CentOS安装及部署EFK（版本7.3） ——统一日志管理系统

CentOS安装及部署EFK（版本7.3）

最近发现自己的文章居然被嫖了，特此附上原文：https://blog.csdn.net/weixin_44259356/article/details/98855854
这篇主要安装，和搭建环境，使用见：EFK的配置及使用（7.3）
至于为什么要用EFK可以参考我的另一篇主流日志对比文档：
主流日志管理解决方案对比

统一日志管理系统

安装java

这里注意安装的jdk版本，由于最新版EFK必须是java 8以上，所以这里安装了java12，java12已经没有jre和jdk合二为一。
安装java见我的另一篇文章：

centos安装java jdk12，同时生成jre

安装完之后修改jre所在文件夹的名字为default

安装 elasticsearch

1下载并安装公共签名密钥

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

2创建 yum 源文件

vim /etc/yum.repos.d/elasticsearch.repo

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

3安装

yum install -y elasticsearch

4修改配置文件

vim /etc/elasticsearch/elasticsearch.yml

cluster.name: my-cluster #集群名称
node.name: node-1 #节点名称
#数据和日志的存储目录
path.data: /home/esData/data
path.logs: / home/esData /logs
#设置绑定的ip，设置为0.0.0.0以后就可以让任何计算机节点访问到了
network.host: 0.0.0.0
http.port: 9200 #端口
#设置在集群中的所有节点名称，这个节点名称就是之前所修改的，当然你也可以采用默认的也行，目前是单机，放入一个节点即可
cluster.initial_master_nodes: ["node-1"]

修改配置中目录的用户与用户组，不然无法启动
chown -R elasticsearch:elasticsearch /home/esData/logs/
chown -R elasticsearch:elasticsearch /home/esData/data/

5启动Elasticsearch

使用此chkconfig命令将Elasticsearch配置为在系统启动时自动启动：

sudo chkconfig --add elasticsearch

可以使用以下service命令启动和停止Elasticsearch ：

sudo -i service elasticsearch start
sudo -i service elasticsearch stop

说明：如果Elasticsearch因任何原因无法启动，它将打印STDOUT失败的原因。可以在中找到日志文件/var/log/elasticsearch/。

以上service命令为老版本centos命令，如果是新版本请参考以下方式：

要将Elasticsearch配置为在系统启动时自动启动，请运行以下命令：

sudo / bin / systemctl daemon-reload
sudo / bin / systemctl enable elasticsearch.service

Elasticsearch可以按如下方式启动和停止：

sudo systemctl start elasticsearch.service
sudo systemctl stop elasticsearch.service

安装后Elasticsearch不会自动启动。如何启动和停止Elasticsearch取决于系统是使用SysV init还是 systemd（由较新的发行版使用）。可以通过以下命令判断：
ps -p 1

6安装中遇到的问题以及解决方案

启动时可能遇到的问题

按照提示信息，elasticsearch组没有权限。找到目标文件夹/etc/elasticsearch。修改文件夹权限为读写。
如果还有其他问题可以去查看日志文档

7成功示例

启动成功。

安装kibana（当前为 7.3）

1下载并安装公共签名密钥

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

2添加源

vim /etc/yum.repos.d/kibana.repo

[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

3安装

yum install -y kibana

4配置

vim /etc/kibana/kibana.yml

server.host: "0.0.0.0"
# 不要用 127.0.0.1，可能会提示 Kibana server is not ready yet
elasticsearch.hosts: ["http://192.168.8.41:9200"]
i18n.locale: "zh-CN"

5启动

使用该chkconfig命令将Kibana配置为在系统启动时自动启动：

sudo chkconfig --add kibana

可以使用以下service命令启动和停止Kibana ：

sudo -i service kibana start 
sudo -i service kibana stop

同上如果是较新版本则执行以下命令

要将Kibana配置为在系统引导时自动启动，请运行以下命令：

sudo / bin / systemctl daemon-reload 
sudo / bin / systemctl enable kibana.service

Kibana可以按如下方式启动和停止：

sudo systemctl start kibana.service 
sudo systemctl stop kibana.service

日志文件地址/var/log/kibana/。

6成功示例

启动之后通过浏览器访问如下

安装FileBeat(7.3)

1下载并安装公共签名密钥：

sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

2添加源

vim /etc/yum.repos.d/filebeat.repo

[elastic-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

注意：还有一个收费包，如果使用收费包则修改内容如下：

baseurl = HTTPS：//artifacts.elastic.co/packages/oss-7.x/yum

3安装

sudo yum install filebeat

4启动

要将Filebeat配置为在引导期间自动启动，请运行：

sudo chkconfig --add filebeat

可以使用以下service命令启动和停止filebeat：

sudo -i service filebeat start
sudo -i service filebeat stop

如果是新版本参考上面命令

5成功示例

运行成功末尾如下：

到此EFK搭建完毕。