目錄

? 用途
? 實驗架構
? EFK軟件安裝
? elasticsearch配置
? filebeat配置
? kibana配置
? 啟動服務
? kibana界面配置
? 測試
? 后續文章

用途

? 通過filebeat實時收集nginx訪問日志、傳輸至elasticsearch集群
? filebeat將收集的日志傳輸至elasticsearch集群
? 通過kibana展示日志

實驗架構

? 服務器配置

? 架構圖

EFK軟件安裝

版本說明

? elasticsearch 7.3.2
? filebeat 7.3.2
? kibana 7.3.2

注意事項

? 三個組件版本必須一致
? elasticsearch必須3臺以上且總數量為單數

安裝路徑

? /opt/elasticsearch
? /opt/filebeat
? /opt/kibana

elasticsearch安裝：3臺es均執行相同的安裝步驟

mkdir -p /opt/software && cd /opt/software
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.3.2-linux-x86_64.tar.gz
tar -zxvf elasticsearch-7.3.2-linux-x86_64.tar.gz
mv elasticsearch-7.3.2 /opt/elasticsearch
useradd elasticsearch -d /opt/elasticsearch -s /sbin/nologin
mkdir -p /opt/logs/elasticsearch
chown elasticsearch.elasticsearch /opt/elasticsearch -R
chown elasticsearch.elasticsearch /opt/logs/elasticsearch -R

# 限制一個進程可以擁有的VMA(虛擬內存區域)的數量要超過262144，不然elasticsearch會報max virtual memory areas vm.max_map_count [65535] is too low, increase to at least [262144]
echo vm.max_map_count = 655350 >> /etc/sysctl.conf
sysctl -p

filebeat安裝

mkdir -p /opt/software && cd /opt/software
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.3.2-linux-x86_64.tar.gz
mkdir -p /opt/logs/filebeat/
tar -zxvf filebeat-7.3.2-linux-x86_64.tar.gz
mv filebeat-7.3.2-linux-x86_64 /opt/filebeat

kibana安裝

mkdir -p /opt/software && cd /opt/software
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.3.2-linux-x86_64.tar.gz
tar -zxvf kibana-7.3.2-linux-x86_64.tar.gz
mv kibana-7.3.2-linux-x86_64 /opt/kibana
useradd kibana -d /opt/kibana -s /sbin/nologin
chown kibana.kibana /opt/kibana -R

nginx安裝（用于生成日志，被filebeat收集）

# 只在192.168.1.11安裝
yum install -y nginx
/usr/sbin/nginx -c /etc/nginx/nginx.conf

elasticsearch配置

? 192.168.1.31 /opt/elasticsearch/config/elasticsearch.yml

# 集群名字
cluster.name: my-application

# 節點名字
node.name: 192.168.1.31

# 日志位置
path.logs: /opt/logs/elasticsearch

# 本節點訪問IP
network.host: 192.168.1.31

# 本節點訪問
http.port: 9200

# 節點運輸端口
transport.port: 9300

# 集群中其他主機的列表
discovery.seed_hosts: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 首次啟動全新的Elasticsearch集群時，在第一次選舉中便對其票數進行計數的master節點的集合
cluster.initial_master_nodes: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 啟用跨域資源共享
http.cors.enabled: true
http.cors.allow-origin: *

# 只要有2臺數據或主節點已加入集群，就可以恢復
gateway.recover_after_nodes: 2

? 192.168.1.32 /opt/elasticsearch/config/elasticsearch.yml

# 集群名字
cluster.name: my-application

# 節點名字
node.name: 192.168.1.32

# 日志位置
path.logs: /opt/logs/elasticsearch

# 本節點訪問IP
network.host: 192.168.1.32

# 本節點訪問
http.port: 9200

# 節點運輸端口
transport.port: 9300

# 集群中其他主機的列表
discovery.seed_hosts: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 首次啟動全新的Elasticsearch集群時，在第一次選舉中便對其票數進行計數的master節點的集合
cluster.initial_master_nodes: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 啟用跨域資源共享
http.cors.enabled: true
http.cors.allow-origin: *

