ELK（Elasticsearch, Logstash, Ki

分别下载Elasticsearch, Logstash, Kibana

版本都是6.1（后改为5.0版本），放在一个ELK文件夹下

Java版本

安装Elasticsearch

打开一个新的命令行窗口运行Elasticsearch

进入<path_to_elasticsearch_root_dir>/bin文件夹下，运行./elasticsearch

打开浏览器访问http://localhost:9200

尝试修改了配置文件中的host name值为192.168.154.134后提示错误：

需要切换到root用户，修改

增加一行：

重启系统

继续运行elasticsearch，还是报错。

最终修改办法为：

切换到root下,执行如下命令ulimit –n 65536，再切换回普通用户，运行成功。

安装Logstash

另开一个命令窗口，进入Logstash根目录，输入./bin/logstash -e 'input { stdin { } } output { stdout

{} }'

开始提示出错：

出错原因：

虽然安装了jdk1.8版本，但是并没有删除jdk1.6版本，只是修改了/etc/profile文件中的java配置，但是每新开一个窗口，需要重新运行一下source /etc/profile，jdk版本才会变为1.8.

然后重新输入命令

按ctr-D退出

Logstash的退出不影响Kibana的运行。

安装Kibana

进入kibana根目录，运行命令/bin/kibana

浏览器访问http://localhost:5601，看到kibana界面

补充：之前有修改elasticsearch的host为具体IP，所以也需要修改Kibana配置文件中的关于elasticsearch的配置，否则会提示错误。

下载示例文件

https://github.com/elastic/examples

新建文件夹nginx_json_ElasticStack_Example

下载如上图的文件到文件夹下

运行示例

用Logstash 推送数据到Elasticsearch

运行下面的命令把示例日志文件索引到 Elasticsearch 中

运行命令如下：

cat nginx_json_logs | <path_to_logstash_root_dir>/bin/logstash -f nginx_json_logstash.conf

检查数据是否被Elasticsearch索引成功

运行 http://localhost:9200/nginx_json_elastic_stack_example/_count 返回的响应中应该能看到类似"count":51462

Kibana 数据可视化

1、浏览器访问http://localhost:5601

用kibana连接Elasticsearch中的nginx_json_elastic_stack_example索引

2、在kibana中加载示例dashboard

点击dashboard标签，打开Sample Dashboard for Nginx Logs仪表盘

搜索不出东西。

Logstash使用：

https://www.elastic.co/guide/en/logstash/5.0/configuration.html

注意修改hosts为IP地址，运行后结果：

更复杂一点的配置文件：

https://www.elastic.co/guide/en/logstash/5.0/config-examples.html

注意修改hosts为IP地址，运行结果：

从文件中读取日志：

注意修改hosts为IP地址，及path路径要写绝对路径，运行结果：

无结果，无错误.

重新下载5.6.8版本进行使用：

运行elasticsearch出错：

解决方式：

删除data下的nodes文件夹.

运行logstash出错：

内存不足，修改jvm.options文件：

再次运行，仍然提示此错误。，再次修改为-Xms200m还是有错误。

后来，停止kibana的运行，只让elasticsearch运行，再运行logstash成功！