     sysctl -p

      d、max number of threads [1024] for user [lish] likely too low, increase to at least [2048] 
解決：切換到root用戶，進入limits.d目錄下修改配置文件。 
     vi /etc/security/limits.d/90-nproc.conf 
修改以下內容： 
     soft nproc 1024 
修改成 
      soft proc 2048

      e、 ERROR: bootstrap checks failed max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536] max number of threads [1024] for user [lishang] likely too low, increase to at least [2048] 
解決：切換到root用戶，編輯limits.conf 添加相似以下內容 
      vi /etc/security/limits.conf 
添加以下內容: 
      soft nofile 65536 
      hard nofile 131072 
      soft nproc 2048 
      hard proc 4096

      f、useradd: cannot open /etc/group；useradd: cannot open /etc/gshadow；useradd: cannot open /etc/passwd；useradd: cannot open /etc/shadow 
一、lsattr /etc/group 
     —-i——–e- /etc/group 
二、chattr -i /etc/group 依次去掉group、gshadow、passwd、shadow 
三、建立elsearch用戶組及elsearch用戶 
     groupadd elasticsearch 
四、更改elasticsearch文件夾及內部文件的所屬用戶及組爲elasticsearch: elasticsearch 
     useradd elasticsearch -g elsearch -p elasticsearch 
     cd /elasticsearch-5.1.1 
     chown -R elasticsearch: elasticsearch elasticsearch-5.1.1 
五、切換到elasticsearch用戶再啓動 
     su elasticsearch 
     cd elasticsearch 
     ./bin/elasticsearch

      g、logstash啓動報錯

[2016-12-28T17:49:08,367][WARN ][logstash.outputs.elasticsearch] Attempted to resurrect connection to dead ES instance, but got an error. {:url=>#<URI::HTTP:0x1deb02b URL:http://10.129.28.149:9200>, :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL 'http://10.129.28.149:9200/'"}

•  

     若是從新設置了密碼，可是沒有配置密碼，就須要像下面同樣配置一下。

配置logstash.conf
output {
  elasticsearch {
    ...
    user => logstash_internal
    password => changeme
  }

編程實踐6—Elasticsearch6.0 最新版本安裝問題