:: 1：構造ES

1：サーバーのルートディレクトリにELK 1という名前のフォルダを作成します。cd / 2します。mkdirヘラジカ3：CDのヘラジカを

2：ESパッケージをダウンロード：wgetのhttps://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.3.tar.gz

3：次のようにタール-zxvf elasticsearch-6.4.3.tar.gzディレクトリ全体を抽出

設定ファイルを変更します。このサーバのでコア1Gの一つです。-Xmsと-Xmxのデフォルト設定をES 1Gは、一般的に約4Gに増加すると起動する必要があります。しかし

サーバーのみ1G、また、XXL 512Mを取るには、何か他のものを与えたか、起動することはできません。

次に、仮想メモリシステムのvim /etc/sysctl.confファイルがvm.max_map_count = 262144を変えるのサイズを変更する必要があります。新しいパラメータが定義されていません。

すぐにvimの導入後に有効にするにはsysctl -pを実行します。

ESは、rootユーザーアカウントのログインを使用し、それを新しいフォルダのアクセス許可を与えることができないので、ESは、ユーザーuseresを追加します。chownコマンド-R useres /elk/elasticsearch-6.4.3

そして、開始することができますelasticsearchのbinディレクトリのフォルダ実行ES ESを開始することに成功スタートです

確認するために、外部のネットワーク・アクセス・ポート9200

ESは、成功を構築します。彼はkibanaを構築するために始めました

2:kibana

次のヘラジカkibanaアーカイブおよび抽出物にカタログをダウンロード

cd /elk;wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.3-linux-x86_64.tar.gz ；tar -zxvf kibana-6.4.3-linux-x86_64.tar.gz 。解压后目录如下

修改目录下配置 cd config ;vim kibana.yml . 到文件末新增属性

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.url: "http://ES地址:9200"
kibana.index: ".kibana"

保存退出

启动kibana ../bin/kibana (好不容易截图成功了==之前老进不去因为内存太小，ES跑挂了。重启后马上刷新kibana.后面服务器换了公司的测试服务器。因为配置稍微好一些。而且公司刚好也需要搭ELK)

3：搭建logstash (一般搭建在项目部署的服务器上)

下载解压wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.3.tar.gz; tar zxvf logstash-6.4.3.tar.gz 解压后目录如下

修改config配置

cd config ; vim logstash-sample.conf

这段内容是百度后修改的==主要内容为输入输出 output 以及过滤器 input表示数据源 path是一个数组，定义需要同步的内容这里是同步日志文件。最好用绝对路径输入日志的路径（支持通配符）。output输出位置。这里定义的是输出到es 配置es地址 index 是es索引库最好根据项目名+日期来建。user是具有es权限的用户。即启动ES时新增的USER password 是user的password.（中间的过滤器脚本我也不太熟，就直接加上了）

这样ELK就全部搭建好了。

后面一些配置可以全部到kibana可视化界面操作了

点击如图所示Management->index Patterns-->Create Index Pattern

输入新建的索引名下一步选择@Timestamp ->create Index Pattern 就可以在kibana上查询日志文件了。