elk安装与搭建

Elasticsearch安装配置

·下载elasticsearch.tar.gz包，解压压缩包。（此处为单机版es，集群请参考 https://www.cnblogs.com/lazycxy/p/9468074.html）

·创建ES用户和组（创建elsearch用户组及elsearch用户），因为使用root用户执行ES程序，将会出现错误；所以这里需要创建单独的用户去执行ES 文件；命令如下：

命令一：groupadd elsearch

命令二：useradd elsearch -g elsearch

命令三：chown -R elsearch:elsearch elasticsearch-5.6.3  //该命令是更改该文件夹下所属的用户组的权限

·修改ES的配置文件，使用cd命令进入到config 文件下，执行 vi elasticsearch.yml 命令

命令一：vi elasticsearch.yml

修改如图所示三处配置，保存退出。

·切换到elsearch用户，启动elasticsearch；命令如下：

命令一：su elsearch

命令二：./elasticsearch (执行 ./elasticesrarch -d 是后台运行)

错误一:

此时会提示 vm.max_map_count [65530] is too low  这个值设置的太小，需要修改vm.max_map_count这个变量的值，切换到root用户修改配置sysctl.conf  增加配置值： vm.max_map_count=655360  执行命令 sysctl -p   这样就可以了，然后切到elsearch用户，重新启动ES服务 就可以了

　 错误二:

代表进程不够用了

解决方案： 切到root 用户：进入到security目录下的limits.conf；执行命令 vim /etc/security/limits.conf 在文件的末尾添加下面的参数值：

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

前面的*符号必须带上，然后重新启动服务器即可。执行完成后可以使用命令 ulimit -n 查看进程数

最终切换到elsearch用户，启动es服务即可。

Kibana安装配置

在浏览器中输入ip:port查看是否启动成功，如图所示，单机elasticsearch启动成功

·下载Kibana.tar.gz包，解压压缩包。

·修改kibana.yml配置文件

vim kibana.yml  编辑配置文件，在最后面加上如下配置就行：

server.port: 5601

server.host: "0.0.0.0"

elasticsearch.url: "http://ip:9200"

//这里ip:port要和es配置文件中填写的一致

kibana.index: ".kibana"

　　·启动完毕，可以浏览器输入url:服务器外网ip:5601 查看是否成功启动：· 启动服务:cd命令进入bin目录，执行sh kibana &  命令 后台启动kibana

logstash 安装配置 

·下载logstash.tar.gz包，解压压缩包。

·进入bin目录，创建配置文件logstash1.conf

cd logstash-6.4.2/bin/进入bin目录

新建文件 vim logstash1.conf ，写入内容(监听tomcat的日志)：

input {

file {

path => "tomcat应用目录/logs/*.log"  //此处代表监控的日志文件

start_position => beginning

}

}

filter {

}

output {

elasticsearch {

hosts => "ip:9200"

}

}

启动logstash：sh logstash -f logstash1.conf

至此 elk的环境就安装好了，kibana怎么去统计分析日志，将在下一篇文章讲解