elasticsearch

ELK 的 安装部署笔记

docker 安装 ELK

日志处理流程

日志处理流程

Filebeat 将日志发送给 Logstash 进行分析和过滤

Logstash 转发给 Elasticsearch

Kibana 可视化 Elasticsearch 的数据

安装过程

docker 安装 sebp/elk 过程

1.镜像拉取

docker pull sebp/elk

2.启动 elk

docker run -d -p 5044:5044 -p 5601:5601 -p 9200:9200 -p 9300:9300 -v /var/data/elk:/var/lib/elasticsearch -v /usr/config/logstash:/etc/logstash/conf.d --name=elk sebp/elk

3.进入docker配置允许外部访问

#进入elk容器的根目录
docker exec -it elk bash
#打开配置文件
cd /etc/elasticsearch
vim elasticsearch.yml

#打开后添加配置，设置允许外部访问（如果这行没有被注释就不需要修改）
network.host: 0.0.0.0
##下面两行配置用于设置跨域访问 
http.cors.enabled: true
http.cors.allow-origin: "*"

跨域配置更多详细内容可以查看博客园参考

4.重启ELK服务

修改完elasticSearch.yml配置后需要重启服务

#退出容器
exit
#重启
docker restart elk

#验证elk服务是否正常，这里最好把localhost改为实际的Ip地址，以确保在服务器外部可以访问到
curl http://localhost:9200

常见问题

启动过程出错的一些常见问题

内存权限太小

若启动过程出错一般是因为elasticsearch用户拥有的内存权限太小，
至少需要262144

切换到root用户

执行命令：

sysctl -w vm.max_map_count=262144

查看结果：

sysctl -a|grep vm.max_map_count

显示修改结果：

vm.max_map_count = 262144

上述方法修改之后，如果重启虚拟机将失效，所以永久修改办法：

vi /etc/sysctl.conf
# 末尾添加
vm.max_map_count=262144

即可永久修改