ELK安装步骤_Linux

一、 安装 jdk8 tar –zxvf jdk-8u151-linux-x64.tar.gz 创建运行ELK的用户 [root@localhost local]# groupadd elk [root@localhost local]# useradd -g elk elk chown -R elk:elk /elk vi /etc/profile export ES_JAVA_HOME=/mydata/elk/jdk1.8.0_151 ulimit -u 4096 [root@localhost local]# source /etc/profile 配置limit相关参数 [root@localhost local]# vim /etc/security/limits.conf 添加以下内容 * soft nproc 65536 * hard nproc 65536 * soft nofile 65536 * hard nofile 65536 ### ELK Stack在Linux下的安装步骤详解 #### 一、安装 JDK 8 ELK Stack（Elasticsearch、Logstash 和 Kibana）是三个开源工具的组合，用于收集、存储、分析和可视化数据。为了确保这些组件能够正常运行，需要安装一个合适的Java运行时环境。这里以JDK 8为例。 1. **下载与解压**： 下载适用于Linux的JDK 8压缩包，并将其解压到指定目录。命令如下： ```bash tar -zxvf jdk-8u151-linux-x64.tar.gz ``` 2. **创建运行ELK的用户**： 为了安全起见，推荐使用非root用户来运行ELK组件。可以通过以下命令创建一个名为`elk`的组以及一个同名的用户，并将解压后的JDK文件夹权限更改为该用户所有： ```bash [root@localhost local]# groupadd elk [root@localhost local]# useradd -g elk elk chown -R elk:elk /elk ``` 3. **配置环境变量**： 接下来需要设置Java环境变量。编辑`/etc/profile`文件，添加如下内容： ```bash vi /etc/profile export ES_JAVA_HOME=/mydata/elk/jdk1.8.0_151 ulimit -u 4096 ``` 修改完成后，通过执行`source /etc/profile`命令使配置立即生效。 4. **调整系统限制**： Elasticsearch对系统的最大文件句柄数有一定要求，因此还需要修改`/etc/security/limits.conf`文件，添加以下内容： ```bash * soft nproc 65536 * hard nproc 65536 * soft nofile 65536 * hard nofile 65536 ``` 此外，还应增加Elasticsearch进程的最大文件描述符数。可以使用`ulimit -Hn`命令进行查看，如果低于65536，则需要提高此值。同时，还需修改虚拟内存区域数`vm.max_map_count`，命令如下： ```bash sysctl -w vm.max_map_count=655360 ``` 要让此配置永久生效，可以编辑`/etc/sysctl.conf`文件： ```bash cat /etc/sysctl.conf | grep -v "vm.max_map_count" > /tmp/system_sysctl.conf echo "vm.max_map_count=655360" >> /tmp/system_sysctl.conf mv /tmp/system_sysctl.conf /etc/sysctl.conf ``` #### 二、安装 Elasticsearch 1. **解压并配置**： 使用命令`tar -zxvf elasticsearch-6.0.1.tar.gz`解压Elasticsearch压缩包，并切换到`elk`用户下进行后续操作。 2. **配置Elasticsearch**： 编辑`elasticsearch-env`文件，设置Java路径。具体操作如下： ```bash # now set the path to java if [-x "$ES_JAVA_HOME/bin/java" ]; then JAVA="$ES_JAVA_HOME/bin/java" else set +e JAVA=`which java` set -e fi ``` 3. **启动Elasticsearch**： 使用命令`./elasticsearch &`启动服务。由于Elasticsearch启动时间较长，需要等待一段时间才能完成启动。 4. **验证启动状态**： 可以通过命令`netstat -ant`检查端口是否处于监听状态，或者使用`curl http://localhost:9200`来确认Elasticsearch是否启动成功。 #### 三、安装 Logstash 1. **解压并配置**： 使用命令`tar -zxvf logstash-6.0.1.tar.gz`解压Logstash压缩包，然后编辑`logstash-6.0.1/bin/logstash.lib.sh`文件，设置Java路径： ```bash setup_java() { # set the path to java into JAVACMD which will be picked up by JRuby to launch itself if [-x "$ES_JAVA_HOME/bin/java" ]; then JAVACMD="$ES_JAVA_HOME/bin/java" else set +e JAVACMD=`which java` set -e fi } ``` 2. **创建配置文件**： 创建一个名为`logstash.conf`的配置文件，并添加以下内容： ```conf input { file { type => "tomcat-catalina" path => "/mydata/apache-tomcat-7.0.75/logs/catalina.out" start_position => "beginning" codec => multiline { pattern => "^\s" what => "previous" } } } output { elasticsearch { hosts => "192.168.100.98:9200" index => "%{type}-%{+YYYY.MM.dd}" } } ``` 3. **验证Elasticsearch可用性**： 在启动Logstash之前，先确认Elasticsearch服务是否可用： ```bash curl -u elastic:changeme http://192.168.100.98:9200 ``` 4. **启动Logstash**： 使用命令`./logstash -f config/logstash.conf`启动Logstash，并通过日志查看是否成功启动。 通过以上步骤，即可完成ELK Stack在Linux下的基本安装配置。这为后续的日志管理和数据分析提供了坚实的基础。