ELK日志平台搭建 (最新版)
一、安装 JDK
1. 下载 JDK 21 RPM 包
wget https://download.oracle.com/java/21/latest/jdk-21_linux-x64_bin.rpm
2. 安装 JDK 21,使用 rpm 命令安装下载的 RPM 包:
sudo rpm -ivh jdk-21_linux-x64_bin.rpm
3. 配置环境变量
编辑 /etc/profile 文件以配置 JAVA_HOME 和 PATH 环境变量:
sudo vim /etc/profile
# 设置 JAVA_HOME
export JAVA_HOME=/usr/java/jdk-21
# 设置 PATH 环境变量
export PATH=$JAVA_HOME/bin:$PATH
4. 使配置生效
source /etc/profile
5. 验证 Java 版本
通过以下命令验证 JDK 是否正确安装:
java -version
6. 配置默认的 Java 版本(可选)
sudo alternatives --config java二、安装 Elasticsearch
1、首先,需要将 Elasticsearch 官方仓库添加到系统中。创建一个新的 .repo 文件。
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1" | sudo tee /etc/yum.repos.d/elasticsearch.repo
2、然后,使用 yum 安装 Elasticsearch。
sudo yum install -y elasticsearch
3、编辑 Elasticsearch 配置文件 /etc/elasticsearch/elasticsearch.yml,至少设置以下基本配置:
sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application
node.name: node-1
network.host: 0.0.0.0
http.port: 9200
#如果当前是单节点环境(单机模式)需要补充以下内容:
discovery.type: single-node
4、启用 Elasticsearch
# 启动服务
systemctl start elasticsearch
# 查看运行状态
systemctl status elasticsearch
# 设置开机启动
systemctl enable elasticsearch
5、查看ES运行状态,出现以下信息说明服务启动成功
curl http://localhost:9200
[root@localhost conf.d]# curl http://localhost:9200
{
"name" : "node-1",
"cluster_name" : "my-application",
"cluster_uuid" : "zEcdbmiTQie1hjEufB8BBQ",
"version" : {
"number" : "7.17.26",
"build_flavor" : "default",
"build_type" : "rpm",
"build_hash" : "f40328375bfa289242f942fb3d992032ab662e14",
"build_date" : "2024-11-28T08:05:55.550508263Z",
"build_snapshot" : false,
"lucene_version" : "8.11.3",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
三、安装 Logstash
1、使用yum命令安装 Logstash:
sudo yum install -y logstash
2、配置 Logstash 文件
sudo vim /etc/logstash/conf.d/logstash.conf
input {
beats {
port => 5044
}
}
filter {
# Add any filters you want to process logs here
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "logstash-%{+YYYY.MM.dd}"
}
}
3、启动logstash
# 启动服务
systemctl start logstash
# 查看运行状态
systemctl status logstash
# 设置开机启动
systemctl enable logstash
#查看版本
logstash --version四、安装 Kibana
#将 Kibana 仓库添加到系统中:
echo "[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1" | sudo tee /etc/yum.repos.d/kibana.repo
#使用 yum 安装 Kibana:
sudo yum install -y kibana
#编辑 Kibana 配置文件 /etc/kibana/kibana.yml,并设置以下基本配置:
sudo vim /etc/kibana/kibana.yml
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
#启动kibana服务
# 启动服务
systemctl start kibana
# 查看运行状态
systemctl status kibana
# 设置开机启动
systemctl enable kibana
#查看kibana运行情况
curl http://localhost:5601五、配置防火墙
#查看当前防火墙开放的端口
sudo firewall-cmd --list-ports
#将端口 9200 和 5601 添加到防火墙的 public 区域
sudo firewall-cmd --permanent --add-port=9200/tcp
sudo firewall-cmd --permanent --add-port=5601/tcp
#重新加载防火墙配置,使新的规则生效。
sudo firewall-cmd --reload六、访问 Kibana
登录浏览器访问: http://主机IP:5601/
成功。