一、安裝Logstash

！注意，logstash至少要有1G記憶體才能執行

在安裝Logstash之前，確保已經安裝了Java的執行環境

3）下載完成之後，加壓（無須編譯），並複製到local目錄下，這個是我正式部署的目錄：/usr/local/logstash-6.2.4

4）測試執行

[[email protected] download]# /usr/local/logstash-6.2.4/bin/logstash -e 'input { stdin { } } output { stdout {} }'
Settings: Default pipeline workers: 1
Pipeline main started
c++
2016-08-18T09:39:26.267Z localhost.localdomain c++
 

        我們可以看到，我們輸入什麼內容logstash按照某種格式輸出，其中-e引數引數允許Logstash直接通過命令列接受設定。這點尤其快速的幫助我們反覆的測試配置是否正確而不用寫配置檔案。使用CTRL-C命令可以退出之前執行的Logstash。

        使用-e引數在命令列中指定配置是很常用的方式，不過如果需要配置更多設定則需要很長的內容。這種情況，我們首先建立一個簡單的配置檔案，並且指定logstash使用這個配置檔案。 例如：在 logstash 安裝目錄下建立一個“基本配置”測試檔案 logstash-test.conf， 檔案內容如下：

# cat logstash-simple.conf
input { stdin { } }
output {
  stdout { codec=> rubydebug }
}
 

        Logstash 使用 input 和 output 定義收集日誌時的輸入和輸出的相關配置，本例中 input 定義了一個叫 "stdin" 的 input ， output 定義一個叫 "stdout" 的 output 。無論我們輸入什麼字元， Logstash 都會按照某種格式來返回我們輸入的字元，其中 output 被定義為 "stdout" 並使用了 codec 引數來指定 logstash 輸出格式。

/usr/local/logstash-6.2.4/bin/logstash -f /usr/local/logstash-6.2.4/conf/logstash-simple.conf
{
       "message" => "C++",
      "@version" => "1",
    "@timestamp" => "2016-08-18T10:05:47.352Z",
          "host" => "localhost.localdomain"
}
 

5）後臺執行Logstash

nohup /usr/local/logstash-6.2.4/bin/logstash -f /usr/local/logstash-6.2.4/conf/logstash-simple.conf & > /dev/null 2>&1

除了nohup之外，可以使用supervisor進行管理。

二、安裝Elasticsearch

1）下載，並解壓（無須編譯），Elasticsearch
      複製到local目錄下，正式物理目錄：/usr/local/elasticsearch-6.2.4

2）啟動Elasticsearch

注意，我使用root許可權來執行，但是Java丟擲了Exception in thread "main" java.lang.RuntimeException: don't run elasticsearch as root，因此必須使用普通帳號執行。

/usr/local/elasticsearch-6.2.4/bin/elasticsearch

如果需要後臺執行，執行以下命令：

/usr/local/elasticsearch-6.2.4/bin/elasticsearch -d

檢查是否成功執行：9200埠是Elasticsearch對外的HTTP協議的API

[[email protected] local]$ netstat -nat | grep 9200
tcp6       0      0 127.0.0.1:9200          :::*                    LISTEN

3）配置logstash，並將結果輸出到elasticsearch

修改logstash 的配置檔案：

input { stdin { } }
output {
  elasticsearch {hosts => "localhost" }
  stdout { codec=> rubydebug }
}

 執行logstash：/usr/local/logstash-6.2.4/bin/logstash -f /usr/local/logstash-6.2.4/conf/logstash-simple.conf，並測試輸入日誌記錄

使用curl命令傳送請求elasticsearch是否接受到了資料：

[[email protected] conf]# curl 'http://localhost:9200/_search?pretty'
{
  "took" : 47,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 4,
    "max_score" : 1.0,
    "hits" : [ {
      "_index" : "logstash-2016.08.19",
      "_type" : "logs",
      "_id" : "AVah8wW7qomkeCHVJDgC",
      "_score" : 1.0,
      "_source" : {
        "message" : "C++",
        "@version" : "1",
        "@timestamp" : "2016-08-19T08:37:46.727Z",
        "host" : "localhost.localdomain"
      }
    }, {
      "_index" : "logstash-2016.08.19",

三、安裝Kibana

1）下載，解壓（無須編譯）
      正式物理目錄：/usr/local/kibana-6.2.4-linux-x86_64

2）配置和啟動kibana

nohup /usr/local/kibana-6.2.4-linux-x86_64/bin/kibana & > /dev/null 2>&1

3）使用Kibana

使用 http://kibanaServerIP:5601 訪問 Kibana 。登入後，先配置一個索引匹配。

操作步驟“Management”=>“Index Patterns”=>“Create Index Pattern”。logstash預設的索引名稱是logstash-yyyy.mm.dd，比如logstash-2016.08.19，因此，我們在這裡填寫logstash-*即可。

填寫後，提示找到了 Success!  Your index pattern matches 10 indices。接下來點選Next Step，選擇@timestamp來作為時間欄位（注意，如果沒選，我們就不能按照時間範圍進行查詢了）

點選“ Discover ”，可以搜尋和瀏覽 Elasticsearch 中的資料，預設搜尋的是最近 15分鐘的資料。可以自定義選擇時間。

OK，Logstash、Elasticsearch、Kibana就簡單的部署好了。