CentOS7下 簡單安裝和配置Elasticsearch Kibana Filebeat 快速搭建集群日志收集平台(版本6.x)

目錄

• [TOC]
• 1.添加elasticsearch官網的yum源
• 2.Elasticsearch
  • 安裝elasticsearch
  • 配置elasticsearch
  • 啟動elasticsearch並設為開機啟動
• 3.Kibana
  • 安裝kibana
  • 配置kibana
  • 啟動kibana並設為開機啟動
• 4.Filebeat
  • 安裝filebeat
  • 配置filebeat
  • 啟動filebeat並設為開機啟動
• 5.操作Kibana界面，顯示收集的日志

 

1.添加elasticsearch官網的yum源

cd /etc/yum.repos.d/
vi CentOS-Base.repo

在末尾添加內容如下：

[elastic-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

點擊ESC 輸入:wq [回車鍵]，進行保存(基礎操作，后邊不再提示)

執行以下命令：

yum clean all
yum makecache

---

 

2.Elasticsearch

elasticsearch是個搜索引擎，可以存放數據，也可以為數據建立索引，這里我只是用他來存放和搜索日志信息，沒有用的太深入。

安裝elasticsearch

方式一(需要添加elasticsearch官網的yum源，方法見上文)：

yum install -y elasticsearch

方式二：

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.2.rpm
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.2.rpm.sha512
shasum -a 512 -c elasticsearch-6.3.2.rpm.sha512 
sudo rpm --install elasticsearch-6.3.2.rpm

配置elasticsearch

vi /etc/elasitcsearch/elasticsearch.yml

添加內容(注意冒號后有空格，下文不再提示)：

network.host: [ELASTICSEARCH服務器的IP]
http.port: 9200

保存，如果不配置成實際的IP地址，則只能在localhost中查看；9200是默認端口，第二行不配也是可以的。

如果開了防火牆，開放上文對應端口：

firewall-cmd --add-port=9200/tcp --permanent
firewall-cmd --reload

啟動elasticsearch並設為開機啟動

systemctl start elasticsearch
systemctl enable elasticsearch

啟動后訪問 [ELASTICSEARCH服務器的IP]:9200 端口，可以看到類似內容：

{
  "name" : "Y247g1N",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "wfwynAOWR7SV9aEitx-sgw",
  "version" : {
    "number" : "6.3.2",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "053779d",
    "build_date" : "2018-07-20T05:20:23.451332Z",
    "build_snapshot" : false,
    "lucene_version" : "7.3.1",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

---

 

3.Kibana

安裝kibana

yum install -y kibana

配置kibana

vi /etc/kibana/kibana.yml

添加內容：

server.port: 5601
server.host: "[KIBANA的IP]"
elasticsearch.url: "http://[ELASTICSEARCH服務器的IP]:9200"

如果開了防火牆，開放上文對應端口：

firewall-cmd --add-port=5601/tcp --permanent
firewall-cmd --reload

啟動kibana並設為開機啟動

systemctl start kibana
systemctl enable kibana

訪問[KIBANA的IP]:5601端口，可以打開kibana，此時kibana已經和elasticsearch建立聯系，不過因為elasticsearch沒有被導入任何數據，所以沒有實際意義，下一步我們把日志通過filebeat收集到elasticsearch。

---

 

4.Filebeat

filebeat可以用來收集各種日志文件，並導入到elasticsearch中，需要在每台被收集日志的機器上安裝

安裝filebeat

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.3.2-x86_64.rpm
sudo rpm -vi filebeat-6.3.2-x86_64.rpm

配置filebeat

vi /etc/filebeat/filebeat.yml

在下文的paths: 下，增加你日志的路徑信息，並把enabled設為true

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /[你的日志路徑，可以用一個*代表一層目錄]/current.log

elasticsearch的地址改成你剛才設置的地址：

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["[ELASTICSEARCH的IP]:9200"]

啟動filebeat並設為開機啟動

systemctl start filebeat
systemctl enable filebeat

---

 

5.操作Kibana界面，顯示收集的日志

接下來在下拉框中選擇 @timestamp ，並點擊完成

最后進入

可以看到剛才配置的“Index Patterns”，以及其下的所有日志文件。在界面上可以搜索和過濾，快速找到想要的內容。

完畢