ELK-5.4.1和x-pack权限控制 安装指导

时间:2022-09-20 16:34:31

安装jdk

  1. 下载jdk-1.8,下载后解压到/usr/local/java文件夹下

  2. 配置环境变量,在/etc/profile,写入如下:输入完成后 source /etc/profile使得修改文件生效。(如果jdk是rpm,则使用rpm安装,输入:rpm -ivh install jdk1.8.0_131.rpm)

    JAVA_HOME=/usr/local/java/usr/java/jdk1.8.0_131
    JRE_HOME=/usr/local/java/usr/java/jdk1.8.0_131/jre
    CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
    PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
    export JAVA_HOME JRE_HOME CLASS_PATH PAT


  3. 测试安装。输入 Java -version

    [root@iZwz9i558x129gqyo55zluZ java]# java -version
    java version "1.8.0_131"
    Java(TM) SE Runtime Environment (build 1.8.0_131-b11)
    Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)


安装elasticsearch


1. 将下载好的elasticsearch解压到指定文件夹/usr/local/logsystem(logsystem是新建文件夹)

     tar zxvf elasticsearch-5.4.1 -C  /usr/local/logsystem       --解压命令

     增加elasticsearch-5.4.1文件夹的索引

ln -s elasticsearch-5.4.1  elasticsearch   


2. 配置elasticsearch.yml文件。


[elk@izwz9i558x129gqyo55zluz bin]$ vi ../config/elasticsearch.yml   //进入elasticsearch 文件夹下修改elasticsearch.yml

修改以下内容:

cluster.name: my-application  //在同一个集群下,各个节点机器的集群名字必须一样,表示在同一个组内
node.name: node-1 //每个节点名字必须不一样,来区分不同的节点
path.data: /nfplus/elkdata/elasticsearch/data //配置保存数据的路径
path.logs: /usr/local/logsystem/elasticsearch/logs //配置日志文件的路径 查看硬盘信息 df -h 这个地方需要授权 chown -R elk:elk /nfplus/elkdata
network.host: 192.168.3.64 //把ip地址改为电脑的ip

discovery.zen.ping.unicast.hosts: ["192.168.3.63","192.168.3.62"] //集群搭建必须要填写除本机以外的其他集群内机器的ip


3.启动elasticsearch。(考虑到安全问题,不能用root作为启动用户,需要创建新的用户elk,密码123(后期可以更改密码) 。)

groupadd elk
useradd elk -g elk -p elsearch
cd /usr/local
chown -R elk:elk logsystem
passwd elk
输入:123
su elk //进入elk用户

4.安装没有问题就能够启动成功。(但由于将ip地址改为非localhost 地址,则会出现如下报错。解决办法如下:)

ERROR: [1] bootstrap checks failed
[1]: max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]


第一步:

输入: vi /etc/sysctl.conf   最后一行加入 fs.file-max=655350

# see details in https://help.aliyun.com/knowledge_detail/41334.html
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
fs.file-max=655350

第二步:输入 vi /etc/security/limits.conf 

在vi /etc/security/limits.conf 中新增

* soft nofile 655350

* hard nofile 655350



再次运行elasticsearch,问题解决!

安装logstash

      1. 将下载的tar.gz文件解压到指定的文件夹。(我这是/usr/local/logsystem)

        增加logstash-5.4.1文件夹的索引

ln -s logstash-5.4.1  logstash
      2. 启动logstash可以通过如下两种方式。

          a. 通过直接命令

[root@izwz935p55sj50wlmptmy5z bin]# ./logstash -e ""


   b.通过配置文件启动,首先在logstash/config路径下新建一个.conf类型的文件



input {
file {
type => "nginx-access"
path => ["/www/wwwLogs/www.lanmps.com/*.log"]
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["10.1.5.66:9200"]
index => "logstash-%{type}-%{+YYYY.MM.dd}"
document_type => "%{type}"
user => elastic
password => admin123456
}
}

再通过输入运行logstash:

[root@izwz935p55sj50wlmptmy5z bin]# ./logstash -f ../config/sendData.conf 

安装kibana

 1. 将下载的tar.gz文件解压到指定的文件夹。(我这是/usr/local/logsystem)

 增加kibana-5.4.1文件夹的索引

ln -s kibana-5.4.1  kibana 


2.启动kibana

[root@izwz935p55sj50wlmptmy5z logsystem]# cd kibana
[root@izwz935p55sj50wlmptmy5z kibana]# cd bin
[root@izwz935p55sj50wlmptmy5z bin]# ./kibana

3.如果elasticsearch.yml 中的ip地址不是localhost,则需要在kibana.yml中设置elasticsearch.url。

elasticsearch.url: "http://192.168.3.64:9200"


安装x-pack

安装前先去官网下载对应版本的x-pack-***.zip,放到/usr/local/logsystem路径下。

1.在elasticsearch安装 

bin/elasticsearch-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip            //安装完成的默认用户名elastic 密码changeme


2.在kibana中安装

bin/kibana-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip                    //安装完成的默认用户名elastic 密码changeme

修改kibana.yml增加权限

elasticsearch.username: "elastic"
elasticsearch.password: "admin123456"

3.在logstash中安装

bin/logstash-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip