Elasticsearch

使用启停脚本如下

#!/bin/sh
#chkconfig: 2345 80 05
#description: elasticsearch
# 注意修改自己的bin地址
export JAVA_HOME=/usr/lib/jvm/java-1.8.0
export JAVA_BIN=/usr/lib/jvm/java-1.8.0/bin
export PATH=$PATH:$JAVA_HOME/bin
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export JAVA_HOME JAVA_BIN PATH CLASSPATH

case "$1" in
start)
su elk<<!
# 需要修改自己的地址
cd /usr/local/elk/elasticsearch-5.5.3
./bin/elasticsearch -d
!
echo "elasticsearch startup"
;;
stop)
es_pid=`ps aux|grep elasticsearch | grep -v 'grep elasticsearch' | awk '{print $2}'`
kill -9 $es_pid
echo "elasticsearch stopped"
;;
restart)
es_pid=`ps aux|grep elasticsearch | grep -v 'grep elasticsearch' | awk '{print $2}'`
kill -9 $es_pid
echo "elasticsearch stopped"
su elk<<!
# 需要修改自己的地址
cd /usr/local/elk/elasticsearch-5.5.3
./bin/elasticsearch -d
!
echo "elasticsearch startup"
;;
*)
echo "start|stop|restart"
;;
esac
exit $?

执行./start_elasticsearch.sh start 启动

注意默认es端口有两个一个是http端口 9200 可以用于配置到其他配置文件中

一个是tcp端口9300 用于API配置端口使用

logstash

未找到合适的脚本文件

创建配置文件 logstash.conf

input{
    file{
        type => "api-app"
        path => "/log/api-app*"
        codec => multiline {
                pattern => "^\["
                negate => true
                what => "previous"
        }
        start_position => "beginning"
    }
    file {
        type => "api-cxb"
        path => "/log/api-cxb*"
        codec => multiline {
                pattern => "^\["
                negate => true
                what => "previous"
        }
        start_position => "beginning"
    }
}
filter{
        grok{
                match => { "message" =>"\[%{TIMESTAMP_ISO8601}\s*%{USER}\]\[%{USERNAME}\]\[%{USERNAME}\] - %{NOTSPACE}, IP: %{IP:ip}"}
        }
        grok{
                match => { "message" =>"\[%{TIMESTAMP_ISO8601:date1}\s*%{USER:leve}\]\[%{USERNAME}\]\[%{USERNAME}\] - %{NOTSPACE:request}"}
        }
}
output{
        elasticsearch{
                #需要修改自己的es IP和端口号默认http为 9200
                hosts => ["192.168.71.146:13000"]
                action => "index"
                codec => rubydebug
                index => "%[type]-%{+YYYY.MM.dd}"
                template_name => "%{type}"
        }
}

目录结构 config 与bin 同级 logstash 文件在bin目录下

使用命令直接启动 ./logstash -f ../config/logstash.conf &

&符号保证关闭当前窗口程序依旧运行

kibana

后台启动kibana(加上&)
kibana-4.5.2-linux-x64/bin/kibana &

注意：这时加上了&虽然执行了后台启动，但是还是有日志打印出来，使用ctrl+c可以退出。
但是如果直接关闭了Xshell,这时服务也会停止，访问http://yourip:5601就失败了。

解决方法：
执行了kibana-4.5.2-linux-x64/bin/kibana &命令后，不使用ctrl+c去退出日志，
而是使用exit;这样即使关闭了shell窗口kibana服务也不会挂了。

ELK 后台启动 linux

Elasticsearch

logstash

kibana

猜你喜欢