组件及对应端口

服务 端口
Elasticsearch 9200(数据连接)、9300(集群通信)
Cerebro 9000
Kibana 5601
Logstash 6514(tcp/udp)、6515(tcp)

ELK文件及目录

文件或目录 说明
/opt/es/config/elasticsearch.yml es的主配置文件
/opt/es/config/jvm.options es的jvm配置文件
/opt/es es安装目录
/opt/es_logs/ es日志目录
/opt/es_data/ es数据目录
/opt/kibana/config/kibana.yml kibana主配置文件
/opt/cerebro/conf/application.conf cerebro主配置文件
/opt/logstash-conf/ logstash配置文件目录

安装ELK

一、脚本安装

cd ~
wget -O elk762.sh http://www.bigops.com/bigops-install/elk762.sh
bash elk762.sh

提示:如果脚本下载elk太慢,可以手动下载,把ELK下载文件和elk762.sh脚本放在同一个目录再运行安装脚本。

启动服务

后续步骤一:设置ES密码
-------------------
等待10秒后,查看ES是否启动,运行命令:
netstat -nptl|grep 9[2,3]00
如果没有启动,请尝试手动启动:
su - es
/opt/es/bin/elasticsearch

9200和9300端口启动后,运行下面命令设置密码
/opt/es/bin/elasticsearch-setup-passwords interactive
Please confirm that you would like to continue [y/N],回答y
要设置的密码比较多,都设置成ES连接密码


后续步骤二:启动kibana
-------------------
运行命令
systemctl restart kibana.service

等待10秒后,查看端口是否启动,运行命令
netstat -nplt|grep 5601

5601端口启动后,使用浏览器访问:http://120.132.33.210:5601
默认登录用户名:elastic
密码:刚才设置的ES连接密码


后续步骤三:启动logstash
-------------------
运行命令
systemctl restart logstash.service

等待10秒后,查看端口是否启动,运行命令
netstat -npl|grep 6514

二、修改防火墙策略

确认防火墙6514/(tcp/udp)、6515(tcp)端口容许被访问。如果使用了公有云,需要打开端口策略。

三、测试Logstash端口连通性

登录一台日志客户端,运行命令确认6514、6515端口是open

nmap -sU -pU:6514 日志服务器IP

等Bigops系统安装好后,登录kibana查看是否有数据进来

创建Kibana索引模式

定义索引模式

配置设置

查看索引文档

安装cerebro,用于图形化管理ES(选装)

cd ~
wget -O cerebro.sh http://www.bigops.com/bigops-install/cerebro.sh
bash cerebro.sh

ES集群(选装)

集群规划。如:

IP 节点名称 节点用途
192.168.1.100 master-01 master节点
192.168.1.101 master-02 master节点
192.168.1.102 data-01 data节点
192.168.1.103 data-02 data节点
192.168.1.104 data-03 data节点

1、打包已安装好的ES目录,并拷贝到其他机器,ES集群所有节点版本必须一致。

2、编辑ES配置文件 /opt/es/config/elasticsearch.yml,根据节点用途修改参数。

集群名称,集群内所有节点需要保证一致。如:

cluster.name: bigops

集群内节点的名称,同一集群内的节点名称必须保持唯一。如:

node.name: master-01

标记节点可以选举为master节点。如果集群内的master节点停止,则该节点就会参与选举,可以成为master节点。如:

node.master: true

集群节点通讯的tcp的端口,默认9300。如:

transport.tcp.port: 9300

集群搜索的主机列表。由discovery.zen.ping.unicast.hosts参数改变而来。如:

discovery.seed_hosts:["192.168.1.100:9300","192.168.1.101:9300","192.168.1.102:9300","192.168.1.103:9300","192.168.1.104:9300"]

集群主节点初始化列表,master选举列表。如:

cluster.initial_master_nodes:["192.168.1.100:9300","192.168.1.101:9300"]

常见问题

1、忘记ElasticSearch密码?

按下述步骤创建本地超级账户,然后使用api接口重置elastic账户的密码

(1) 停止elasticsearch服务

(2) 使用命令ES_HOME/bin/x-pack/users创建一个基于本地认证的超级管理员

./bin/elasticsearch-users useradd my_admin -p my_password -r superuser

(3) 启动elasticsearch服务

(4) 通过api重置elastic超级管理员的密码

curl -u my_admin -XPUT 'http://localhost:9200/_xpack/security/user/elastic/_password?pretty' -H 'Content-Type: application/json' -d'
{
"password" : "new_password"
}
'

(5) 校验密码是否重置成功

curl -u elastic 'http://localhost:9200/_xpack/security/_authenticate?pretty'

results matching ""

    No results matching ""