谁说运维用ELK没用？我就说很有用，只是你之前不会用【转】

1.安装JDK

1)登陆ORACLE官网 (http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html )下载JDK

2)将jdk包放到目录/home/app下，执行解压命令

tar -xvf jdk-8u101-linux-i586.tar.gz

3)添加java环境变量

export JAVA_HOME=/home/app/java/jdk1.8.0_101

export PATH=$JAVA_HOME/bin:$PATH

export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar

4)java配置生效

source /etc/profile

5)查看jdk是否安装成功

java -version

2.安装配置Logstash

1)上传logstash-2.4.0.zip到 /home/app目录下

2）解压logstash-2.4.0.zip

unzip logstash-2.4.0.zip

3)查看logstash 是否可以正常运行

进入/home/bin/logstash-2.4.0/bin 目录,执行命令 ./logstash -v,返回信息：

输入 hello logstash,查看返回结果

4)新建patterns 目录，添加gork配置文件hirecar_log_pattern（定义gork信息）

ANYTHING .+

BROWSER [a-zA-Z0-9.@-+_%]+/[0-9]+.[0-9]+

NGUSERNAME [a-zA-Z.@-+_%]+

NGUSER %{NGUSERNAME}

NGINXACCESS %{IPORHOST:clientip} %{NGUSER:ident} %{NGUSER:auth} [%{HTTPDATE:timestamp}] "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response} (?:%{NUMBER:bytes}|-) (?:"(?:%{URI:referrer}|-)"|%{QS:referrer}) %{QS:agent} %{QS:xforwardedfor} %{IPORHOST:host} %{BASE10NUM:request_duration}

5)新建ifo_confs目录，添加hirecarlog文件（定义输入，输出，过滤器）

input {

file {

path => "/home/app/hirecarlog/*"

start_position => beginning

}

}

filter {

grok {

patterns_dir => "/home/app/logstash-2.4.0/dir"

match => {

"message" => "%{IPORHOST:clientip} %{NGUSER:ident} "%{NGUSER:ident2}" %{NGUSER:ident3} [%{HTTPDATE:timestamp}] "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response} (?:%{NUMBER:bytes}|-) "(%{URI:referrer}|-)" %{ANYTHING:anything}"

}

}

grok {

patterns_dir => "/home/app/logstash-2.4.0/dir"

match => {

"clientip" => "%{NUMBER:xx}"

}

remove_field => ["message","host","ident","ident2","ident3","httpversion","bytes","xx","anything"]

}

date{

match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]

}

}

output {

stdout {

codec => rubydebug

}

elasticsearch{

hosts => ["localhost:9200"]

}

}

3 安装Elasticsearch

1)解压 elasticsearch-1.5.0.zip

2)/home/app/elasticsearch-1.5.0/config目录下 修改文件 elasticsearch.yml

修改cluster.name 为 hirecar

注释信息：

network.bind_host

network.publish_host

network.host

注:elasticsearch 2.4.0 需要指定IP：即修改network.host属性值。

3)安装插件 head

elasticsearch/bin/plugin -install mobz/elasticsearch-head

4)后台启动elasticsearch ./elaticsearch -d

5) 查看elasticsearch运行状态：host:9200/ ,返回elasticsearch基础信息

{

"status" : 200,

"name" : "50 hirecar",

"cluster_name" : "hirecar",

"version" : {

"number" : "1.5.0",

"build_hash" : "544816042d40151d3ce4ba4f95399d7860dc2e92",

"build_timestamp" : "2015-03-23T14:30:58Z",

"build_snapshot" : false,

"lucene_version" : "4.10.4"

},

"tagline" : "You Know, for Search"

}

6）通过head插件查看elasticsearch运行详细信息:访问:host:9200/plugin/_head

4.安装kibana

1)解压kibana-4.1.11-linux-x64.zip

2)定义kibana访问的elasticsearch地址属性：elasticsearch_url

3)注释服务绑定地址属性： host

4)$Kibana_HOME/bin 目录下，启动kibana服务 ./kibana

5)验证kibana是否启动正常,访问链接： http://host:5601/

5.kibana简单应用 -创建一个饼状图

1) 访问Visulize选型，选择创建饼状统计分析图

2)点击创建一个新查询条件

3）选择时间，定义统计指标，定义统计分区

4)点击执行按钮后，返回指定时间范围内排名前20的IP访问地址

6 运维使用ELK效果展示

上述的内容仅是简单介绍了ELK的部署，但是很多人会问，我能用ELK来做什么？如果你是一个开发，那么你可以用ELK来进行大数据分析和自定义图标，制作报表等；如果你是一个运维，那么你可以用ELK来收集你各个系统的系统日志、安全日志、用户操作记录等等，当然你也可以收集程序日志，但是前提是你的程序日志不是debug模式，不然ELK收集的日志会让你怀疑人生（因为实在是太多太多的日志输出了）。

下面我来展示下运维使用ELK的简单例子，也是我们公司目前在用的一个审计手段：

1）操作系统用户操作记录审计功能

该功能可以实现，任何用户任何时间只要在操作系统上进行了操作，他的操作指令就会立即传输到ELK中的Elasticsearch中，即使用户在操作系统上清除了操作记录也没用，依然是可以记录到。该功能可以为操作审计提供一大助力。

2）记录安全日志

该功能可以统计系统上用户登录次数等，过滤关键字可以查看时间段内是否有人包里破解系统，这个功能可以作为日常巡检中的一项，提高系统安全性。

3）查看系统日志，判断系统是否出现异常情况

通过过滤Error或Warn等关键字眼，可以巡查是否有服务器出现了系统异常。该功能也可以作为日常巡检工作之一，确保服务器能够正常运作。

4）进行绘图，自定义控制面板查看重要信息

例如我想看下我的操作系统每天都有多少次登录信息、或者说是否有人在服务器上进行了危险操作，或者系统是否出现了异常输出等等，均可以自定义控制面板。点击向上按钮可以查看面板图中的相关信息。

转自

谁说运维用ELK没用？我就说很有用，只是你之前不会用
http://www.toutiao.com/i6445042259703366157/