2. 程式人生 > >搭建ELK日誌分析系統(一)-Elasticsearch安裝

搭建ELK日誌分析系統(一)-Elasticsearch安裝

阿新 發佈:2019-01-30

前言

搭建ELK系統有兩種方式
1、元件獨立安裝(更深入瞭解ELK系統的工作流程)
2、使用docker容器安裝(這種方式配置更簡單,快捷方便)

本系列文章使用元件獨立安裝的方式,如果你想使用docker容器安裝,請跳過本教程

環境需求

本教程使用CentOS 6.9
Elasticsearch5.x版本不能以root使用者執行,所以需增加普通使用者
這裡新增使用者:elk

useradd elk

JDK環境安裝

Elasticsearch是基於Java的,需要安裝最新的JDK 1.8
如果自帶低版本的JDK,執行以下命令檢視

java -version

請刪除再進行安裝新版本

yum remove java

下載JDK1.8

wget http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.tar.gz
#wget命令可能下載不了,自行想辦法下載

解壓JDK1.8

#解壓到指定目錄
tar -zxvf ./jdk-8u144-linux-x64.tar.gz -C /usr/local/
#最終結果/usr/local/jdk1.8.0_144

配置環境變數

vi /etc/profile

新增

JAVA_HOME=/usr/local/jdk1.8.0_144
JRE_HOME=/usr/local/jdk1.8.0_144/jre
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
CLASSPATH=:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib

export PATH=$PATH:$JAVA_HOME:$JRE_HOME:$CLASSPATH

安裝Elasticsearch5.5.2

下載安裝包

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.5.2.tar.gz

解壓安裝包

#解壓到指定目錄
tar -zxvf ./elasticsearch-5.5.2.tar.gz -C /usr/local/
#最終結果/usr/local/elasticsearch-5.5.2
#改變許可權
chown -R elk:elk /usr/local/elasticsearch-5.5.2/

