清華大學鏡像源地址：Index of /elasticstack/8.x/yum/8.13.2/ | 清華大學開源軟件鏡像站 | Tsinghua Open Source Mirror

一、elasticsearch

1.安裝

rpm -ivh elastic-agent-8.13.2-x86_64.rpm

2.修改配置

vim /etc/elasticsearch/elasticsearch.yml

修改如下：

去掉cluster.name注釋，起個名字
cluster.name: my-es去掉node.name注釋，起個名字
#node.name: es01看情況是否需要修改日志目錄和數據庫目錄
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch去掉network.host注釋，主機ip改成自己的
network.host: 192.168.63.230去掉http.port注釋
http.port: 9200去掉discovery.seed_hosts注釋，es本身是個集群環境，如果只有一臺，那就只把自己的ip填進去
discovery.seed_hosts: ["192.168.63.230"]下面兩行認證，es8以后默認是開啟的，我們給關閉，改成false
xpack.security.enabled: false
xpack.security.enrollment.enabled: false修改集群選舉的管理節點主機列表，只有一臺，就當做管理節點
cluster.initial_master_nodes: ["192.168.63.230"]

3.啟動并設置開機自啟

systemctl enable elasticsearch --now 

二、kibana

1.安裝

rpm -ivh kibana-8.13.2-x86_64.rpm

2.修改配置

vim /etc/kibana/kibana.yml

修改如下：

去掉server.port注釋
server.port: 5601去掉host注釋，改成自己主機的ip
server.host: "192.168.63.230"去掉elasticsearch.hosts注釋，改成es的地址
elasticsearch.hosts: ["http://192.168.63.230:9200"]去掉注釋，并把語言改成zh-CN簡體中文
i18n.locale: "zh-CN"

3.啟動

systemctl enable kibana --now

訪問默認端口5601，例如http://192.168.63.230:5601/

三、logstash

1.安裝jdk17,elk都是基于java開發的，但是elastic和kibana內置了jdk17,不需要安裝

jdk17下載：

sudo wget https://download.java.net/java/GA/jdk17.0.1/2a2082e5a09d4267845be086888add4f/12/GPL/openjdk-17.0.1_linux-x64_bin.tar.gz

2.安裝logstash

rpm -ivh logstash-8.13.2-x86_64.rpm

3.不需要修改配置文件

4.軟鏈接 這樣就不用輸入絕對路徑使用logstash

ln -s /usr/share/logstash/bin/logstash /usr/bin/

5.官方參考文檔?

https://www.elastic.co/docs/reference/logstash/plugins/input-plugins

6.編輯配置文件

logstash.conf起什么名字無所謂

ls /etc/logstash/
vim /etc/logstash/conf.d/logstash.conf

例如

[root@lamp log]# cat /etc/logstash/conf.d/logstash.conf 
#收集日志
input {file {path => "/var/log/app.log"}
}#過濾日志#輸出日志 rubydebug輸入到標準終端
output {stdout { codec => rubydebug }
}

7.啟動logstash -r的作用是后續對該配置文件做修改不需要再重啟

logstash -f /etc/logstash/conf.d/logstash.conf -r

如下即啟動成功

模擬寫入一條日志

tail -1 zhiliaooa.log >> /var/log/app.log

終端輸出