ELK-5.4.1和x-pack权限控制 安装指导

安装jdk

• 下载jdk-1.8，下载后解压到/usr/local/java文件夹下
• 配置环境变量，在/etc/profile，写入如下：输入完成后 source /etc/profile使得修改文件生效。(如果jdk是rpm，则使用rpm安装，输入：rpm -ivh install jdk1.8.0_131.rpm)

JAVA_HOME=/usr/local/java/usr/java/jdk1.8.0_131JRE_HOME=/usr/local/java/usr/java/jdk1.8.0_131/jreCLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/libPATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/binexport JAVA_HOME JRE_HOME CLASS_PATH PAT

• 测试安装。输入 Java -version

[root@iZwz9i558x129gqyo55zluZ java]# java -versionjava version "1.8.0_131"Java(TM) SE Runtime Environment (build 1.8.0_131-b11)Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)

安装elasticsearch

• 将下载好的elasticsearch解压到指定文件夹/usr/local/logsystem（logsystem是新建文件夹）
  tar zxvf elasticsearch-5.4.1 -C /usr/local/logsystem –解压命令
  增加elasticsearch-5.4.1文件夹的索引

ln -s elasticsearch-5.4.1  elasticsearch  

• 配置elasticsearch.yml文件。
  
[elk@izwz9i558x129gqyo55zluz bin]$ vi ../config/elasticsearch.yml //进入elasticsearch 文件夹下修改elasticsearch.yml

  修改以下内容：

cluster.name: my-application  //在同一个集群下，各个节点机器的集群名字必须一样，表示在同一个组内node.name: node-1             //每个节点名字必须不一样，来区分不同的节点path.data: /nfplus/elkdata/elasticsearch/data     //配置保存数据的路径path.logs: /usr/local/logsystem/elasticsearch/logs    //配置日志文件的路径  查看硬盘信息 df -h  这个地方需要授权 chown -R elk:elk /nfplus/elkdatanetwork.host: 192.168.3.64        //把ip地址改为电脑的ipdiscovery.zen.ping.unicast.hosts: ["192.168.3.63","192.168.3.62"]          //集群搭建必须要填写除本机以外的其他集群内机器的ip

• 启动elasticsearch。（考虑到安全问题，不能用root作为启动用户，需要创建新的用户elk，密码123(后期可以更改密码) 。）

groupadd elk useradd elk -g elk -p elsearchcd /usr/local  chown -R elk:elk logsystempasswd elk输入：123su elk    //进入elk用户

• 安装没有问题就能够启动成功。（但由于将ip地址改为非localhost 地址，则会出现如下报错。解决办法如下：）

ERROR: [1] bootstrap checks failed[1]: max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]

• 第一步：
  
  • 输入： vi /etc/sysctl.conf 最后一行加入 fs.file-max=655350
    
# see details in https://help.aliyun.com/knowledge_detail/41334.html
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
fs.file-max=655350


• 第二步：输入 vi /etc/security/limits.conf

  • 在vi /etc/security/limits.conf 中新增
    “`
  • soft nofile 655350
  • hard nofile 655350

再次运行elasticsearch，问题解决！#### 安装logstash- 将下载的tar.gz文件解压到指定的文件夹。（我这是/usr/local/logsystem） 增加logstash-5.4.1文件夹的索引  ```    ln -s logstash-5.4.1  logstash  ```- 启动logstash可以通过如下两种方式。    - a. 通过直接命令        ```        [root@izwz935p55sj50wlmptmy5z bin]# ./logstash -e ""        ```    - b. 通过配置文件启动，首先在logstash/config路径下新建一个.conf类型的文件     ```     input {  file {    type => "nginx-access"    path => ["/www/wwwLogs/www.lanmps.com/*.log"]    start_position => "beginning"  }}output {  elasticsearch {        hosts => ["10.1.5.66:9200"]        index => "logstash-%{type}-%{+YYYY.MM.dd}"        document_type => "%{type}"        user => elastic        password => admin123456  }}

再通过输入运行logstash：

[root@izwz935p55sj50wlmptmy5z bin]# ./logstash -f ../config/sendData.conf 

安装kibana

• 将下载的tar.gz文件解压到指定的文件夹。（我这是/usr/local/logsystem）
  增加kibana-5.4.1文件夹的索引

ln -s kibana-5.4.1  kibana 

• 启动kibana

[root@izwz935p55sj50wlmptmy5z logsystem]# cd kibana[root@izwz935p55sj50wlmptmy5z kibana]# cd bin[root@izwz935p55sj50wlmptmy5z bin]# ./kibana

• 如果elasticsearch.yml 中的ip地址不是localhost,则需要在kibana.yml中设置elasticsearch.url。

elasticsearch.url: "http://192.168.3.64:9200"

安装x-pack

安装前先去官网下载对应版本的x-pack-*.zip，放到/usr/local/logsystem路径下。

• 在elasticsearch安装

bin/elasticsearch-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip            //安装完成的默认用户名elastic 密码changeme

• 在kibana中安装

bin/kibana-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip                    //安装完成的默认用户名elastic 密码changeme

修改kibana.yml增加权限

elasticsearch.username: "elastic"elasticsearch.password: "admin123456"

• 在logstash中安装

bin/logstash-plugin install file:///usr/local/logsystem/x-pack-5.4.1.zip