直接執行elasticsearch

#切換使用者
su elk
#進入目錄
cd /usr/local/elasticsearch-5.5.2
#執行
./bin/elasticsearch

此時可能會出現一大堆異常

java.lang.UnsupportedOperationException: seccomp unavailable: CONFIG_SECCOMP not compiled into kernel, CONFIG_SECCOMP and CONFIG_SECCOMP_FILTER are needed
        at org.elasticsearch.bootstrap.SystemCallFilter.linuxImpl(SystemCallFilter.java:363) ~[elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.SystemCallFilter.init(SystemCallFilter.java:638) ~[elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.JNANatives.tryInstallSystemCallFilter(JNANatives.java:245) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Natives.tryInstallSystemCallFilter(Natives.java:113) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Bootstrap.initializeNatives(Bootstrap.java:111) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Bootstrap.setup(Bootstrap.java:194) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:351) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:123) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:114) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:67) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:122) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.cli.Command.main(Command.java:88) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:91) [elasticsearch-5.5.2.jar:5.5.2]
        at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:84) [elasticsearch-5.5.2.jar:5.5.2]
[2017-08-30T10:29:44,497][INFO ][o.e.n.Node               ] [] initializing ...
[2017-08-30T10:29:45,180][INFO ][o.e.e.NodeEnvironment    ] [2NJyxQe] using [1] data paths, mounts [[/ (/dev/mapper/VolGroup-lv_root)]], net usable_space [14.9gb], net total_space [17.1gb], spins? [possibly], types [ext4]
[2017-08-30T10:29:45,183][INFO ][o.e.e.NodeEnvironment    ] [2NJyxQe] heap size [1.9gb], compressed ordinary object pointers [true]
[2017-08-30T10:29:45,197][INFO ][o.e.n.Node               ] node name [2NJyxQe] derived from node ID [2NJyxQewTSmbEGY0YlXTSg]; set [node.name] to override
[2017-08-30T10:29:45,201][INFO ][o.e.n.Node               ] version[5.5.2], pid[1828], build[b2f0c09/2017-08-14T12:33:14.154Z], OS[Linux/2.6.32-696.el6.x86_64/amd64], JVM[Oracle Corporation/Java HotSpot(TM) 64-Bit Server VM/1.8.0_144/25.144-b01]
[2017-08-30T10:29:45,205][INFO ][o.e.n.Node               ] JVM arguments [-Xms2g, -Xmx2g, -XX:+UseConcMarkSweepGC, -XX:CMSInitiatingOccupancyFraction=75, -XX:+UseCMSInitiatingOccupancyOnly, -XX:+AlwaysPreTouch, -Xss1m, -Djava.awt.headless=true, -Dfile.encoding=UTF-8, -Djna.nosys=true, -Djdk.io.permissionsUseCanonicalPath=true, -Dio.netty.noUnsafe=true, -Dio.netty.noKeySetOptimization=true, -Dio.netty.recycler.maxCapacityPerThread=0, -Dlog4j.shutdownHookEnabled=false, -Dlog4j2.disable.jmx=true, -Dlog4j.skipJansi=true, -XX:+HeapDumpOnOutOfMemoryError, -Des.path.home=/usr/local/elasticsearch-5.5.2]
[2017-08-30T10:29:48,468][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [aggs-matrix-stats]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [ingest-common]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [lang-expression]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [lang-groovy]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [lang-mustache]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [lang-painless]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [parent-join]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [percolator]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [reindex]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [transport-netty3]
[2017-08-30T10:29:48,469][INFO ][o.e.p.PluginsService     ] [2NJyxQe] loaded module [transport-netty4]
[2017-08-30T10:29:48,470][INFO ][o.e.p.PluginsService     ] [2NJyxQe] no plugins loaded
[2017-08-30T10:29:55,362][INFO ][o.e.d.DiscoveryModule    ] [2NJyxQe] using discovery type [zen]
[2017-08-30T10:29:56,597][INFO ][o.e.n.Node               ] initialized
[2017-08-30T10:29:56,597][INFO ][o.e.n.Node               ] [2NJyxQe] starting ...
[2017-08-30T10:29:57,256][INFO ][o.e.t.TransportService   ] [2NJyxQe] publish_address {192.168.1.138:9300}, bound_addresses {192.168.1.138:9300}
[2017-08-30T10:29:57,296][INFO ][o.e.b.BootstrapChecks    ] [2NJyxQe] bound or publishing to a non-loopback or non-link-local address, enforcing bootstrap checks
[2017-08-30T10:29:57,412][ERROR][o.e.b.Bootstrap          ] [2NJyxQe] node validation exception
[4] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
[2]: max number of threads [1024] for user [elk] is too low, increase to at least [2048]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[4]: system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk
[2017-08-30T10:29:57,435][INFO ][o.e.n.Node               ] [2NJyxQe] stopping ...
[2017-08-30T10:29:57,534][INFO ][o.e.n.Node               ] [2NJyxQe] stopped
[2017-08-30T10:29:57,534][INFO ][o.e.n.Node               ] [2NJyxQe] closing ...
[2017-08-30T10:29:57,552][INFO ][o.e.n.Node               ] [2NJyxQe] closed

異常問題一

[4] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
[2]: max number of threads [1024] for user [elk] is too low, increase to at least [2048]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[4]: system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

這裡有4個問題,需要逐一解決

問題[1]

原因:無法建立本地檔案問題,使用者最大可建立檔案數太小

解決方案:
切換到root使用者,編輯limits.conf配置檔案, 新增類似如下內容:

vi /etc/security/limits.conf

#新增如下內容:
*  soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096

問題[2]

解決:切換到root使用者,修改90-nproc.conf配置檔案。

vi /etc/security/limits.d/90-nproc.conf 

#修改如下內容:
* soft nproc 1024
#修改為
* soft nproc 2048

問題[3]
解決:切換到root使用者修改配置sysctl.conf

vi /etc/sysctl.conf
#新增下面配置:
vm.max_map_count=655360
#並執行命令:
sysctl -p

問題[4]

[4]: system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

#和以下異常是統一原因
java.lang.UnsupportedOperationException: seccomp unavailable: CONFIG_SECCOMP not compiled into kernel, CONFIG_SECCOMP and CONFIG_SECCOMP_FILTER are needed
....

