1.安装Java环境
ELK系统是基于Java开发的,因此需要先安装Java环境。可以从Oracle官网下载JDK,也可以通过apt-get命令进行安装。
2.安装Elasticsearch
Elasticsearch是ELK系统的核心组件,用于存储和索引日志数据。可以通过Elasticsearch官网下载.deb或.rpm包,或者通过apt-get或yum命令进行安装。
3.配置Elasticsearch
修改配置文件/etc/elasticsearch/elasticsearch.yml,修改以下参数:
cluster.name: elk-logs #集群名称
node.name: node-1 #节点名称
network.host: 0.0.0.0 #监听所有地址
http.port: 9200 #HTTP端口
4.启动Elasticsearch
使用systemctl命令启动Elasticsearch服务:
systemctl start elasticsearch
5.安装Logstash
Logstash用于收集、过滤和转换各种类型的日志数据,然后将其发送到Elasticsearch中进行存储和索引。可以通过Logstash官网下载.deb或.rpm包,或者通过apt-get或yum命令进行安装。
6.配置Logstash
修改配置文件/etc/logstash/conf.d/logstash.conf,添加以下内容:
input {
beats {
port => "5044"
}
}
filter {
# 过滤规则
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "logs-%{+YYYY.MM.dd}"
}
}
其中,input是指定输入源,filter是指定过滤规则,output是指定输出源,这里输出到Elasticsearch中。
7.启动Logstash
使用systemctl命令启动Logstash服务:
systemctl start logstash
8.安装Kibana
Kibana是ELK系统的可视化组件,用于展示和查询存储在Elasticsearch中的日志数据。可以通过Kibana官网下载.deb或.rpm包,或者通过apt-get或yum命令进行安装。
9.配置Kibana
修改配置文件/etc/kibana/kibana.yml,修改以下参数:
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
10.启动Kibana
使用systemctl命令启动Kibana服务:
systemctl start kibana
11.访问Kibana
打开浏览器,访问http://localhost:5601,进入Kibana界面。
以上是ELK日志审计系统的安装部署操作步骤,需要注意的是,实际部署时还需要根据实际情况进行配置和调整。