Kibana 是為Elasticsearch設計的開源分析和可視化平台,你可以使用 Kibana 來搜索,查看存儲在 Elasticsearch 索引中的數據並與之交互。你可以很容易實現高級的數據分析和可視化,以圖表的形式展現出來。
(1)kibana配置
1.下載安裝
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpmyum
install -y kibana-6.0.0-x86_64.rpm
2.修改配置文件
vim/etc/kibana/kibana.yml
server.port:5601//監聽端口
server.host:"192.168.1.31"//監聽IP地址,建議內網ip
elasticsearch.url:"http://192.168.1.31:9200"//elasticsearch連接kibana的URL,也可以填寫192.168.1.32,因為它們是一個集群
3.啟動服務
systemctl enable kibana
systemctl start kibana
4.驗證
ss -antlup | grep 5601
測試訪問192.168.1.31:5601
可以通過訪問http://192.168.1.31:5601/status來查看是否正常
(2)通過配置logstash文件收集message日志
logstash下載: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.5.4.tar.gz
解壓
1.收集messages日志文件內容,輸出到elasticsearch
#vim logstash.conf
input {
# 以文件作為來源
file {
path =>"/var/log/messages" #日志路徑
type =>"system" #定義
start_position =>"beginning" #表示logstash從頭開始讀取文件內容
stat_interval =>"2" #logstash每隔多久檢查一次被監聽文件狀態(是否有更新),默認是1秒
}
}
output {
# 以es作為輸出
elasticsearch {
hosts => ["172.16.2.15:9200"] #指
index =>"systemlog-%{+YYYY.MM.dd}" #指定索引名稱
}
}
2.檢測配置文件語法和啟動
bin/logstash -f logstash.conf -t//檢測配置文件語法是否有問題
ll /var/log/messages //這里可以看到該日志文件是600權限,而elasticsearch是運行在elasticsearch用戶下,這樣elasticsearch是無法收集日志的。所以這里需要更改日志的權限,否則會報權限拒絕的錯誤。在日志中查看/var/log/logstash/logstash-plain.log 是否有錯誤。
chmod 644 /var/log/messages
bin/logstash -f logstash.conf //啟動
3.通過head界面查看索引
4.在kibana上添加索引
5.查看日志
