安装kibana、安装logstash,logstash收集syslog日志
ELK安装 – 安装kibana(成图的、web工具)
以下在128(主节点)上执行(在一台机器上安装即可)
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm sha1sum kibana-6.0.0-x86_64.rpm rpm –install kibana-6.0.0-x86_64.rpm
!!用以上方式安装kibana6.0.0版本的。因为阿里云内置的yum源是最新版的,不兼容
https://www.elastic.co/guide/cn/kibana/current/rpm.html
,这是官网安装页面
前面已经配置过yum源,这里就不用再配置了
yum install -y kibana
若速度太慢,可以直接下载rpm包
1.wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm
2.rpm -ivh kibana-6.0.0-x86_64.rpm
kibana同样也需要安装x-pack(可省略)
安装方法同elasticsearch的x-pack
cd /usr/share/kibana/bin (可省略)
./kibana-plugin install x-pack //如果这样安装比较慢,也可以下载zip文件(可省略)
wget https://artifacts.elastic.co/downloads/packs/x-pack/x-pack-6.0.0.zip//这个文件和前面下载的那个其实是一个(可省略)
./kibana-plugin install file:///tmp/x-pack-6.0.0.zip (可省略)
以下在128上执行
3.vim /etc/kibana/kibana.conf //增加 (配置文件)
server.host: 0.0.0.0
#此处建议监听内网ip(就是本机),监听外网或全部不安全。如果想监听外网,可以nginx做代理,然后安全认证,增加安全性
elasticsearch.url: “http://192.168.133.130:9200”
#需要跟主节点通信,此处要写主节点的ip
logging.dest: /var/log/kibana.log
#默认在/var/log/messages。可以不指定输出日志,默认就好
touch /var/log/kibana.log; chmod 777 /var/log/kibana.log
4.systemctl restart kibana
浏览器里访问http://192.168.133.130:5601/
用户名elastic,密码为之前你设置过的密码(如果未安装x-pack,不需要用户名密码)
若无法输入用户名密码,查日志/var/log/kibana.log
出现错误 Status changed from uninitialized to red – Elasticsearch is still initializing the kibana index.
解决办法:curl -XDELETE http://192.168.133.130:9200/.kibana -uelastic
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ELK安装 – 安装logstash
以下在132上执行
logstash目前不支持java9(如果安装的idk是1.9的,目前logstash不支持)
直接yum安装(配置源同前面es的源)
yum install -y logstash //如果慢,就下载rpm包
1.wget https://artifacts.elastic.co/downloads/logstash/logstash-6.0.0.rpm
2.rpm -ivh logstash-6.0.0.rpm
logstash也需要安装x-pack(可省略)
cd /usr/share/logstash/bin/ (可省略)
./logstash-plugin install file:///tmp/x-pack-6.0.0.zip (可省略)
systemctl enable logstash
systemctl start logstash
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
logstash收集syslog日志
以下在132上操作
编辑配置文件 vi /etc/logstash/conf.d/syslog.conf//加入如下内容
#编辑的文件统统放到conf.d下面,并且以.conf后缀。这样才能识别到
input { #进入的源日志
syslog {
type => “system-syslog”
port => 10514
}
}
output { #输出到哪里去
stdout {
codec => rubydebug
}
}
检测配置文件是否有错
cd /usr/share/logstash/bin
./logstash –path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf –config.test_and_exit
以下在132上操作
前台形式启动logstash
./logstash –path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf//这样可以在屏幕上查看到日志输出,不能敲命令
再开一个终端
检测是否开启10514端口:netstat -lnp |grep 10514
vi /etc/rsyslog.conf//在#### RULES下面增加一行
*.* @
@127.0.0.1
:10514
#这里的ip应该写132的ip
systemctl restart rsyslog
从130ssh到132上,可以在logstash前台的终端上看到ssh登录的相关日志
结束logstash,在前台的那个终端上按ctrl c
以下在132上操作
后台形式启动logstash
编辑配置文件 vi /etc/logstash/conf.d/syslog.conf//配置文件内容改为如下
input {
syslog {
type => “system-syslog”
port => 10514
}
}
output {
elasticsearch {
hosts => [“192.168.130.132:9200”]
index => “system-syslog-%{+YYYY.MM}”
}
}
systemctl start logstash //启动需要一些时间,启动完成后,可以看到9600端口和10514端口已被监听
130上执行curl ‘localhost:9200/_cat/indices?v’ 可以获取索引信息
curl -XGET ‘localhost:9200/indexname?pretty’ 可以获指定索引详细信息
curl -XDELETE ‘localhost:9200/logstash-xxx-*’ 可以删除指定索引
浏览器访问192.168.132.130:5601,到kibana配置索引
左侧点击“Managerment”-> “Index Patterns”-> “Create Index Pattern”
Index pattern这里需要根据前面curl查询到的索引名字来写,否则下面的按钮是无法点击的
[root@version7-0 bin]# curl ‘localhost:9200/_cat/indices?v’ health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open system-syslog-2019.05 tqEt99NmSBCzgBmqTOFJaA 5 1 58 0 779.1kb 389.5kb green open .kibana UPgm2HcMSWaGaBEjmyoMpQ 1 1 1 0 6.9kb 3.4kb
以上,curl出来的,其中 system-syslog-2019.05 就是要输入到kibana界面里的
转载于:https://my.oschina.net/u/3866149/blog/3054557