ELK日志管理

ELK一般由三部分组成：logstash（日志格式化） + elasticsearch（检索） + Kibana（前台报表展示）

官网地址：https://www.elastic.co/

本人在这用的是logstash*3 +elasticsearch集群 +Kibana 架构

1、logstash和elasticsearch安装，这里使用官方yum安装

[root@MiWiFi-R1CM ~]# rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch   #下载证书认证[root@MiWiFi-R1CM ~]# cat > /etc/yum.repos.d/elasticsearch.repo <<EOF> > [elasticsearch-1.7]> name=Elasticsearch repository for 1.7.x packages> baseurl=http://packages.elastic.co/elasticsearch/1.7/centos> gpgcheck=1> gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch> enabled=1> EOF[root@MiWiFi-R1CM ~]# yum clean all[root@MiWiFi-R1CM ~]# yum makecache[root@MiWiFi-R1CM ~]# yum install logstash[root@MiWiFi-R1CM ~]# yum install elasticsearch[root@MiWiFi-R1CM ~]# service logstash start   #启动logstash服务[root@MiWiFi-R1CM ~]# service elasticsearch start  #启动elasticsearch服务

2、elasticsearch集群配置
文件所在目录

[root@MiWiFi-R1CM ~]# whereis elasticsearchelasticsearch: /etc/elasticsearch /usr/share/elasticsearch[root@MiWiFi-R1CM ~]# vi /etc/elasticsearch/elasticsearch.yml  cluster.name: elasticsearch     #集群名称node.name: "Franz Kafka"        #集群节点名称，默认自动获取path.data: /path/to/data        #集群数据文件存放路径path.logs: /path/to/logs        #日志路径path.work: /path/to/work        #临时文件路径transport.tcp.port: 9300        #集群间通信端口http.port: 9200                 #集群对外端口discovery.zen.ping.unicast.hosts: ["host1", "host2:port"] #如果集群不是在同一网段中，是没法自动加进集群的，需要在这里配置节点的ip和端口

检查elasticsearch集群状态：

[root@MiWiFi-R1CM ~]# curl -XGET 'http://localhost:9200/_cluster/state?pretty'[root@MiWiFi-R1CM ~]# curl 'http://127.0.0.1:9200/_cluster/stats?pretty'

3、Kibana 安装，解压就可以使用

[root@MiWiFi-R1CM ~]# wget https://download.elastic.co/kibana/kibana/kibana-4.1.1-linux-x64.tar.gz[root@MiWiFi-R1CM ~]# tar zxf kibana-4.1.1-linux-x64.tar.gz[root@MiWiFi-R1CM ~]# kibana-4.1.1-linux-x64/bin/kibana 

4、指定kibana访问的elasticsearch

[root@MiWiFi-R1CM config]# vi kibana-4.1.1-linux-x64/config/kibana.yml elasticsearch_url: "http://localhost:9200"

ELK这样就算搭建起来了，不过要真正让它运转起来还需要配置相关文件，可以参考本人其他的博客