参考资料：

1 、Logstash中文官网

2、 阿里云Elasticsearch> 最佳实践 > logstash部署

3、 logstash、elasticsearch、kibana搭建日志平台（CSDN）

4、ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台 （CSDN）

4、 elasticsearch5.x安装中一些问题的解决办法

5、 centos7虚拟机安装elasticsearch5.0.x-安装篇

一 ELK平台简介

开源实时日志分析ELK平台能够完美的解决我们上述的问题，ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。

官方网站：https://www.elastic.co/products

• Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

• Logstash是一个完全开源的工具，他可以对你的日志进行收集、过滤，并将其存储供以后使用（如，搜索）。

• Kibana 也是一个开源和免费的工具，它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志

二、 elasticsearch启动过程中遇到的问题：

1、 直接bin文件夹下执行elasticsearch命令启动时，提示不能用root用户启动（don't run elasticsearch as root），原因.root超级用户不能正常启动

  由于elasticsearch2.0版本以后不能使用root来启动，所以需要创建一个普通用户来启动。

  [root@localhost ~]# useradd XXX（自定义用户名称）

  [root@localhost ~]# passwd XXX

　　添加完以后还是不行，具体步骤参考如下：

2、 解决上述问题后，又出现以下两个问题

问题[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

修改 vim /etc/security/limits.conf 文件（注意要切换到root用户修改，在切换为非root用户查看）

增加如下字段（主要是hard nofile字段要修改到至少65536）：

问题[2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

解决：切换到root用户修改配置sysctl.conf vi /etc/sysctl.conf

添加下面配置： vm.max_map_count=655360

并执行命令： sysctl -p 然后，重新启动elasticsearch，即可启动成功。

启动成功后：

三、 kibana整合elasticsearch配置

启动前修改以下参数即可：

登录Kibana页面：端口号为配置文件中端口号，默认是5601，此处修改为5602了