剛開始嘗試獨立安裝ELK的每個軟件, 發現下載很慢,配置起來挺痛苦, 安裝問題多多, 故采用Docker鏡像安裝法, 省事省心。
1. Docker安裝
#添加docker鏡像資源 sudo yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo #安裝 sudo yum install docker-ce #開機啟動docker systemctl enable docker
#修改docker的默認數據存儲目錄,防止系統盤被撐爆. 此處我的數據盤掛在在 /data/ 目錄下
mv /var/lib/docker /data/
#創建軟鏈接
ln -s /data/docker var/lib/docker
#啟動docker
systemctl start docker
2. 安裝ELK
#查找可用的elk鏡像 docker search elk #拉取elk鏡像(這里我選擇sebp/elk鏡像) docker pull sebp/elk #安裝並啟動elk docker run -it -d -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk #查看docker運行的鏡像 docker ps
3. 安裝Filebeat(此處不采用docker安裝,我使用docker安裝的filebeat無法采集日志到es)
#下載rpm安裝包 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.0.0-x86_64.rpm #安裝 rpm -ivh filebeat-7.0.0-x86_64.rpm
4. 配置Filebeat (vim /etc/filebeat/filebeat.yml)(紅色字體表示是對默認配置的修改)
#=========================== Filebeat inputs ============================= filebeat.inputs: - type: log enabled: true paths: - /data/wwwlogs/*.log #============================= Filebeat modules =============================== filebeat.config.modules: path: ${path.config}/modules.d/*.yml reload.enabled: false
#==================== Elasticsearch template setting ==========================
setup.ilm.enabled: false
setup.template.name: "log.test.com"
setup.template.pattern: "log.test.com-*"
#============================== Kibana ===================================== setup.kibana:
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["localhost:9200"]
#索引命名
index: "log.test.com-%{+yyyy.MM.dd}"
#================================ Processors ===================================== processors: - add_host_metadata: ~ - add_cloud_metadata: ~
5. 啟動filebeat
#設置開機啟動 echo "/etc/init.d/filebeat start" >> /etc/rc.d/rc.local #啟動filebeat /etc/init.d/filebeat start
6. 測試kibana查看日志
完畢~~