环境
centos7.5
下载
官网下载Elasticsearch、Logstash、Kibana
Free and Open Search: The Creators of Elasticsearch, ELK & Kibana | Elastic
我下载的都是7.1.1版本,最好统一版本
(注意,这几个都是试用版,过一段时间会过期,如果需要长期使用,得下载oss版本)
点击产品下面的下载按钮(有的在“在ElasticCloud上启用下面”),进入下载页面,再点击
The pure Apache 2.0 licensed distribution is available here.
这行内容的here,跳转到OSS版本下载地址,点击downloads段落的LINUX,下载linux版本。
可以点击Not the version you're looking for? View past releases.这行的past releases找到历史版本。
或者直接进入到历史版本下载页面
https://www.elastic.co/downloads/past-releases Products产品依次选择ElasticSearch OSS、Logstash OSS、Kibana OSS,Versions版本选择特定的版本。
点击下载后进入系统选择页面,选择LINUX的进行下载即可。
关闭防火墙
systemctl stop firewalld
systemctl disable firewalld安装elasticsearch
在 Linux 环境中,elasticsearch 不允许以 root 权限来运行。
如果以 root 身份运行 elasticsearch,会提示这样的错误:
can not run elasticsearch as root
解决方法:使用非 root 权限账号运行 elasticsearch
# 创建用户组
groupadd elk
# 创建新用户,-g elk 设置其用户组为 elk,-p elk 设置其密码为 elk
useradd elk -g elk -p elk
# 更改 /opt 文件夹及内部文件的所属用户及组为 elk:elk
chown -R elk:elk /opt # 假设你的 elasticsearch 安装在 opt 目录下
# 切换账号
su elk
解压elasticsearch
tar xzvf elasticsearch-7.1.1-linux-x86_64.tar.gz
运行
cd elasticsearch-7.1.1
bin/elasticsearch测试
curl http://localhost:9200
默认只能用localhost访问,如需开启外部访问,需修改配置
vi config/elasticsearch.yml
去掉network.host的注释并修改为本机ip
network.host: 0.0.0.0
discovery.seed_hosts: ["127.0.0.1","[::1]"]
此时启动可能会报错
ERROR: [3] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
[2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
如果不配置discovery.seed_hosts会报错
[3]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
vm.max_map_count 不低于 262144
问题:vm.max_map_count 表示虚拟内存大小,它是一个内核参数。elasticsearch 默认要求 vm.max_map_count 不低于 262144。
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
解决方法:
你可以执行以下命令,设置 vm.max_map_count ,但是重启后又会恢复为原值。
sysctl -w vm.max_map_count=262144
持久性的做法是在 /etc/sysctl.conf 文件中修改 vm.max_map_count 参数:
echo "vm.max_map_count=262144" > /etc/sysctl.conf sysctl -p
nofile 不低于 65536
问题: nofile 表示进程允许打开的最大文件数。elasticsearch 进程要求可以打开的最大文件数不低于 65536。
解决方法:
echo "* soft nofile 65536" > /etc/security/limits.conf
echo "* hard nofile 131072" > /etc/security/limits.conf
reboot重启后即可正常启动
后台启动
nohup bin/elasticsearch > service.out&
跟踪后台启动的输出
tail -f service.out
看进程
[elk@localhost xx]$ ps -ef|grep opt
elk 2095 1750 11 13:42 pts/0 00:02:51 /opt/elasticsearch-7.1.1/jdk/bin/java -Xms1g -Xmx1g -XX:+UseConc……/opt/elasticsearch-7.1.1/lib/* org.elasticsearch.bootstrap.Elasticsearch
elk 2183 2095 0 13:42 pts/0 00:00:00 /opt/elasticsearch-7.1.1/modules/x-pack-ml/platform/linux-x86_64/bin/controller
Logstash
解压
tar xzvf logstash-7.1.1.tar.gz
运行
cd logstash-7.1.1
bin/logstash -f config/logstash-sample.conf
或后台启动
nohup bin/logstash -f config/logstash-sample.conf > service.out&
如果没有JAVA_HOME,需设置JAVA_HOME,注意使用root用户
vi /etc/profile
添加如下内容
export JAVA_HOME=/opt/elasticsearch-7.1.1/jdk
export CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin
配置立即生效执行
source /etc/profile
看进程
$ ps -ef|grep opt
elk 2460 2317 68 14:01 pts/1 00:03:37 /opt/elasticsearch-7.1.1/jdk/bin/java ……/opt/logstash-7.1.1/logstash-core/lib/jars/slf4j-api-1.7.25.jar org.logstash.Logstash -f config/logstash-sample.conf
Kibana
解压
