在这博客上显示不友好，去我的有道云笔记看吧，还是markdown舒服。

网上的教程所用版本有些老了，新版本中的配置文件改了不少。踩了不少坑，有几点心得，网上的教程有时效性，有问题时多看原版官方文档，多分析log。还有基本功基本概念要扎实，比如linux命令，PKI证书体系相关知识。

有道云笔记链接：ELK7.4.2安装教程

ELK简介

“ELK”是三个开源项目的首字母缩写，这三个项目分别是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。

更多参考：什么是 ELK Stack

一、环境准备

本教程所用系统为 CentOS7.7 ,建议使用 CentoOS7.4 及以上版本。
所用ELK版本为7.4.2。

修改主机名

方便区分主机与规范化管理，如果配置es集群环境，请配置正规DNS，或者在/etc/hosts文件中写入对应关系。

hostnamectl set-hostname node-1

重启主机

安装JKD1.8开发环境

elasticsearch 7.0.0及以后版本自带JDK，此处安装是logstash要用。如果不装logstash的话可跳过此步。

yum安装JKD1.8

yum install java-1.8.0-openjdk-devel

设置环境变量（无脑粘贴即可）

jh_pwd=`ls -d /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.*`
JAVA_HOME='$JAVA_HOME'
cat >> /etc/profile <<EOF
#set java environment
   JAVA_HOME=$jh_pwd
   JRE_HOME=$JAVA_HOME/jre
   CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
   PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
   export JAVA_HOME JRE_HOME CLASS_PATH PATH
EOF

使环境变量生效

source /etc/profile

修改文件与线程数限制limits.conf

cat >> /etc/security/limits.conf <<EOF
*               soft    nofile          65536
*               hard    nofile          65536
*               soft    nproc           4096
*               hard    nproc           4096
EOF

修改vm.max_map_count

sed -i '$a vm.max_map_count=655360' /etc/sysctl.conf

下载安装包

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-x86_64.rpm
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.rpm

二、安装ELK(无认证)

rpm包自动安装

此方法可以用systemctl方式启动服务，方便管理。

rpm -ivh elasticsearch-7.4.2-x86_64.rpm
rpm -ivh kibana-7.4.2-x86_64.rpm
rpm -ivh logstash-7.4.2.rpm

创建数据目录并设置权限

rpm安装完es,会自动创建elasticsearch用户与用户组，无需手动创建。

mkdir -p /data/es-data
chown -R elasticsearch:elasticsearch /data/es-data/

调整JVM内存

此处为将1g改为8g,可设置为物理内存的一半or more

sed -i 's/-Xms1g/-Xms8g/g' /etc/elasticsearch/jvm.options
sed -i 's/-Xmx1g/-Xmx8g/g' /etc/elasticsearch/jvm.options

编辑es配置文件

注释掉默认数据目录

sed -i 's/path.data/#path.data/g' /etc/elasticsearch/elasticsearch.yml

追加自定义配置，根据自己需求更改集群及节点名称

cat >> /etc/elasticsearch/elasticsearch.yml <<EOF
#------开始定义------
#集群名
cluster.name: my-es
#node名
node.name: node-1
#数据目录
path.data: /data/es-data
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true 
http.cors.allow-origin: "*"
cluster.initial_master_nodes: ["node-1"]
EOF

启动es

systemctl enable elasticsearch
systemctl start elasticsearch

验证es

访问http://xxx:9200 会出现如下类似response。

如果启动faided,可查看/var/log/elasticsearch/my-es_server.json进行排错

{
  "name" : "node-1",
  "cluster_name" : "my-es",
  "cluster_uuid" : "CxiYplRUTB-CxFF_3OYZWA",
  "version" : {
    "number" : "7.4.2",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "2f90bbf7b93631e52bafb59b3b049cb44ec25e96",
    "build_date" : "2019-10-28T20:40:44.881551Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

修改kibana配置文件

cat >> /etc/kibana/kibana.yml <<EOF
#----customed----:
server.port: 5601
server.host: "0.0.0.0"
kibana.index: ".kibana"
elasticsearch.hosts: "http://localhost:9200"
EOF

