1、準(zhǔn)備環(huán)境

聲明需要jdk17依賴，自行安裝配置

#第一部分在192.168.25.149安裝es

2、配置yum源

# 配置 Elastic 官方倉(cāng)庫(kù)
sudorpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudotee/etc/yum.repos.d/elastic.repo <

	

	3、安裝 配置Elasticsearch

	
sudoyum install -y elasticsearch

# 配置 Elasticsearch
sudovim /etc/elasticsearch/elasticsearch.yml

# 集群名稱
cluster.name: elk-cluster
# 節(jié)點(diǎn)名稱
node.name: node-1
# 數(shù)據(jù)和日志存儲(chǔ)路徑
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
# 網(wǎng)絡(luò)設(shè)置
network.host: 192.168.25.149
http.port: 9200
# 發(fā)現(xiàn)設(shè)置
discovery.type: single-node

# 配置內(nèi)存 #因?yàn)槲业姆?wù)器只有 2GB 內(nèi)存，建議修改 JVM 堆大?。?sudovim /etc/elasticsearch/jvm.options
-Xms512m
-Xmx512m

	

	4、啟動(dòng)

	
# 啟動(dòng)服務(wù)
sudosystemctl daemon-reload
sudosystemctlenableelasticsearch
sudosystemctl start elasticsearch

#關(guān)閉防火墻
systemctl stop firewalld

# 驗(yàn)證服務(wù)
curl http://192.168.25.149:9200

#正確結(jié)果
[root@localhost elasticsearch]# curl http://192.168.25.149:9200
{
"name":"node-1",
"cluster_name":"ELK-cluster",
"cluster_uuid":"CAS4Rr6NSTmwMW5lK5rJpQ",
"version": {
 "number":"7.17.28",
 "build_flavor":"default",
 "build_type":"rpm",
 "build_hash":"139cb5a961d8de68b8e02c45cc47f5289a3623af",
 "build_date":"2025-02-20T0931.349013687Z",
 "build_snapshot":false,
 "lucene_version":"8.11.3",
 "minimum_wire_compatibility_version":"6.8.0",
 "minimum_index_compatibility_version":"6.0.0-beta1"
 },
"tagline":"You Know, for Search"
}


	

	#第二部分在192.168.25.149安裝kibana

	1、# 安裝 配置Kibana

	
sudoyum install -y kibana

# 配置 Kibana
sudovim /etc/kibana/kibana.yml

server.port: 5601
server.host:"192.168.25.149"
elasticsearch.hosts: ["http://192.168.25.149:9200"]
i18n.locale:"zh-CN"#中文


	

	2、啟動(dòng)

	
# 啟動(dòng) Kibana
sudosystemctlenablekibana
sudosystemctl start kibana


	

	#第三部分在192.168.25.148 安裝filebeat

	1、配置yum源

	
# 配置 Elastic 官方倉(cāng)庫(kù)
sudorpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudotee/etc/yum.repos.d/elastic.repo <

	

	2、安裝配置filebeat

	#聲明 我在本地啟動(dòng)了一個(gè)java服務(wù)，收集日志文件，你們可以把路徑配置其它服務(wù)的日志，

	比如服務(wù)器本身/var/log/message 等等

	
# 配置 Filebeat
sudovim /etc/filebeat/filebeat.yml


filebeat.inputs:
# 配置輸入源，用于收集日志數(shù)據(jù)
 -type:log
  enabled:true
  paths: 
   - /usr/loca/project/wcc/logs/info.log #日志來(lái)源
  tags: ["info"] # 為info日志添加標(biāo)簽
  fields:
   logtype: info # 定義日志類型為info
  fields_under_root:true# 將字段添加到根級(jí)別

 -type:log
  enabled:true
  paths:
   - /usr/loca/project/wcc/logs/error.log #日志來(lái)源
  tags: ["error"] # 為error日志添加標(biāo)簽
  fields:
   logtype: error # 定義日志類型為error
  fields_under_root:true

output.elasticsearch:
# 配置輸出到Elasticsearch
 hosts: ["192.168.25.149:9200"] # 指定Elasticsearch主機(jī)和端口
 indices:
  - index:"wcc-info-%{+yyyy.MM.dd}"
   when.equals:
    logtype:"info"# 當(dāng)日志類型為info時(shí)，使用指定的索引模式
  - index:"wcc-error-%{+yyyy.MM.dd}"
   when.equals:
    logtype:"error"# 當(dāng)日志類型為error時(shí)，使用指定的索引模式

setup.template.name:"wcc"# 設(shè)置模板名稱為wcc
setup.template.pattern:"wcc-*"# 設(shè)置模板匹配模式為wcc-*
setup.ilm.enabled:false# 禁用索引生命周期管理


	

	3、啟動(dòng)

	
sudosystemctlenablefilebeat
sudosystemctl start filebeat


	

	#第四部分 配置 Kibana 索引模式

	1、打開(kāi)瀏覽器訪問(wèn) Kibana:http://192.168.25.149:5601

	2、進(jìn)入 "Stack Management" -> "Index Patterns"

	3、創(chuàng)建索引模式wcc-*

	4、選擇時(shí)間字段@timestamp

	

	看到我們索引創(chuàng)建完成

	

	日志分析儀表板

	DISCOVER

	

	這樣就是一整套的安裝與配置，還需要結(jié)合實(shí)際的工作情況來(lái)使用

	添加儀表盤(pán)，可視化圖可自行搜素學(xué)習(xí)

	如果你覺(jué)得對(duì)你有幫助就點(diǎn)個(gè)贊

	

	鏈接：https://blog.csdn.net/m0_52454621/article/details/146248197?spm=1001.2014.3001.5502