1、準(zhǔn)備環(huán)境

聲明需要jdk17依賴，自行安裝配置

#第一部分在192.168.25.149安裝es

2、配置yum源

# 配置 Elastic 官方倉庫
sudorpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudotee/etc/yum.repos.d/elastic.repo <

	

	3、安裝 配置Elasticsearch

	
sudoyum install -y elasticsearch

# 配置 Elasticsearch
sudovim /etc/elasticsearch/elasticsearch.yml

# 集群名稱
cluster.name: elk-cluster
# 節(jié)點名稱
node.name: node-1
# 數(shù)據(jù)和日志存儲路徑
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
# 網(wǎng)絡(luò)設(shè)置
network.host: 192.168.25.149
http.port: 9200
# 發(fā)現(xiàn)設(shè)置
discovery.type: single-node

# 配置內(nèi)存 #因為我的服務(wù)器只有 2GB 內(nèi)存，建議修改 JVM 堆大?。?sudovim /etc/elasticsearch/jvm.options
-Xms512m
-Xmx512m

	

	4、啟動

	
# 啟動服務(wù)
sudosystemctl daemon-reload
sudosystemctlenableelasticsearch
sudosystemctl start elasticsearch

#關(guān)閉防火墻
systemctl stop firewalld

# 驗證服務(wù)
curl http://192.168.25.149:9200

#正確結(jié)果
[root@localhost elasticsearch]# curl http://192.168.25.149:9200
{
"name":"node-1",
"cluster_name":"ELK-cluster",
"cluster_uuid":"CAS4Rr6NSTmwMW5lK5rJpQ",
"version": {
 "number":"7.17.28",
 "build_flavor":"default",
 "build_type":"rpm",
 "build_hash":"139cb5a961d8de68b8e02c45cc47f5289a3623af",
 "build_date":"2025-02-20T0931.349013687Z",
 "build_snapshot":false,
 "lucene_version":"8.11.3",
 "minimum_wire_compatibility_version":"6.8.0",
 "minimum_index_compatibility_version":"6.0.0-beta1"
 },
"tagline":"You Know, for Search"
}


	

	#第二部分在192.168.25.149安裝kibana

	1、# 安裝 配置Kibana

	
sudoyum install -y kibana

# 配置 Kibana
sudovim /etc/kibana/kibana.yml

server.port: 5601
server.host:"192.168.25.149"
elasticsearch.hosts: ["http://192.168.25.149:9200"]
i18n.locale:"zh-CN"#中文


	

	2、啟動

	
# 啟動 Kibana
sudosystemctlenablekibana
sudosystemctl start kibana


	

	#第三部分在192.168.25.148 安裝filebeat

	1、配置yum源

	
# 配置 Elastic 官方倉庫
sudorpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudotee/etc/yum.repos.d/elastic.repo <

	

	2、安裝配置filebeat

	#聲明 我在本地啟動了一個java服務(wù)，收集日志文件，你們可以把路徑配置其它服務(wù)的日志，

	比如服務(wù)器本身/var/log/message 等等

	
# 配置 Filebeat
sudovim /etc/filebeat/filebeat.yml


filebeat.inputs:
# 配置輸入源，用于收集日志數(shù)據(jù)
 -type:log
  enabled:true
  paths: 
   - /usr/loca/project/wcc/logs/info.log #日志來源
  tags: ["info"] # 為info日志添加標(biāo)簽
  fields:
   logtype: info # 定義日志類型為info
  fields_under_root:true# 將字段添加到根級別

 -type:log
  enabled:true
  paths:
   - /usr/loca/project/wcc/logs/error.log #日志來源
  tags: ["error"] # 為error日志添加標(biāo)簽
  fields:
   logtype: error # 定義日志類型為error
  fields_under_root:true

output.elasticsearch:
# 配置輸出到Elasticsearch
 hosts: ["192.168.25.149:9200"] # 指定Elasticsearch主機和端口
 indices:
  - index:"wcc-info-%{+yyyy.MM.dd}"
   when.equals:
    logtype:"info"# 當(dāng)日志類型為info時，使用指定的索引模式
  - index:"wcc-error-%{+yyyy.MM.dd}"
   when.equals:
    logtype:"error"# 當(dāng)日志類型為error時，使用指定的索引模式

setup.template.name:"wcc"# 設(shè)置模板名稱為wcc
setup.template.pattern:"wcc-*"# 設(shè)置模板匹配模式為wcc-*
setup.ilm.enabled:false# 禁用索引生命周期管理


	

	3、啟動

	
sudosystemctlenablefilebeat
sudosystemctl start filebeat


	

	#第四部分 配置 Kibana 索引模式

	1、打開瀏覽器訪問 Kibana:http://192.168.25.149:5601

	2、進入 "Stack Management" -> "Index Patterns"

	3、創(chuàng)建索引模式wcc-*

	4、選擇時間字段@timestamp

	

	看到我們索引創(chuàng)建完成

	

	日志分析儀表板

	DISCOVER

	

	這樣就是一整套的安裝與配置，還需要結(jié)合實際的工作情況來使用

	添加儀表盤，可視化圖可自行搜素學(xué)習(xí)

	如果你覺得對你有幫助就點個贊

	

	鏈接：https://blog.csdn.net/m0_52454621/article/details/146248197?spm=1001.2014.3001.5502