# 只要有2臺數據或主節點已加入集群，就可以恢復
gateway.recover_after_nodes: 2

? 192.168.1.33 /opt/elasticsearch/config/elasticsearch.yml

# 集群名字
cluster.name: my-application

# 節點名字
node.name: 192.168.1.33

# 日志位置
path.logs: /opt/logs/elasticsearch

# 本節點訪問IP
network.host: 192.168.1.33

# 本節點訪問
http.port: 9200

# 節點運輸端口
transport.port: 9300

# 集群中其他主機的列表
discovery.seed_hosts: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 首次啟動全新的Elasticsearch集群時，在第一次選舉中便對其票數進行計數的master節點的集合
cluster.initial_master_nodes: [192.168.1.31, 192.168.1.32, 192.168.1.33]

# 啟用跨域資源共享
http.cors.enabled: true
http.cors.allow-origin: *

# 只要有2臺數據或主節點已加入集群，就可以恢復
gateway.recover_after_nodes: 2

filebeat配置

192.168.1.11 /opt/filebeat/filebeat.yml

# 文件輸入
filebeat.inputs:
  # 文件輸入類型
  - type: log
    # 開啟加載
    enabled: true
    # 文件位置
    paths:
      - /var/log/nginx/access.log
    # 自定義參數
    fields:
      type: nginx_access  # 類型是nginx_access,和上面fields.type是一致的

# 輸出至elasticsearch
output.elasticsearch:
  # elasticsearch集群
  hosts: [http://192.168.1.31:9200,
          http://192.168.1.32:9200,
          http://192.168.1.33:9200]

  # 索引配置
  indices:
    # 索引名
    - index: nginx_access_%{ yyy.MM}
      # 當類型是nginx_access時使用此索引
      when.equals:
        fields.type: nginx_access

# 關閉自帶模板
setup.template.enabled: false

# 開啟日志記錄
logging.to_files: true
# 日志等級
logging.level: info
# 日志文件
logging.files:
  # 日志位置
  path: /opt/logs/filebeat/
  # 日志名字
  name: filebeat
  # 日志輪轉期限，必須要2~1024
  keepfiles: 7
  # 日志輪轉權限
  permissions: 0600

kibana配置

192.168.1.21 /opt/kibana/config/kibana.yml

# 本節點訪問端口
server.port: 5601

# 本節點IP
server.host: 192.168.1.21

# 本節點名字
server.name: 192.168.1.21

# elasticsearch集群IP
elasticsearch.hosts: [http://192.168.1.31:9200,
                      http://192.168.1.32:9200,
                      http://192.168.1.33:9200]

啟動服務

# elasticsearch啟動（3臺es均啟動）
sudo -u elasticsearch /opt/elasticsearch/bin/elasticsearch

# filebeat啟動
/opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d publish

# kibana啟動
sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml

上面的啟動方法是位于前臺運行。systemd配置方法，會在《EFK教程》系列后續文章中提供，敬請關注！

kibana界面配置

1 使用瀏覽器訪問192.168.1.21:5601，看到以下界面表示啟動成功

2 點"Try our sample data"

3 "Help us improve the Elastic Stack by providing usage statistics for basic features. We will not share this data outside of Elastic"點"no”

4 "Add Data to kibana"點"Add data"

5 進入視圖

測試

訪問nginx，生成日志

curl -I http://192.168.1.11

在kibana上查看數據

1 創建索引模板

2 輸入你要創建的索引模板的名字

3 查看之前CURL的數據

后續文章

本文是《EFK教程》系列文章的第一篇，后續EFK文章將逐步發布，包含角色分離、性能優化等許多干貨，敬請關注！

更多關于云服務器，域名注冊，虛擬主機的問題，請訪問三五互聯官網：m.shinetop.cn





猜你還會喜歡下面的內容

• 三五互聯虛擬主機全新升級上線
• 2025雙11云服務器搶購攻略：爆款配置三年特價，一步省三年，速搶！
• 三五互聯雙11：1G虛擬主機驚爆價只要18元
• 虛擬主機升級：提升流量配額與功能更新
• 企業郵箱的續費流程
• 如何購買域名的虛擬主機
• 如何將網頁綁定在域名上
• 如何將購買的域名綁定到 Web
• 如何把空間和域名綁定
• 虛擬主機共享ip怎么更換獨立ip
• 做網站用虛擬主機怎么樣
• 做網站什么時候要用到虛擬主機
• 去哪里買的空間和域名比較優質
• 買下域名后每年都要交錢嗎
• 怎么購買低價的虛擬主機
• 一年十幾塊錢的虛擬主機怎么樣

熱門標簽

其他問題云服務器問題域名及賬戶問題企業郵局市場咨詢云服務器云建站/云站群/小程序虛擬主機企業郵箱網絡知識域名注冊域名備案域名商標注冊云主機更多標簽...