Kibana 是為Elasticsearch設計的開源分析和可視化平台,你可以使用 Kibana 來搜索,查看存儲在 Elasticsearch 索引中的數據並與之交互。你可以很容易實現高級的數據分析和可視化,以圖表的形式展現出來。
(1)kibana配置
1.下載安裝
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm
yum install -y kibana-6.0.0-x86_64.rpm
2.修改配置文件
vim /etc/kibana/kibana.yml
server.port: 5601 //監聽端口
server.host: "192.168.1.31" //監聽IP地址,建議內網ip
elasticsearch.url: "http://192.168.1.31:9200" //elasticsearch連接kibana的URL,也可以填寫192.168.1.32,因為它們是一個集群
3.啟動服務
systemctl enable kibana
systemctl start kibana
4.驗證
ss -antlup | grep 5601
測試訪問192.168.1.31:5601
可以通過訪問http://192.168.1.31:5601/status來查看是否正常
(2)通過配置logstash文件收集message日志
1.收集messages日志文件內容,輸出到elasticsearch
#vim /etc/logstash/conf.d/system.conf
input {
file {
path => "/var/log/messages" //日志路徑
type => "system" //定義類型
start_position => "beginning" //表示logstash從頭開始讀取文件內容
stat_interval => "2" //logstash每隔多久檢查一次被監聽文件狀態(是否有更新),默認是1秒
}
}
output {
elasticsearch {
hosts => ["192.168.1.31"] //指定hosts
index => "systemlog-%{+YYYY.MM.dd}" //指定索引名稱
}
}
2.檢測配置文件語法和啟動
logstash -f /etc/logstash/conf.d/system.conf -t //檢測配置文件語法是否有問題
ll /var/log/messages //這里可以看到該日志文件是600權限,而elasticsearch是運行在elasticsearch用戶下,這樣elasticsearch是無法收集日志的。所以這里需要更改日志的權限,否則會報權限拒絕的錯誤。在日志中查看/var/log/logstash/logstash-plain.log 是否有錯誤。
chmod 644 /var/log/messages
systemctl restart logstash //啟動
3.通過head界面查看索引
4.在kibana上添加索引
5.查看日志