問題原因:因為Centos6不支援SecComp,而ES5.5.2預設bootstrap.system_call_filter為true進行檢測
所以導致檢測失敗,失敗後直接導致ES不能啟動。
詳見 :https://github.com/elastic/elasticsearch/issues/22899

解決方法:
修改配置

vi ./config/elasticsearch.yml

bootstrap.system_call_filter為false,注意要在Memory下面: 

bootstrap.memory_lock: false 
bootstrap.system_call_filter: false

切換root使用者,重新啟動elasticsearch

su root
./bin/elasticsearch

如無意外,啟動正常

本機命令訪問

    curl http://127.0.0.1:9200

如出現以下內容,則啟動正常

{
  "name" : "2NJyxQe",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "HR3s74ntRXKZi0qal3BE0A",
  "version" : {
    "number" : "5.5.2",
    "build_hash" : "b2f0c09",
    "build_date" : "2017-08-14T12:33:14.154Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

如果在虛擬機器裡安裝elasticsearch,想使用外部瀏覽器訪問
需修改配置

vi ./config/elasticsearch.yml

network.host: 192.168.1.138 
http.port: 9200

# 增加新的引數,這樣head外掛可以訪問es
http.cors.enabled: true
http.cors.allow-origin: "*"

重新啟動elasticsearch,然後在window使用瀏覽器訪問

http://192.168.1.138:9200/

如果訪問出現問題,注意防火牆問題
關閉防火牆

service iptables stop

或防火牆配置中新增埠

su root
vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 9200 -j ACCEPT
service iptables restart

相關推薦

搭建ELK日誌分析系統-Elasticsearch安裝

前言 搭建ELK系統有兩種方式 1、元件獨立安裝(更深入瞭解ELK系統的工作流程) 2、使用docker容器安裝(這種方式配置更簡單,快捷方便) 本系列文章使用元件獨立安裝的方式,如果你想使用docker容器安裝,請跳過本教程 環境需求 本教

搭建ELK日誌分析平臺—— 搭建kibana和logstash伺服器

轉:http://blog.51cto.com/zero01/2082794 筆記內容:搭建ELK日誌分析平臺——搭建kibana和logstash伺服器筆記日期:2018-03-03 27.6 安裝kibana 27.7 安裝logstash 27.8 配置logstas

搭建ELK日誌分析平臺—— ELK介紹及搭建 Elasticsearch 分散式叢集

轉:http://blog.51cto.com/zero01/2079879 筆記內容:搭建ELK日誌分析平臺(上)—— ELK介紹及搭建 Elasticsearch 分散式叢集筆記日期:2018-03-02 27.1 ELK介紹 27.2 ELK安裝準備工作 27.3 安

Docker-compose搭建ELK+head+redis環境1-- elasticsearch安裝

我在想本機搭建一套ELK環境,本來想著應該很簡單,網上教程也很多,結果教程都或多或少有點問題,踩了不少的坑,折騰了好幾天才解決。乾脆根據自己安裝經驗,寫篇教程,讓大家少走點彎路。也歡迎大佬來拍磚。 (一)、環境的準備 宿主機是centos7.0的虛擬機器,IP地址為:192.168

centos7搭建ELK Cluster日誌分析平臺

場景 git centos7 beat images 下載地址 install posit src 應用場景:ELK實際上是三個工具的集合,ElasticSearch + Logstash + Kibana,這三個工具組合形成了一套實用、易用的監控架構,      很多公司

Centos7.2 搭建ELK-5.6.4日誌分析平臺

日誌作為系統的重要的除錯分析檔案,是我們開發除錯,運維監控,找錯等。所以,必須需要建立一個日誌分析平臺,用於監控分析各個系統的日誌。而業內最有知名的日誌分析平臺,則是ELK系統。是一整套完整的日誌分析體系,官方地址為:https://www.elastic.co/cn/pr

自己搭建自動化巡檢系統 環境準備系統連接gns3

自動化 巡檢 這系列的博文,講述一個自制的自動巡檢系統,僅僅是在cisco設備中運行,之後會基於這個思路,寫出一個兼容性的通用巡檢系統,傳統網工對網絡設備是非常熟悉的,然而在編程開發這一塊是相對弱勢一點。我在想在SDN的背景下,網工一旦會編程,該有多麽強勢,一些重復執行的步驟,電腦代勞,

如何籌建公司的大數據分析系統

大數據 日誌分析 elk 淺談下,如標題這個問題:隨著大數據被不停的挖掘,每天有態度的人利用用戶數據信息,產生巨大的商業價值,以及風險告警,在籌建大數據分析系統時,大家都很熱衷新的東西,在做公司架構體系時,動不動就直接上新的技術,導致項目夭折,最後走人換公司的局面,後來不斷的有人去填坑。隨著Spl

