ELK日志收集系统集群实验
目录
三、 安装node1与node2节点的elasticsearch
四、在node1安装elasticsearch-head插件
一、实验拓扑
二、环境配置
设置各个主机的IP地址为拓扑中的静态IP,在两个节点中修改主机名为node1和node2并设置hosts文件
三、 安装node1与node2节点的elasticsearch
1. 安装
2.配置
3.启动elasticsearch服务
4.查看节点信息
http://192.168.1.1:9200
http://192.168.1.2:9200
四、在node1安装elasticsearch-head插件
1.安装node
2.拷贝命令
3.安装elasticsearch-head
4.修改elasticsearch配置文件
vim /etc/elasticsearch/elasticsearch.yml
重启服务: systemctl restart elasticsearch
5.启动elasticsearch-head
6.访问:
http://192.168.1.1:9100
7.测试
在node1的终端中输入:
刷新浏览器可以看到对应信息即可
五、node1服务器安装logstash
测试1: 标准输入与输出
测试2: 使用rubydebug解码
测试3:输出到elasticsearch
查看结果:
http://192.168.1.1:9100
若看不到,请刷新!!!
六、logstash日志收集文件格式
(默认存储在/etc/logstash/conf.d)
Logstash配置文件基本由三部分组成:input、output以及 filter(根据需要)。标准的配置文件格式如下:
在每个部分中,也可以指定多个访问方式。例如,若要指定两个日志来源文件,则格式如下:
案例:通过logstash收集系统信息日志
重启日志服务: systemctl restart logstash
查看日志: http://192.168.1.1:9100
七、node1节点安装kibana
访问kibana :
http://192.168.1.1:5601
首次访问需要添加索引,我们添加前面已经添加过的索引:system-*
八、企业案例:
收集httpd访问日志信息
在httpd服务器上安装logstash,参数上述安装过程,可以不进行测试
logstash在httpd服务器上作为agent(代理),不需要启动
编写httpd日志收集配置文件
vim /etc/logstash/conf.d/httpd.conf
使用logstash命令导入配置:
使用kibana查看即可! http://192.168.1.1:5601 查看时在mangement选项卡创建索引httpd_access-* 即可!
