ELK 日志分析系统（二）

1.安装elasticsearch

elasticsearch默认占用9200端口

2.创建安装目录

在usr目录下建立elasticsearch安装目录

cd /usr
mkdir elasticsearch

2.3.2.将elasticsearch-5.4.2.tar拷贝到java目录下

cp /mnt/hgfs/linux/elasticsearch-5.4.2.tar /usr/elasticsearch/

解压elasticsearch到当前目录

tar -zxvf elasticsearch-5.4.2.tar
得到文件夹 elasticsearch-5.4.2

3.启动

elasticsearch不允许用root用户启动
这是出于系统安全考虑设置的条件。由于ElasticSearch可以接收用户输入的脚本并且执行，为了系统安全考虑， 
建议创建一个单独的用户用来运行ElasticSearch


创建elsearch用户组及elsearch用户


groupadd elsearch useradd elsearch -g elsearch -p elasticsearch



更改elasticsearch文件夹及内部文件的所属用户及组为elsearch:elsearch
cd /usr
chown -R elsearch:elsearch elasticsearch



切换到elsearch用户再启动

su elsearch cd elasticsearch/bin./elasticsearch


查看是否启动：curl http://localhost:9200

4.指定地址启动

因为是要在mac的浏览器中访问linux里面启动的服务器，所以需要在配置文件中指定服务器地址。

# vim /usr/elasticsearch/elasticsearch-5.4.2/config/elasticsearch.yml

在文件末尾写

network.host: 10.211.55.3   #指定主机地址，其实是可选的，但是最好指定因为后面跟kibana集成的时候会报http连接出错（直观体现好像是监听了:::9200 而不是0.0.0.0:9200）http.cors.allow-origin: "/.*/"http.cors.enabled: true        #这2项都是解决跟kibana集成的问题，错误体现是 你的 elasticsearch 版本过低，其实不是

在启动的时候会报一些错误

此操作需要root权限

• max virtual memory areas vm.max_map_count [65530] likely too low,
  increase to at least [262144]

解决办法：
[root@localhost ~]# sysctl -w vm.max_map_count=262144
查看修改结果
[root@localhost ~]# sysctl -a|grep vm.max_map_count
vm.max_map_count = 262144

• for elasticsearch process likely too low, increase to at least

解决办法在vim /etc/security/limits.conf后添加
elsearch soft nofile 65536
elsearch hard nofile 65536