当前位置：首页 > news >正文

ELK8.17部署（Ubantu24x64）

news 2025/8/13 9:36:05

检查java环境 ELK8.x不支持java8

若无环境可执行 sudo apt install openjdk-17-jre-headless

准备安装包

官网下载地址: ELK

products 搜Elasticsearch、Kibana、Logstash、Filebeat
versions需一致，这里使用8.17.0

Elasticsearch
Kibana
Logstash
Filebeat

elasticsarch安装

# 建一个文件夹
cd /usr/local/
mkdir elk
# 我这里用的shell  使用rz上传文件  上传安装包
cd elk
rz
# 解压
tar -zxvf elasticsearch-x.x.x.xxxx
cd elasticsearch-xxx
mkdir data
# 修改配置文件
vim ./config/elasticsearch.yml

cluster.name: es-application
node.name: node-1
# 这个地址是新建的data文件
path.data: /usr/local/elk/elasticsearch-8.17.0/data/
path.logs: /usr/local/elk/elasticsearch-8.17.0/logs/
# 允许外网访问
network.host: 0.0.0.0
http.port: 9200
# 关闭ssl
xpack.security.enabled: false
xpack.security.http.ssl:enabled: falsekeystore.path: certs/http.p12

如果没有安全证书需要申请：Elastic stack安全配置

elk不能root启动，可用安装系统时创建的用户启动，若无可创一个

#创建新用户及授权
groupadd elkuseradd elk -g elk -p elkelkchown -R elk:elk /usr/local/elk

#切用户启动 
su elk# 后台启动
./bin/elasticsearch -d# 查看是否启动成功
ps -ef|grep elasticsearch# 调用这个出现You Know, for Search就算成功
curl http://ip:9200

Kibana安装

切回root上传安装包后解压
修改配置：vim ./config/kibana.yml

# 端口号
server.port: 5601# 汉化
i18n.locale: "zh-CN"# ip地址
server.host: "192.168.xx.xx"# es连接
elasticsearch.url: "http://192.168.xx.xx:9200"

#切用户
su elk
#非后台启动，关闭shell窗口即退出
./bin/kibana#后台启动 (推荐使用后台启动)
nohup ./bin/kibana > kibana_start.log 2>&1 & # 检查是否启动成功
ps -ef|grep kibana

Logstash安装

切回root上传安装包后解压

cp ./config/logstash-sample.conf ./filebeat.conf

修改配置：vim ./config/filebeat.yml

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.input {beats {host => '0.0.0.0'port => 5044}#file{#  path => ['/mnt/coding/blog/storage/logs/*.log']#  type => 'user_log'#  start_position => "beginning"      #}
}output {if [app] == "xxx" {if [type] == "xxx-log" {elasticsearch {hosts => ["http://192.168.xxx.xxx:9200"]index => "filebeat_blog_log-%{+YYYY.MM.dd}"user => "elastic"password => "changeme"}}}#elasticsearch {#hosts => ["http://192.168.xxx.xxx:9200"]# index => "filebeat_log-%{+YYYY.MM.dd}"#index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"#user => "elastic"#password => "changeme"#}
}

#切用户
su elk#启动
nohup ./bin/logstash -f ./config/filebeat.conf > logstash_start.log 2>&1 &# 检查是否启动成功
ps -ef|grep logstash

Filebeat安装

切回root上传安装包后解压

修改配置：vim ./filebeat.yml

filebeat.inputs:
- type: log# 应用名id: xxx-javaenabled: truepaths:# 应用输出日志地址- /usr/local/java/xxx/*.logfields:level: debugreview: 1# 应用名app: XXX# 应用类型type: XXX-logfields_under_root: true
setup.kibana:host: "192.168.XXX.XXX:5601"
output.logstash:hosts: ["192.168.XXX.XXX:5044"]

其他高级配置：Filebeat的高级配置详解

#切用户
su elk#启动
nohup ./filebeat > filebeat_start.log 2>&1 & # 检查是否启动成功
ps -ef|grep filebeat

生成模型

登录kibana：192.168.XXX.XXX:5601
选择菜单：Stack Management
继续选择菜单：索引管理/Index Management 出现索引文件就是日志上传成功了
若成功选择菜单：数据视图/index pattern
创建视图后即可选择菜单Discover选择相应视图进行搜索

查看全文

http://www.lryc.cn/news/540236.html