本文地址 http://www.cnblogs.com/jasonxuli/p/6397244.html
 
https://www.elastic.co 上,elasticsearch,logstash (filebeat),kibana 都有各自的教程,基本照做就可以跑通。
但只是初步跑起来,如果要都作为服务运行,需要使用 rpm 包安装。
 
系统:
# cat /etc/issue

CentOS release 6.5 (Final)
 
ElasticSearch
 
安装后会创建用户 elasticsearch。
 
修改配置文件:
> vim /etc/elasticsearch/elasticsearch.yml

# ---------------------------------- Network -----------------------------------

#

# Set the bind address to a specific IP (IPv4 or IPv6):

#

# network.host: 127.0.0.1

network.host: 192.168.20.50

#

# Set a custom port for HTTP:

#

http.port: 

...

bootstrap.system_call_filter: false

!使用本地 IP(127.0.0.1)时,Elasticsearch 进入 dev mode,只能从本机访问,只显示警告。

!使用局域网IP后,可以从其他机器访问,但启动时进入 production mode,并进行 bootstrap check,有可能对不合适的系统参数报错。
例如:
ERROR: bootstrap checks failed

max file descriptors [] for elasticsearch process likely too low, increase to at least []

memory locking requested for elasticsearch process but memory is not locked

max number of threads [] for user [jason] likely too low, increase to at least []

max virtual memory areas vm.max_map_count [] likely too low, increase to at least []

system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

需要针对这些参数进行设置:

> vim /etc/security/limits.conf

...

elasticsearch hard nofile   # 针对 max file descriptors

elasticsearch soft nproc     # 针对 max number of threads

> vim /etc/sysctl.conf

...

vm.max_map_count=          # 针对 max virtual memory areas

> vim /etc/elasticsearch/elasticsearch.yml

...

bootstrap.system_call_filter: false   # 针对 system call filters failed to install, 参见 https://www.elastic.co/guide/en/elasticsearch/reference/current/system-call-filter-check.html
memory locking 的问题似乎改了上面几个就没有出现了。
 
sudo chkconfig --add elasticsearch   # configure Elasticsearch to start automatically when the system boots up

sudo -i service elasticsearch start

sudo -i service elasticsearch stop

日志: /var/log/elasticsearch/

 
 
LogStash
 

安装: 
rpm -vi logstash-5.2..rpm

这个例子里使用 Filebeat 将测试用的 Apache web log 作为 logstash的输入,解析并写入数据到 ElasticSearch 中。

 
目前还不需要修改 logstash.yml,logstash 会读取 /etc/logstash/conf.d/ 目录下的文件作为 pipeline 配置文件。
 
新建 logstash pipeline 配置文件:
> vim /etc/logstash/conf.d/first-pipeline.conf

input {

    beats {

        port => ""

    }

}

filter {

    grok {

        match => { "message" => "%{COMBINEDAPACHELOG}"}

    }

    geoip {

        source => "clientip"

    }

}

output {

    elasticsearch {

        hosts => [ "192.168.20.50:9200" ]

        index => "testlog-%{+YYYY.MM.dd}"

    }

}
 grok 可以解析未结构化的日志数据,Grok filter pattern 测试网站:http://grokdebug.herokuapp.com/
 
上述日志匹配模式为: 
%{COMBINEDAPACHELOG}
相当于:
%{IPORHOST:clientip} %{USER:ident} %{USER:auth}

\[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}

(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response}

(?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent}

启动:

sudo initctl start logstash  // 作为服务运行,在使用Upstart的系统中
接下来需要安装 Filebeat 来作为 input 获取数据。
解压用 gzip -d logstash-tutorial.log.gz
 
Filebeat
The Beats are open source data shippers that you install as agents on your servers to send different types of operational data to Elasticsearch. Beats can send data directly to Elasticsearch or send it to Elasticsearch via Logstash, which you can use to parse and transform the data.
 
 
安装:
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.2.0-x86_64.rpm

sudo rpm -vi filebeat-5.2.-x86_64.rpm
配置:
> vim /etc/filebeat/filebeat.yml

filebeat.prospectors:

- input_type: log

  paths:

    - /var/log/logstash-tutorial.log   # 之前下载的测试文件

    #- /var/log/*.log

    #- c:\programdata\elasticsearch\logs\*

...

#----------------------------- Logstash output --------------------------------

output.logstash:

  # The Logstash hosts

  #hosts: ["localhost:5044"]

  hosts: ["localhost:5043"]
rpm 安装、启动
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.2.0-x86_64.rpm

sudo rpm -vi filebeat-5.2.-x86_64.rpm

sudo /etc/init.d/filebeat start
kibana
 
kibana 5.2.0 要求 Elasticsearch 也为 5.2.0 。
 
修改配置:
> vim /etc/kibana/kibana.yml

server.host: "192.168.20.50"

elasticsearch.url: "http://192.168.20.50:9200"
> sudo chkconfig --add kibana   # 设置自动启动

> sudo -i service kibana start

> sudo -i service kibana stop
 
验证
 
1,检查 Elasticsearch 的索引:
http://192.168.20.50:9200/_cat/indices?v
 
2,根据之前 first-pipeline.conf 中的索引设置,创建出的索引应该是 testlog-2017.02.14,查询API为:
http://192.168.20.50:9200/testlog-2017.02.14/_search?
 