tar xzvf kibana-7.1.1-linux-x86_64.tar.gz
cd kibana-7.1.1-linux-x86_64
需要修改elasticsearch的ip端口则改一下配置
vi config/kibana.yml
去掉这两行的注释并修改
server.host: "192.168.91.149" #需修改才能从其他机器访问
elasticsearch.hosts: ["http://localhost:9200"]
运行
bin/kibana
或后台启动
nohup bin/kibana > service.out&
访问地址
http://localhost:5601
看进程
[elk@localhost kibana-7.1.1-linux-x86_64]$ ps -ef |grep node
elk 2658 1750 99 14:09 pts/0 00:00:12 bin/../node/bin/node --no-warnings --max-http-header-size=65536 bin/../src/cliJava日志输出到Logstash
cd logstash-7.1.1
vi config/logstash.conf
添加如下内容
input {
beats {
port => 5044
}
tcp {
# host:port就是上面appender中的 destination,
# 这里其实把logstash作为服务,开启9250端口接收logback发出的消息
host => "0.0.0.0" port => 9250 mode => "server" tags => ["tags"] codec => json_lines
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
}
}kill掉原来的logstash后启动
nohup bin/logstash -f config/logstash.conf > service.out&
Java代码修改
pom.xml增加依赖
<dependency>
<groupId>net.logstash.logback</groupId>
<artifactId>logstash-logback-encoder</artifactId>
<version>6.1</version>
</dependency>logback.xml按需调整
<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<!--
destination 是 logstash 服务的 host:port,
相当于和 logstash 建立了管道,将日志数据定向传输到 logstash
-->
<destination>192.168.91.149:9250</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LogstashEncoder"/>
</appender>
<root level="INFO">
<!-- appender referenced after it is defined -->
<appender-ref ref="STDOUT"/>
<appender-ref ref="LOGSTASH" />
</root>此时启动java程序,如果启动成功,日志就进入es了
日志查看
进入kibana web页面
点击左侧Discover按钮,会自动进入创建索引,创建索引logstash-*
点击下一步Next step
Time Filter field name选择@timestamp,点击Create index pattern按钮等待创建索引成功
此时再次点击左侧Discover按钮,进入熟悉的索引查询页面了
区分应用
实际应用过程中,多个app日志混在一起,需要增加额外入库字段进行区分,此时修改java程序的logback.xml,添加customFields配置节即可。
<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<!--
destination 是 logstash 服务的 host:port,
相当于和 logstash 建立了管道,将日志数据定向传输到 logstash
-->
<destination>192.168.91.149:9250</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LogstashEncoder">
<customFields>{"appname":"whqtest"}</customFields>
</encoder>
</appender>logback.xml也可以采用变量的写法
<configuration>
<!-- 项目的appid -->
<property name="APP_ID" value="whqtest"/>
………………
<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<!--
destination 是 logstash 服务的 host:port,
相当于和 logstash 建立了管道,将日志数据定向传输到 logstash
-->
<destination>192.168.91.149:9250</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LogstashEncoder">
<customFields>{"appname":"${APP_ID}"}</customFields>
</encoder>
</appender>
………………
</configuration>OSS版本
一段时间后启动kibana报错
Elasticsearch cluster did not respond with license information.
需要下载oss版本
https://www.elastic.co/cn/downloads/elasticsearch-oss
Download Logstash Free | Get Started Now | Elastic
https://www.elastic.co/cn/downloads/kibana-oss
OSS版部署问题
如果连接es超时
vi es的目录/config/jvm.options
增大-Xms和-Xmx到2g
增大es连接超时时间
vi config/kibana.yml
elasticsearch.requestTimeout: 90000
连接es返回错误:master_not_discovered_exception
es服务器修改
vi /etc/hostname 设置机器名为node1
node1
vi /etc/hosts
127.0.0.1 node1
vi es目录/config/elasticsearch.yml
node.name: node1
discovery.seed_hosts: ["127.0.0.1"]
cluster.initial_master_nodes: ["node1"]
