在这博客上显示不友好,去我的有道云笔记看吧,还是markdown舒服。
网上的教程所用版本有些老了,新版本中的配置文件改了不少。踩了不少坑,有几点心得,网上的教程有时效性,有问题时多看原版官方文档,多分析log。还有基本功基本概念要扎实,比如linux命令,PKI证书体系相关知识。
有道云笔记链接:ELK7.4.2安装教程
ELK简介
“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。
更多参考:什么是 ELK Stack
一、环境准备
本教程所用系统为 CentOS7.7 ,建议使用 CentoOS7.4 及以上版本。
所用ELK版本为7.4.2。
修改主机名
方便区分主机与规范化管理,如果配置es集群环境,请配置正规DNS,或者在/etc/hosts文件中写入对应关系。
hostnamectl set-hostname node-1
重启主机
安装JKD1.8开发环境
elasticsearch 7.0.0及以后版本自带JDK,此处安装是logstash要用。如果不装logstash的话可跳过此步。
yum安装JKD1.8
yum install java-1.8.0-openjdk-devel
设置环境变量(无脑粘贴即可)
jh_pwd=`ls -d /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.*` JAVA_HOME='$JAVA_HOME' cat >> /etc/profile <<EOF #set java environment JAVA_HOME=$jh_pwd JRE_HOME=$JAVA_HOME/jre CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin export JAVA_HOME JRE_HOME CLASS_PATH PATH EOF
使环境变量生效
source /etc/profile
修改文件与线程数限制limits.conf
cat >> /etc/security/limits.conf <<EOF * soft nofile 65536 * hard nofile 65536 * soft nproc 4096 * hard nproc 4096 EOF
修改vm.max_map_count
sed -i '$a vm.max_map_count=655360' /etc/sysctl.conf
下载安装包
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-x86_64.rpm wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-x86_64.rpm wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.rpm
二、安装ELK(无认证)
rpm包自动安装
此方法可以用systemctl方式启动服务,方便管理。
rpm -ivh elasticsearch-7.4.2-x86_64.rpm rpm -ivh kibana-7.4.2-x86_64.rpm rpm -ivh logstash-7.4.2.rpm
创建数据目录并设置权限
rpm安装完es,会自动创建elasticsearch用户与用户组,无需手动创建。
mkdir -p /data/es-data chown -R elasticsearch:elasticsearch /data/es-data/
调整JVM内存
此处为将1g改为8g,可设置为物理内存的一半or more
sed -i 's/-Xms1g/-Xms8g/g' /etc/elasticsearch/jvm.options sed -i 's/-Xmx1g/-Xmx8g/g' /etc/elasticsearch/jvm.options
编辑es配置文件
注释掉默认数据目录
sed -i 's/path.data/#path.data/g' /etc/elasticsearch/elasticsearch.yml
追加自定义配置,根据自己需求更改集群及节点名称
cat >> /etc/elasticsearch/elasticsearch.yml <<EOF #------开始定义------ #集群名 cluster.name: my-es #node名 node.name: node-1 #数据目录 path.data: /data/es-data network.host: 0.0.0.0 http.port: 9200 http.cors.enabled: true http.cors.allow-origin: "*" cluster.initial_master_nodes: ["node-1"] EOF
启动es
systemctl enable elasticsearch systemctl start elasticsearch
验证es
访问http://xxx:9200 会出现如下类似response。
如果启动faided,可查看/var/log/elasticsearch/my-es_server.json进行排错
{ "name" : "node-1", "cluster_name" : "my-es", "cluster_uuid" : "CxiYplRUTB-CxFF_3OYZWA", "version" : { "number" : "7.4.2", "build_flavor" : "default", "build_type" : "rpm", "build_hash" : "2f90bbf7b93631e52bafb59b3b049cb44ec25e96", "build_date" : "2019-10-28T20:40:44.881551Z", "build_snapshot" : false, "lucene_version" : "8.2.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" }
修改kibana配置文件
cat >> /etc/kibana/kibana.yml <<EOF #----customed----: server.port: 5601 server.host: "0.0.0.0" kibana.index: ".kibana" elasticsearch.hosts: "http://localhost:9200" EOF
启动kibana
systemctl enable kibana systemctl start kibana
访问http://xxx:9200 即可访问kibana管理界面
关于logstash
相关参考:logstash启动失败的问题追查
ls /etc/logstash/ conf.d jvm.options log4j2.properties logstash-sample.conf logstash.yml pipelines.yml startup.options