3,filebeat 第一次启动后应该会解析测试日志文件中的所有数据。
     之后可以添加新日志进去,然后刷新 ES 索引的url,看到该索引的 count 增加就说明解析新日志成功了。这个延迟大概几秒钟。
echo '1.1.1.3 - - [04/Jan/2015:05:13:42 +0000] "GET /test.png HTTP/1.1" 200 203023 "http://test.com/" "Mozilla/5.0"' >> /var/log/logstash-tutorial.log
 

ELK+Filebeat 安装配置入门的更多相关文章

  1. ELK 架构之 Logstash 和 Filebeat 安装配置

    上一篇:ELK 架构之 Elasticsearch 和 Kibana 安装配置 阅读目录: 1. 环境准备 2. 安装 Logstash 3. 配置 Logstash 4. Logstash 采集的日 ...

  2. ELK 架构之 Elasticsearch、Kibana、Logstash 和 Filebeat 安装配置汇总(6.2.4 版本)

    相关文章: ELK 架构之 Elasticsearch 和 Kibana 安装配置 ELK 架构之 Logstash 和 Filebeat 安装配置 ELK 架构之 Logstash 和 Filebe ...

  3. ELK 6安装配置 nginx日志收集 kabana汉化

    #ELK 6安装配置 nginx日志收集 kabana汉化 #环境 centos 7.4 ,ELK 6 ,单节点 #服务端 Logstash 收集,过滤 Elasticsearch 存储,索引日志 K ...

  4. FileBeat安装配置

    在ELK中因为logstash是在jvm上跑的,资源消耗比较大,对机器的要求比较高.而Filebeat是一个轻量级的logstash-forwarder,在服务器上安装后,Filebeat可以监控日志 ...

  5. elk集成安装配置

    三台虚拟机 193,194,195 本机 78 流程 pythonserver -> nginx -> logstash_shipper->kafka->logstash_in ...

  6. 转载maven安装,配置,入门

    转载:http://www.cnblogs.com/dcba1112/archive/2011/05/01/2033805.html 本书代码下载 大家可以从我的网站下载本书的代码:http://ww ...

  7. 第二篇:Filebeat 安装配置

    Filebeat 简介:Filebeat 是一款轻量型日志收集工具,可转发汇总日志.文件等内容.                         其主要特点为:1. 断点续传.(如遇日志转发过程中网络 ...

  8. Docker: 安装配置入门[二]

    一.安装配置启动 1.环境 [root@docker1 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) [root@d ...

  9. Keepalived安装配置入门

    准备两台虚拟机,IP如下: A:192.168.1.11 B:192.168.1.12 A为Master,B为BackUp 1.安装 yum install keepalived -y 2.配置 A服 ...

随机推荐

  1. Two-stage rotation animation is deprecated. This application should use the smoother single-stage an

    问题出在rootViewController同时包含UITabBarController和UINavigationController. 几经尝试,最后发现,在设置为window.rootViewCo ...

  2. Python爬虫个人记录(四)利用Python在豆瓣上写一篇日记

    涉及关键词:requests库 requests.post方法 cookies登陆 version 1.5(附录):使用post方法登陆豆瓣,成功! 缺点:无法获得登陆成功后的cookie,要使用js ...

  3. thinkphp每次跳转时都会显示笑脸的修改

    Success和error方法都有对应的模板,并且是可以设置的,默认的设置是两个方法对应的模板都是://默认错误跳转对应的模板文件'TMPL_ACTION_ERROR' => THINK_PAT ...

  4. 子查询中的NULL问题

    子查询返回有单行,多行和null值:适用于单行子查询的比较运算符是=,>,>=,<,<=<>和!=.适用于多行子查询的比较运算符是in,not in,any和any ...

  5. 虚拟机spark集群搭建

    RDD弹性分布式数据集 (Resilient Distributed Dataset) RDD只读可分区,数据集可以缓存在内存中,在多次计算间重复利用. 弹性是指内存不够时可以与磁盘进行交互 join ...

  6. c/c++--strlen()小问题

    int x = 2; char * str = "abcd"; int y = (x - strlen(str)) / 3; printf("%d\n", y) ...

  7. 选择 React Native 的理由

    转载:选择 React Native 的理由 从开始知道 React Native 到现在已经过了5个月,真实的试用也经历了三个月的时间.阅读文档开始,了解是什么,到简单的理解为什么,都是在聆听不同的 ...

  8. 分分钟搞定Python之排序与列表

    排序时程序中用得比较多的方法了.在Python中,最简单的排序方法摸过与使用内置的sorted(list)这个函数了,该函数一一个列表作为参数返回一个新的列表,只不过是把旧列表中的元素排过序了.原列表 ...

  9. 【贪心】Google Code Jam Round 1A 2018 Waffle Choppers

    题意:给你一个矩阵,有些点是黑的,让你横切h刀,纵切v刀,问你是否能让切出的所有子矩阵的黑点数量相等. 设黑点总数为sum,sum必须能整除(h+1),进而sum/(h+1)必须能整除(v+1). 先 ...

  10. 拆分Cocos2dx 渲染项目 总结

    因为只拆分了渲染的内容,所以代码只针对渲染部分进行分析. 代码涉及到这些类: CCImage,对图片的数据进行操作 CCNode,CCSprite,结点类 CCProgram,CCRenderer,C ...