启动kibana

systemctl enable kibana
systemctl start kibana

访问http://xxx:9200 即可访问kibana管理界面

关于logstash

相关参考：logstash启动失败的问题追查

ls /etc/logstash/
conf.d  jvm.options  log4j2.properties  logstash-sample.conf  logstash.yml  pipelines.yml  startup.options

logstash服务中，会去pipelines.yml中过滤数据，但这个文件的内容其实指向的是conf.d这个目录，因此我们要在conf.d目录下创建好配置文件，以备logstash服务来对数据进行使用。

systemctl enable kibana
systemctl start kibana

排错可查看/var/log/logstash/logstash-plain.log

三、启用安全认证

Elasticsearch具有两种通信级别，即传输通信和http通信。传输协议用于Elasticsearch节点之间的内部通信，而http协议则用于从客户端到Elasticsearch集群的通信。

---

es安全配置

自签名证书生成

cd /usr/share/elasticsearch

#生成CA，包含CA私钥和证书,默认名称elastic-stack-ca.p12
bin/elasticsearch-certutil ca
ENTER ENTER
#颁发一个实例证书,默认名称elastic-certificates.p12
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
ENTER ENTER ENTER

配置证书

拷贝证书到es配置目录

mkdir /etc/elasticsearch/certs
cp elastic-certificates.p12 /etc/elasticsearch/certs
chown -R elasticsearch:elasticsearch /etc/elasticsearch/certs

修改es配置文件，加密内部通信流量与http流量，在/etc/elasticsearch/elasticsearch.yml末尾增加

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.client_authentication: none

修改内置用户密码

分别修改elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user用户的密码，请牢记！

bin/elasticsearch-setup-passwords interactive

---

kibana安全配置

给kibana生成证书

生成p12格式

bin/elasticsearch-certutil cert --ca \
elastic-stack-ca.p12 \
-name "CN=kibana,OU=elk,DC=mydomain,DC=com"
ENTER
kibana.p12 ENTER
ENTER

转换成其他格式

openssl pkcs12 -in kibana.p12 -nocerts -nodes > kibana.key
openssl pkcs12 -in kibana.p12 -clcerts -nokeys  > kibana.cer
openssl pkcs12 -in kibana.p12 -cacerts -nokeys -chain > kibana-ca.cer

配置xpack与证书

拷贝证书到配置目录

mkdir /etc/kibana/certs
cp kibana* /etc/kibana/certs/
chown kibana:kibana -R /etc/kibana/certs/

修改kibana配置文件/etc/kibana/kibana.yml

elasticsearch.hosts: "https://localhost:9200"
xpack.security.enabled: true
elasticsearch.username: "kibana"
elasticsearch.password: "上边修改的密码"
elasticsearch.ssl.certificateAuthorities: /etc/kibana/certs/kibana-ca.cer
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /etc/kibana/certs/kibana.key
server.ssl.certificate: /etc/kibana/certs/kibana.cer
server.ssl.certificateAuthorities: /etc/kibana/certs/kibana-ca.cer
server.ssl.clientAuthentication: none

重启elasticsearch，kibana

systemctl restart elasticsearch
systemctl restart kibana

验证

访问kibana https://xxx:5601

请使用elastic账号登陆
（kibana用户用于向Elasticsearch集群认证，不会直接登录Kibana UI）

四、ES集群配置

其他节点的环境准备请参考步骤：一、环境准备

如集群内部各节点的传输流量已加密，需拷贝生成的证书和es配置文件到其他节点相同位置。

如各节点传输流量未配置加密，请参考下方配置文件，去掉xpack部分。

节点配置文件

es配置文件示例，增加了通信端口配置

#------开始定义------
#集群名
cluster.name: my-es
#node名
node.name: node-1
#数据目录
path.data: /data/es-data
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true 
http.cors.allow-origin: "*"
#集群通信
transport.port: 9300
discovery.seed_hosts: ["10.10.10.83:9300","10.10.10.85:9300"]
#写一个指定主节点，写多个则首次自选举
cluster.initial_master_nodes: ["node-1","node-2"]
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.client_authentication: none

其他

kibana高可用

可以将Kibana配置为连接到同一集群中的多个Elasticsearch节点。在节点不可用的情况下，Kibana将透明地连接到可用节点并继续运行。对可用主机的请求将以循环方式进行路由。

相关教程参考

Elastic Stack and Product Documentation

Elasticsearch Security: Configure TLS/SSL & PKI Authentication

logstash启动失败的问题追查