培训-ELK日志监控报警实战-张人杰-20181104.pptVIP

ELK日志监控报警实战 磁云科技张人杰 2018.10.16 第一页，编辑于星期二：二十二点 三十三分。 什么是ELK E: ElasticSearch L: Logstash K: Kibana 第二页，编辑于星期二：二十二点 三十三分。 运行效果 当服务器宕机时,立即发送邮件通知 第三页，编辑于星期二：二十二点 三十三分。 环境搭建(一)ElasticSearch安装 1、安装elasticsearch的yum源的密钥 rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 2、配置elasticsearch的yum源 vim /etc/yum.repos.d/elasticsearch.repo [elasticsearch-6.x] name=Elasticsearch repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/6.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md 3、安装elasticsearch yum install -y elasticsearch  第四页，编辑于星期二：二十二点 三十三分。 环境搭建(一)ElasticSearch环境搭建 1、需要安装jdk1.8版本以上的 java -version 2、创建elasticsearch data的存放目录，并修改该目录的属主属组 mkdir -p /data/es-data chown -R elasticsearch:elasticsearch /data/es-data 3、修改elasticsearch的日志属主属组 chown -R elasticsearch:elasticsearch /var/log/elasticsearch/ 4、修改elasticsearch的配置文件 vim /etc/elasticsearch/elasticsearch.yml  第五页，编辑于星期二：二十二点 三十三分。 /etc/elasticsearch/elasticsearch.yml编辑 找到配置文件中的，打开该配置并设置集群名称 : elk-tang 找到配置文件中的，打开该配置并设置节点名称 : elk-tang-1 修改data存放的路径 path.data: /data/es-data 修改logs日志的路径 path.logs: /var/log/elasticsearch/ 注释配置内存使用用交换分区 #bootstrap.memory_lock: true 监听的网络地址 network.host: 开启监听的端口 http.port: 9200 增加新的参数，这样head插件可以访问es (5.x版本，如果没有可以自己手动加) http.cors.enabled: true http.cors.allow-origin: * 第六页，编辑于星期二：二十二点 三十三分。 启动ElasticSearch /etc/init.d/elasticsearch start  第七页，编辑于星期二：二十二点 三十三分。 创建开机自启动服务 chkconfig elasticsearch on 第八页，编辑于星期二：二十二点 三十三分。 其他需要修改的参数 vim /etc/security/limits.conf 在末尾追加以下内容（elk为启动用户，当然也可以指定为*） elk soft nofile 65536 elk hard nofile 65536 elk soft nproc 2048 elk hard nproc 2048 elk soft memlock unlimited elk hard memlock unlimited vim /etc/security/limits.d/XXX-nproc.conf 将里面的1024改为2048（ES最少要求为2048） * soft nproc 2048 vim /etc/elasticsearch/elasticsearch.yml加入以下内容 bootstrap.system_call_filter: false 第九页，编辑于星期二：二十二点 三十三分。 再次启动 /etc/init.d/elasticsearch restart 第十页，编辑于星期二：二十二点 三十三分。 环境搭建（二）安装elasticsearch