centos系统elk搭建

一：准备工作

1.关闭防火墙

命令：iptables -F

命令：systemctl stop firewalld

命令：setenforce 0

2.安装jdk环境

命令如下：

# tar zxf jdk-8u211-linux-x64.tar.gz -C /usr/local/
# ln -s /usr/local/jdk1.8.0_211 /usr/local/jdk
# vim /etc/profile

输入下面的代码

export JAVA_HOME=/usr/local/jdk
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin
# source /etc/profile

二：安装elasticsearch

1.因为root无法启动elasticsearch，所以创建普通用户elk   并设置密码   添加sudo权限（不做阐述）

接下来时系统设置

# vim /etc/security/limits.conf

在文件的最下面输入

* soft nofile 65536
* hard nofile 65536
* soft nproc 4096
* hard nproc 4096

# vim /etc/sysctl.conf

在文件最下面输入

vm.max_map_count = 655360

# sysctl -p
vm.max_map_count = 655360

2.将下载好的tar包进行解压

# sudo tar -zvxf elasticsearch-6.3.0.tar.gz -C /usr/local/

然后用root将elasticsearch-6.3.0文件以及子文件的属主改为elk

# chown -R elk:elk /usr/local/elasticsearch-6.3.0/

修改配置文件

$ sudo vim /usr/local/elasticsearch-6.3.0/config/elasticsearch.yml
network.host: 0.0.0.0

$ /usr/local/elasticsearch-6.3.0/bin/elasticsearch -d         放入后台启动

$ curl http://192.168.20.100:9200             测试一下

三：安装kibana

$ sudo tar -zvxf kibana-6.3.0-linux-x86_64.tar.gz -C /usr/local/
$ sudo chown -R elk:elk /usr/local/kibana-6.3.0-linux-x86_64/

修改配置文件

$ sudo vim /usr/local/kibana-6.3.0-linux-x86_64/config/kibana.yml

# 设置访问端口
  server.port: 5601

# 使外网能够访问
  server.host: "0.0.0.0"

# 指定es的地址
  elasticsearch.url: ["http://localhost:9200"]

启动

$ sudo nohup /usr/local/kibana-6.3.0-linux-x86_64/bin/kibana &                       

测试

在浏览器上输入http://192.168.20.100:5601

四：安装logstash

解压到/usr/local/

$ sudo tar -zvxf logstash-6.3.0.tar.gz -C /usr/local/
$ sudo chown -R elk:elk /usr/local/logstash-6.3.0/
测试
$ /usr/local/logstash-6.3.0/bin/logstash -e ‘input { stdin {} } output { stdout {} }‘

创建一份模板

$ sudo vim /usr/local/logstash-6.3.0/config/file.conf

input {
    file {
      path => "/var/log/messages"
      type => "system"
      start_position => "beginning"
    }
}               #输入规则                     

output {
    elasticsearch {
       hosts => ["192.168.20.100:9200"]
       index => "system-%{+YYYY.MM.dd}"
    }
}              #输出规则
后台运行logstash

$ sudo nohup /usr/local/logstash-6.3.0/bin/logstash -f /usr/local/logstash-6.3.0/config/file.conf &

centos系统elk搭建

原文：https://www.cnblogs.com/zgqbky/p/13378229.html