ELK收集windows服务器日志笔记

一、软件版本

　　1.jdk-8u211-linux-x64.rpm

　　2.elasticsearch-6.8.1.rpm

　　3.logstash-6.8.1.rpm

　　4.kibana-6.8.1-x86_64.rpm

     说明：elasticsearch做集群   主机1：192.168.1.102 主机2：192.168.1.104

　　　　 logstash和kibana安装在主机1上

二、安装软件

　　2.1 主机1：

　　　 jdk-8u211-linux-x64.rpm和elasticsearch-6.8.1.rpm 并配置elasticsearch

　　　 说明：elasticsearch依赖jdk环境，所以先安装jdk-8u211-linux-x64.rpm

　　　 yum -y localinstall  jdk-8u211-linux-x64.rpm

            yum -y localinstall  elasticsearch-6.8.1.rpm

        

　　创建数据目录和日志目录及权限修改
　　[root@linux-elk1 ~]# mkdir -p /elk/{data,logs}
　　[root@linux-elk1 ~]# chown elasticsearch.elasticsearch /elk/ -R

　　修改内存限制，内存锁定需要进行配置需要2g以上内存，否则会导致无法启动elasticsearch。
　　[root@linux-elk1 ~]# vim /usr/lib/systemd/system/elasticsearch.service
　　在[Service]下加入下面这行内容
　　LimitMEMLOCK=infinity

　　[root@linux-elk1 ~]# vim /etc/elasticsearch/jvm.options
　　-Xms2g
　　-Xmx2g #最小和最大内存限制.

        编辑配置文件：vim /etc/elasticsearch/elasticsearch.yml　

　　[root@logsystem src]# grep -v "^#" /etc/elasticsearch/elasticsearch.yml
　　cluster.name: my-log
　　node.name: node-1
　　path.data: /elk/data
　　path.logs: /elk/logs
　　network.host: 192.168.1.102
　　http.port: 9200
　　discovery.zen.ping.unicast.hosts: ["192.168.1.102","192.168.1.104"]

　　设置开机启动
　　systemctl enable elasticsearch.service

　　systemctl daemon-reload
　　systemctl start elasticsearch.service

　　查看状态
　　systemctl status elasticsearch.service

　　正在运行，查看端口
　　ss -tnl

　　

　　查看信息，也是一种检测。若能出现如下信息，则说明配置正确
　　curl http://192.168.1.102:9200

　　

　　

　　集群有状态： green ，red , yellow
　　绿色表示一切是好的(集群功能齐全)
　　黄色意味着所有数据是可用的，但是一些副本尚未分配(集群功能齐全)
　　红色意味着一些数据不可用
　　即使一个集群是红色的,它仍然是部分功能(即它将继续搜索请求从服务可用的碎片)但是你可能需要尽快修复它,因为你有缺失的数据。

　　Restful API:
　　四类API
　　1. 检查集群，节点，索引等健康与否，以及获取其相应状态
　　2.管理集群，节点，索引及元数据
　　3.执行CRUD操作
　　4.执行高级操作，如paging ,filtering等


　　ES访问接口：9200/tcp

　　语法:
　　curl -X<VERB> '<PROTOCOL>://host:port/<PATH>?QUERY_STRING/' -d '<BODY>'

　　查看elasticsearch相关信息 json格式的
　　[root@logsystem ~]# curl http://192.168.1.102:9200/_cluster/health?pretty=true
　　{
　　"cluster_name" : "elasticsearch",
　　"status" : "green",
　　"timed_out" : false,
　　"number_of_nodes" : 1,
　　"number_of_data_nodes" : 1,
　　"active_primary_shards" : 0,
　　"active_shards" : 0,
　　"relocating_shards" : 0,
　　"initializing_shards" : 0,
　　"unassigned_shards" : 0,
　　"delayed_unassigned_shards" : 0,
　　"number_of_pending_tasks" : 0,
　　"number_of_in_flight_fetch" : 0,
　　"task_max_waiting_in_queue_millis" : 0,
　　"active_shards_percent_as_number" : 100.0
　　}