logstash服务中,会去pipelines.yml中过滤数据,但这个文件的内容其实指向的是conf.d这个目录,因此我们要在conf.d目录下创建好配置文件,以备logstash服务来对数据进行使用。
systemctl enable kibana systemctl start kibana
排错可查看/var/log/logstash/logstash-plain.log
三、启用安全认证
Elasticsearch具有两种通信级别,即传输通信和http通信。传输协议用于Elasticsearch节点之间的内部通信,而http协议则用于从客户端到Elasticsearch集群的通信。
es安全配置
自签名证书生成
cd /usr/share/elasticsearch
#生成CA,包含CA私钥和证书,默认名称elastic-stack-ca.p12 bin/elasticsearch-certutil ca ENTER ENTER #颁发一个实例证书,默认名称elastic-certificates.p12 bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 ENTER ENTER ENTER
配置证书
拷贝证书到es配置目录
mkdir /etc/elasticsearch/certs cp elastic-certificates.p12 /etc/elasticsearch/certs chown -R elasticsearch:elasticsearch /etc/elasticsearch/certs
修改es配置文件,加密内部通信流量与http流量,在/etc/elasticsearch/elasticsearch.yml末尾增加
xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.enabled: true xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.client_authentication: none
修改内置用户密码
分别修改elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user用户的密码,请牢记!
bin/elasticsearch-setup-passwords interactive
kibana安全配置
给kibana生成证书
生成p12格式
bin/elasticsearch-certutil cert --ca \ elastic-stack-ca.p12 \ -name "CN=kibana,OU=elk,DC=mydomain,DC=com" ENTER kibana.p12 ENTER ENTER
转换成其他格式
openssl pkcs12 -in kibana.p12 -nocerts -nodes > kibana.key openssl pkcs12 -in kibana.p12 -clcerts -nokeys > kibana.cer openssl pkcs12 -in kibana.p12 -cacerts -nokeys -chain > kibana-ca.cer
配置xpack与证书
拷贝证书到配置目录
mkdir /etc/kibana/certs cp kibana* /etc/kibana/certs/ chown kibana:kibana -R /etc/kibana/certs/
修改kibana配置文件/etc/kibana/kibana.yml
elasticsearch.hosts: "https://localhost:9200" xpack.security.enabled: true elasticsearch.username: "kibana" elasticsearch.password: "上边修改的密码" elasticsearch.ssl.certificateAuthorities: /etc/kibana/certs/kibana-ca.cer elasticsearch.ssl.verificationMode: certificate server.ssl.enabled: true server.ssl.key: /etc/kibana/certs/kibana.key server.ssl.certificate: /etc/kibana/certs/kibana.cer server.ssl.certificateAuthorities: /etc/kibana/certs/kibana-ca.cer server.ssl.clientAuthentication: none
重启elasticsearch,kibana
systemctl restart elasticsearch systemctl restart kibana
验证
访问kibana https://xxx:5601
请使用elastic账号登陆
(kibana用户用于向Elasticsearch集群认证,不会直接登录Kibana UI)
四、ES集群配置
其他节点的环境准备请参考步骤:一、环境准备
如集群内部各节点的传输流量已加密,需拷贝生成的证书和es配置文件到其他节点相同位置。
如各节点传输流量未配置加密,请参考下方配置文件,去掉xpack部分。
节点配置文件
es配置文件示例,增加了通信端口配置
#------开始定义------ #集群名 cluster.name: my-es #node名 node.name: node-1 #数据目录 path.data: /data/es-data network.host: 0.0.0.0 http.port: 9200 http.cors.enabled: true http.cors.allow-origin: "*" #集群通信 transport.port: 9300 discovery.seed_hosts: ["10.10.10.83:9300","10.10.10.85:9300"] #写一个指定主节点,写多个则首次自选举 cluster.initial_master_nodes: ["node-1","node-2"] xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.enabled: true xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12 xpack.security.http.ssl.client_authentication: none
其他
kibana高可用
可以将Kibana配置为连接到同一集群中的多个Elasticsearch节点。在节点不可用的情况下,Kibana将透明地连接到可用节点并继续运行。对可用主机的请求将以循环方式进行路由。
相关教程参考
Elastic Stack and Product Documentation
Elasticsearch Security: Configure TLS/SSL & PKI Authentication