從零搭建java後臺管理系統

pac 阿裏 stat 技術 user 日誌 代碼 最小 mbo 框架搭建 一、初步設想,使用springboot,框架打算用到依賴 spring web,devTools,mysql,Aspect,Redis,Lombok,Freemark,Shiro,Rabbitmq

大資料專案實戰之 --- 某App管理平臺的手機app日誌分析系統

一、建立hive分割槽表 ---------------------------------------------------- 1.建立資料庫 $hive> create database applogsdb; 2.建立分割槽表 編寫指令碼。

Linux作業系統安裝ELK stack日誌管理系統--2Elasticsearch與Kibana的安裝與使用以及和Logstash的連線

上一篇: 上一篇介紹了Logstash和Filebeat的安裝,以及使用Filebeat作為Logstash輸入進行資料的獲取,接下來將學習一下Elasticsearch與Kibana的安裝與使用以及如何與Logstash的連線,打通整個ELK的流程!

Docker筆記:使用Docker來搭建ELK日誌分析系統

一段時間沒關注ELK(elasticsearch —— 搜尋引擎,可用於儲存、索引日誌, logstash —— 可用於日誌傳輸、轉換,kibana —— WebUI,將日誌視覺化),發現最新版已到7.4了。所以別問程式設計師為什麼這麼忙?因為不是在加班就是在學習新框架中。 本文整理了使用Docker來快速搭

2018年ElasticSearch6.2.2教程ELK搭建日誌采集分析系統目錄

1.2 安裝包 接口 語句 參數配置 介紹 ofo 計劃 裝包 章節一 2018年 ELK課程計劃和效果演示 1、課程安排和效果演示 簡介:課程介紹和主要知識點說明,ES搜索接口演示,部署的ELK項目演示 章節二 elasticSearch 6.2版本基礎講

搭建ELK(ElasticSearch+Logstash+Kibana)日誌分析系統十四 logstash grok 正則解析日誌

摘要 這一節補充一下logstash使用grok正則解析日誌 Grok 是 Logstash 最重要的外掛。通過在filter中使用grok,可以把日誌中的關鍵字匹配出來。 grok正則主要有兩部分: 一是grok自帶的grok模式表示式,即是gr

centos7搭建ELK Cluster集群日誌分析平臺:簡單測試

-1 簡單測試 logs ima .tar.gz 分析 -c cluster images 續之前安裝好的ELK集群   各主機:es-1 ~ es-3 :192.168.1.21/22/23       logstash:  192.168.1.24       ki

SpringCloud整合ElasticSearch,Logstash,Kibana,ELK,Kafka分散式日誌系統

ELK ElasticSearch介紹 在 《Elasticsearch : The Definitive Guide》裡,這樣介紹Elasticsearch,總的來說,Elasticsearch 是一個分散式的搜尋和分析引擎,可以用於全文檢索、結構化檢索和分析,並能

Centos7.2 搭建ELK-5.6.4日誌分析平臺

上一篇,我記錄了elasticsearch,logstash,kibana三個軟體的安裝和執行,並按照我之前的博文,使用supervisor進行程序管理,且我們elasticsearch是做了叢集的,兩個節點,都可以作為master和data節點。架構圖如下: 架構圖

ELK日誌分析系統搭建配置

elk我們主要用ELK日誌分析系統來分析Nginx訪問日誌,mysql慢查詢日誌,tomcat運行日誌以及系統日誌等。介紹:ELK:ElasticSearch+LogStash+Kibana=ElkStackElasticSearch:存儲、收索、分析(可以用solr替代)LogStash:收集器,輸入,處理

Windows搭建Log4Net+FileBeat+ELK日誌分析系統過程以及問題總結

程序 列表 dia could 重新 font 無法 elk 遇到 安裝流程: 稍後補充 參考內容:http://udn.yyuap.com/thread-54591-1-1.html ; https://www.cnblogs.com/ya

react搭建後臺管理系統

管理系 for menu port 文件中 segment 後臺管理 ans create 先準備工具:  yarn安裝:    npm install -g yarn #yarn也是包管理工具,只不過它構建效率更高    官方使用教程:https://yarnpkg.