ELK是三个开源软件的缩写，分别表示：Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat，它是一个轻量级的日志收集处理工具(Agent)，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具。

Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。

一. ElasticSearch 的安装与运行

ES 是一个基于 Lucene 的使用 Java 开发的开源搜索引擎，因此其运行是基于 JVM 的，因此在安装之前需要保证已经安装了 Java 环境。ES 要求使用 Java8 或者更高版本的 Java 环境。

确定机器已经安装了 Java 环境后，就可以安装 ES 了。官网提供了压缩包可以直接下载，

# 下载压缩包 wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.2.tar.gz # 解压 tar -xzf elasticsearch-6.2.2.tar.gz # 进入文件 cd elasticsearch-6.2.2/

• 下载解压完成后进入目录，启动命令在 bin 目录下，直接运行命令就可以启动了

注意: 启动报错

解决方法：es不能用root启动，先建立一个es用户，并给与启动文件权限 useradd ***       chown -R  **:**   ././(es的文件路径）

切换到es用户

bin/elasticsearch

ElasticSearch 的默认启动端口是 9200。手动访问出现如下信息说明启动成功。

二. FileBeats 与 LogStash 的安装

LogStash 可以用来对日志进行收集并进行过滤整理后输出到 ES 中，FileBeats 是一个更加轻量级的日志收集工具。

现在最常用的方式是通过 FileBeats 收集目标日志，然后统一输出到 LogStash 做进一步的过滤，在由 LogStash 输出到 ES 中进行存储。

1. LogStash 的安装运行

官方提供了压缩包下载， https://www.elastic.co/downloads/logstash 。 下载完成后解压即可。

tar zxvf logstash-6.2.2.tar.gz # 进入目录 cd logstash-6.2.2

LogStash 的运行需要指定一个配置文件，来指定数据的流向，我们在当前目录下创建一个 first.conf 文件，其内容如下:

# 配置输入为 beats

input {

beats {

port => "5044"

}

}

# 数据过滤

filter {

grok {

match => { "message" => "%{COMBINEDAPACHELOG}" }

}

geoip {

source => "clientip"

}

}

# 输出到本机的 ES

output {

elasticsearch {

hosts => [ "localhost:9200"  ]

}

}

配置完成后就可以通过如下方式启动 LogStash 了

bin/logstash -f first.conf --config.reload.automatic

#--config.reload.automatic选项启用自动配置重新加载，因此每次修改配置文件时都不必停止并重新启动Logstash

注意：

NameError: cannot link Java class org.apache.logging.log4j.core.config.LoggerConfig needs Java 8 (java.lang.UnsupportedClassVersionError: org/logstash/log/LogstashLogEventFactory : Unsupported major.minor version 52.0)

显示version版本问题，应该是JDK版本没有更新    java -version查看版本是否为1.8.

如果为1.7则需要：1.去网站下载jdk18*版本

2.tar -zxvf jdk-8u181-linux-x64.tar

3.sudo mv jdk1.8.0_181  /usr/local/java

4.vim /etc/profile

export JAVA_HOME=/usr/local/java(此处根据自己jdk安装的目录来写） export JRE_HOME=${JAVA_HOME}/jre export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib export PATH=.:${JAVA_HOME}/bin:$PATH

5.生效配置文件sourc /etc/profile

6.java -version

重新启动logstash

可以看到命令行会打印出如下信息， 可以看到 LogStash 默认端口为 5044:

2. 安装运行 FileBeats

FileBeats 也提供了下载包，地址为 https://www.elastic.co/downloads/beats/filebeat 。找到系统对应的包下载后解压即可。

tar zxvf filebeat-6.2.2-darwin-x86_64.tar.gz cd filebeat-6.2.2-darwin-x86_64

进入目录编辑 filebeat.yml 找到对应的配置项，配置如下

- type: log   # Change to true to enable this prospector configuration.    enabled: True    # Paths that should be crawled and fetched. Glob based paths.    # 读取 Nginx 的日志    paths:      - /usr/local/nginx/logs/*.log(想监控的日志目录都可以添加进去）

- /var/log/message/*.log #----------------------------- Logstash output -------------------------------- # 输出到本机的 LogStash output.logstash:  # The Logstash hosts  hosts: ["localhost:5044"]

配置完成后执行如下命令，启动 FileBeat 即可

# FileBeat 需要以 root 身份启动，因此先更改配置文件的权限 sudo chown root filebeat.yml sudo ./filebeat -e -c filebeat.yml -d "publish"（通过./filebeat -c -e测试配置的FileBeat脚本.-d“publish”显示所有“publish”相关的消息。)

启动成功。

三. Kibana 的安装运行

Kibana 也提供了对应的安装包下载，链接为 https://www.elastic.co/downloads/kibana , Mac、Linux、Win 都有对应的安装包，直接下载解压即可

tar zxvf kibana-6.2.2-darwin-x86_64.tar.gz cd kibana-6.2.2-darwin-x86_64 # 直接启动即可 bin/kibana

Kibana 默认链接了本机的 9200 端口，其绑定的端口为 5601，启动成功后直接访问 127.0.0.1:5601 端口即可,界面如下。

注意：有时本地启动kibana之后打开界面127.0.0.1:5601会出现这样的情况。

有可能是因为本地的浏览器不兼容问题之类的。可以试着打开远程连接。用别的设备远程访问.

1.打开Kibana配置文件： vim /usr/local/kibana-6.3.2-linux-x86_64/config/kibana.yml

2.修改访问参数：server.host修改为本机网卡的地址。

3.重启kibana服务。

4.访问成功。

开始建立索引模式。

注意：有的时候会出现索引模式不能建立的情况。(不能点下一步）

一般为数据回传异常。先检查filebeat、logstash、elasticsearch、kibana服务启动是不是都正常。

检查filebeat的配置文件。/usr/local/filebeat/config/filebeat.yml.检查配置。

我上次就是因为配置文件里的output.logstash模块的端口写错。

修改完之后重启服务就可以了。

这里选定一个时间戳，使用默认的 timestamp 即可，设置完成后我们可以根据时间范围筛选数据。

设置完成后创建后显示如下

这时在点击 Discover 就可以看到我们创建的索引了，此时输入 UnicodeEncodeError 已经返回了匹配到的日志信息。

注意:如果你觉得英语看起来很不舒服，可以考虑汉化。不过提前说明一下，汉化过程是不可逆的。

# 下载并解压 wget https://artifacts.elastic.co/downloads/kibana/kibana-6.3.0-linux-x86_64.tar.gz tar -zxf kibana-6.3.0-linux-x86_64.tar.gz

---

汉化

github汉化项目:

https://github.com/anbai-inc/Kibana_Hanization

# 下载并解压 wget https://github.com/anbai-inc/Kibana_Hanization/archive/master.zip unzip master.zip cd master # 汉化 python main.py Kibana目录 # 启动elasticsearch cd elasticsearch-6.3.0/bin elasticsearch -d # 启动kibana cd kibana-6.3.0-linux-x86_64/bin kibana

浏览器访问 localhost:5601

注意：最后再说一句ELK平台的启动可以按照filebeat--> elasticsearch --->  logstash--->  kibana这个顺序启动，不会那么容易出问题。