110.安装kibana、安装logstash，logstash收集syslog日志

时间 2019-11-10

标签安装 kibana logstash 收集 syslog 日志栏目日志分析繁體版

原文原文链接

安装kibana、安装logstash，logstash收集syslog日志html

ELK安装 – 安装kibana（成图的、web工具）java

如下在128（主节点）上执行（在一台机器上安装便可）nginx

wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm sha1sum kibana-6.0.0-x86_64.rpm rpm --install kibana-6.0.0-x86_64.rpmweb

！！用以上方式安装kibana6.0.0版本的。由于阿里云内置的yum源是最新版的，不兼容vim

https://www.elastic.co/guide/cn/kibana/current/rpm.html，这是官网安装页面浏览器

前面已经配置过yum源，这里就不用再配置了安全

yum install -y kibanaruby

若速度太慢，能够直接下载rpm包ssh

1.wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpmcurl

2.rpm -ivh kibana-6.0.0-x86_64.rpm

kibana一样也须要安装x-pack（可省略）

安装方法同elasticsearch的x-pack

cd /usr/share/kibana/bin （可省略）

./kibana-plugin install x-pack //若是这样安装比较慢，也能够下载zip文件（可省略）

wget https://artifacts.elastic.co/downloads/packs/x-pack/x-pack-6.0.0.zip//这个文件和前面下载的那个实际上是一个（可省略）

./kibana-plugin install file:///tmp/x-pack-6.0.0.zip （可省略）

如下在128上执行

3.vim /etc/kibana/kibana.conf //增长（配置文件）

server.host: 0.0.0.0

#此处建议监听内网ip（就是本机），监听外网或所有不安全。若是想监听外网，能够nginx作代理，而后安全认证，增长安全性

elasticsearch.url: "http://192.168.133.130:9200"

#须要跟主节点通讯，此处要写主节点的ip

logging.dest: /var/log/kibana.log

#默认在/var/log/messages。能够不指定输出日志，默认就好

touch /var/log/kibana.log; chmod 777 /var/log/kibana.log

4.systemctl restart kibana

浏览器里访问http://192.168.133.130:5601/

用户名elastic，密码为以前你设置过的密码（若是未安装x-pack，不须要用户名密码）

若没法输入用户名密码，查日志/var/log/kibana.log

出现错误 Status changed from uninitialized to red - Elasticsearch is still initializing the kibana index.

解决办法：curl -XDELETE http://192.168.133.130:9200/.kibana -uelastic

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ELK安装 – 安装logstash

如下在132上执行

logstash目前不支持java9（若是安装的idk是1.9的，目前logstash不支持）

直接yum安装（配置源同前面es的源）

yum install -y logstash //若是慢，就下载rpm包

1.wget https://artifacts.elastic.co/downloads/logstash/logstash-6.0.0.rpm

2.rpm -ivh logstash-6.0.0.rpm

logstash也须要安装x-pack（可省略）

cd /usr/share/logstash/bin/ （可省略）

./logstash-plugin install file:///tmp/x-pack-6.0.0.zip （可省略）

systemctl enable logstash

systemctl start logstash

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

logstash收集syslog日志

如下在132上操做

编辑配置文件 vi /etc/logstash/conf.d/syslog.conf//加入以下内容

#编辑的文件通通放到conf.d下面，而且以.conf后缀。这样才能识别到

input { #进入的源日志

syslog {

type => "system-syslog"

port => 10514

}

output { #输出到哪里去

stdout {

codec => rubydebug

}

检测配置文件是否有错

cd /usr/share/logstash/bin

./logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf --config.test_and_exit

如下在132上操做

前台形式启动logstash

./logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf//这样能够在屏幕上查看到日志输出，不能敲命令

再开一个终端

检测是否开启10514端口：netstat -lnp |grep 10514

vi /etc/rsyslog.conf//在#### RULES下面增长一行

*.* @@127.0.0.1:10514

#这里的ip应该写132的ip

systemctl restart rsyslog

从130ssh到132上，能够在logstash前台的终端上看到ssh登陆的相关日志

结束logstash，在前台的那个终端上按ctrl c

如下在132上操做

后台形式启动logstash

编辑配置文件 vi /etc/logstash/conf.d/syslog.conf//配置文件内容改成以下

input {

syslog {

type => "system-syslog"

port => 10514

}

output {

elasticsearch {

hosts => ["192.168.130.132:9200"]

index => "system-syslog-%{+YYYY.MM}"

}

systemctl start logstash //启动须要一些时间，启动完成后，能够看到9600端口和10514端口已被监听

130上执行curl 'localhost:9200/_cat/indices?v' 能够获取索引信息

curl -XGET 'localhost:9200/indexname?pretty' 能够获指定索引详细信息

curl -XDELETE 'localhost:9200/logstash-xxx-*' 能够删除指定索引

浏览器访问192.168.132.130:5601，到kibana配置索引

左侧点击“Managerment”-> “Index Patterns”-> “Create Index Pattern”

Index pattern这里须要根据前面curl查询到的索引名字来写，不然下面的按钮是没法点击的

[root@version7-0 bin]# curl 'localhost:9200/_cat/indices?v' health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open system-syslog-2019.05 tqEt99NmSBCzgBmqTOFJaA 5 1 58 0 779.1kb 389.5kb green open .kibana UPgm2HcMSWaGaBEjmyoMpQ 1 1 1 0 6.9kb 3.4kb

以上，curl出来的，其中 system-syslog-2019.05 就是要输入到kibana界面里的