一、EFK簡(jiǎn)介

Elasticsearch 是一個(gè)實(shí)時(shí)的、分布式的可擴(kuò)展的搜索引擎，允許進(jìn)行全文、結(jié)構(gòu)化搜索，它通常用于索引和搜索大量日志數(shù)據(jù)，也可用于搜索許多不同類(lèi)型的文檔。

Beats 是數(shù)據(jù)采集的得力工具。將 Beats 和您的容器一起置于服務(wù)器上，或者將 Beats 作為函數(shù)加以部署，然后便可在 Elastisearch 中集中處理數(shù)據(jù)。如果需要更加強(qiáng)大的處理性能，Beats 還能將數(shù)據(jù)輸送到 Logstash 進(jìn)行轉(zhuǎn)換和解析。

Kibana 核心產(chǎn)品搭載了一批經(jīng)典功能：柱狀圖、線(xiàn)狀圖、餅圖、旭日?qǐng)D，等等。不僅如此，您還可以使用 Vega 語(yǔ)法來(lái)設(shè)計(jì)獨(dú)屬于您自己的可視化圖形。所有這些都利用 Elasticsearch 的完整聚合功能。

Elasticsearch 通常與 Kibana 一起部署，Kibana 是 Elasticsearch 的一個(gè)功能強(qiáng)大的數(shù)據(jù)可視化 Dashboard，Kibana 允許你通過(guò) web 界面來(lái)瀏覽 Elasticsearch 日志數(shù)據(jù)。

二、建單節(jié)點(diǎn)ES

1、下載es、kibana、filebeat安裝包并解壓

下載地址：
https://www.elastic.co/cn/downloads/past-releases#elasticsearch
https://www.elastic.co/cn/downloads/past-releases#filebeat
https://www.elastic.co/cn/downloads/past-releases#kibana
注：三個(gè)包的版本必須保持一致

2、創(chuàng)建es普通用戶(hù)并將es安裝包解壓

[root@node1 ~]# useradd es
[root@node1 ~]# su - es
[es@node1 ~]$ tar -xzf elasticsearch-7.6.1-linux-x86_64.tar.gz 

3、修改配置文件

[es@node1 ~]$ cd elasticsearch-7.6.1/
[es@node1 elasticsearch-7.6.1]$ vim config/elasticsearch.yml 

找到如下配置信息進(jìn)行修改有注釋的取消注釋

cluster.name: my-application
node.name: node-1
path.data: /var/yoocar/software/elastic/data
path.logs: /var/log/es/
network.host: 0.0.0.0
http.port: 9200
cluster.initial_master_nodes: ["node-1"]

4、使用root用戶(hù)添加環(huán)境變量

[root@node1 ~]# vim /etc/profile
export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.342.b07-0.up3.uelc20.01.x86_64
export JRE_HOME=$JAVA_HOME/jre
export CLASSPATH=$JAVA_HOME/lib:$JRE_HOME/lib:$CLASSPATH
export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH
[root@node1 ~]# source /etc/profile
[root@node1 ~]# vim /etc/sysctl.conf 
vm.max_map_count=262144
[root@node1 ~]# sysctl -p
vm.dirty_ratio = 50
net.core.busy_read = 100
vm.max_map_count = 262144
[root@node1 ~]# vim /etc/security/limits.conf 
* soft nofile 65536
* hard nofile 65536

[root@node1 ~]# ln -s /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.342.b07-0.up3.uelc20.01.x86_64/jre/bin /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.342.b07-0.up3.uelc20.01.x86_64/

5、啟動(dòng)es

[es@node1 elasticsearch-7.6.1]$ ./bin/elasticsearch -d 

注:此處需要使用es用戶(hù)進(jìn)行啟動(dòng),這里使用的啟動(dòng)方式是后臺(tái)啟動(dòng)通過(guò)ps aux查看是否啟動(dòng)成功

三、搭建kibana

1、解壓安裝包

[root@node1 ~]# tar -xzf kibana-7.6.1-linux-x86_64.tar.gz

2、修改配文件

 [root@node1 kibana-7.6.1-linux-x86_64]# vim config/kibana.yml 

找到如下配置進(jìn)行修改

server.port: 5601
server.host: "0.0.0.0"
server.name: "node1"
elasticsearch.hosts: ["http://192.168.122.63:9200"]
i18n.locale: "zh-CN"

3、啟動(dòng)kibana

[root@node1 kibana-7.6.1-linux-x86_64]# ./bin/kibana  --allow-root

四、搭建filebeats

1、解壓安裝包

[root@node1 ~]# tar -xzf filebeat-7.6.1-linux-x86_64.tar.gz 

2、修改配置文件

[root@node1 filebeat-7.6.1-linux-x86_64]# vim filebeat.yml 

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/yoocar/software/elastic/logs/gc.log.0.current
  multiline.pattern: ^\[
  multiline.negate: true
  multiline.match: after
  multiline.max_lines: 1000
  multiline.timeout: 3s
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 1
output.elasticsearch:
  # Array of hosts to connect to.
   hosts: ["192.168.122.63:9200"]
   setup.kibana: "192.168.122.63:5601"
   index: "log-%{+yyyy.MM}"
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

3、啟用system模塊

[root@node1 filebeat-7.6.1-linux-x86_64]# ./filebeat modules enable system

4、啟用filebeat

setup命令加載kibana儀表盤(pán)。如果儀表盤(pán)設(shè)置好了請(qǐng)忽略此步驟
注：此命令需要加載一段時(shí)間請(qǐng)耐心等候

[root@node1 filebeat-7.6.1-linux-x86_64]# ./filebeat setup

加載完成后使用如下命令

[root@node1 filebeat-7.6.1-linux-x86_64]# ./filebeat -e

5、檢查數(shù)據(jù)并查看儀表盤(pán)是否生成

使用瀏覽器訪(fǎng)問(wèn)本機(jī)5601端口之后根據(jù)如下截圖箭頭點(diǎn)擊即可

五、結(jié)果展示

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-580558.html

到了這里，關(guān)于UOS服務(wù)器操作系統(tǒng)部署EFK的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！