ELK（ログ監査システム）

エルクはじめとワークフロー

　　ELK即（Elasticsearch + Logstash + Kibana）

 

 

 

インストールパッケージをダウンロードします

• システム環境：Contos7.0
• Java環境：ポータル（これは歴史的なダウンロードで、鉱山があります  jdk-8u151-linux-x64.tar.gz）
• Logstash / elasticsearch / Kibana / Filebeat：ポータル（私は常に、バージョン7.0を選択してください）
• Redisの：ポータル

 

サーバーへのダウンロードが完了したら、すべての「/ etc /ヘラジカ」ディレクトリ注意の下で抽出する：これは、スタンドアロン展開を使用している（メモリが2Gを下回ってはいけません）

Java環境の設定

タール-zvxf JDK-8u151-linuxの-x64.tar.gz -C /データ/アプリ/ 
LN -s /data/app/jdk1.8.0_151 /データ/アプリ/ JDK 
猫 << EOF >> / etc / profileを    ＃追加文件
""」
輸出JAVA_HOME = /データ/アプリ/ jdkの
PATH = $ JAVA_HOME / binに：$ JAVA_HOME / JRE / binに：$ PATHの
CLASSPATH = $ CLASSPATH：$ JAVA_HOME / libに：$ JAVA_HOME / JRE / libに：$ JAVA_HOME /lib/tools.jar 
EOF 
""」
ソースの/ etc / プロファイル
のln -s /データ/アプリ/ JDK / binに/ javaのは/ usr / binに/ Javaの
Javaの -version         ＃查看是否安装成功

        

コマンド

elasticsearch展開

elasticsearchインストール

-ivh elasticsearch-7.0.0- RPM 。x86_64.rpmの 
 ＃の編集設定ファイル 
のVimは/ etc / elasticsearch / elasticsearch.yml
 "" " 
path.logs：は/ var / log / elasticsearch 
cluster.name：elk01 
node.name：ノード1 - 
Path.Data：は/ var / libに/ elasticsearch 
path.logs：は/ var / log / elasticsearch 
network.host：0.0.0.0 
たhttp.port 9200 ,: 
discovery.seed_hosts：[ "10.60.53.143"、] 
cluster.initial_master_nodes：[ " 10.60.53.143「] 
」 『』
＃具体的な役割は、設定ファイルの英語の説明を読むことができます 
systemctl再起動elasticsearch   ＃サービスを開始

実装工程のNPM

logstash展開

RPM -ivh logstash-7.0.0.rpm

更新..................

kibana部署

-ivh kibana-7.0.0- RPM x86_64.rpmの
 ＃の編集設定ファイル 
のvimの/ etc / kibana / kibana.yml
 "" " 
はserver.port：5601 
server.host：" 0.0.0.0 " 
elasticsearch.hosts：[" HTTP： //10.60.53.143:9200 "] 
" "" 
＃のスタートは
kibana開始systemctl 
systemctl kibanaを有効にします

filebeat展開

インストール

RPM -ivh filebeat-7.0.0-x86_64.rpm 

Filebeat「filebeat.yml」とRedisの設定ファイル「6379.conf」設定ファイルを変更します

• filebeatにシステムログメッセージを表示し、直接実行し、ログを実行していません。
• 設定した後filebeatを再起動する必要があります。
• 再起動が値Redisのビューを持っていた後に、正常値があります。

＃キャンセルバインドフィールドは、プロテクトモードではNOに設定
＃のバインド127.0.0.1 
プロテクトモードNO

/etc/redis/6379.conf

filebeat.inputs:
- type: log
  paths:
    - /root/channelHandle-out-2.log
  fields:
    log_file: xsj_channelhandle_out_2
    log_type: a-out-log
  fields_under_root: true
  encoding: utf-8
processors:
  - drop_event:
      when.not.contains:
        message: "收到"
output.redis:
  hosts: ["10.60.53.143:6379"]
  db: 0
  # password: "[email protected]"
  key: "%{[log_file]:xsj}"
  timeout: 5

etc/filebeat/filebaet.yml

相关命令

systemctl  start     filebeat
systemctl  enable  filebeat
systemctl  restart  filebeat

启动关闭重启