教程：在Ubuntu 18.04.1上安裝Elasticsearch

本文，我們將在Ubuntu 18.04.1上安裝Elasticsearch，包括Logstash和Kibana，Elasticsearch是目前企業中被廣泛使用的搜尋和視覺化資料工具。

準備工作

首先，我們從安裝Ubuntu Server 18.04.1開始並執行所有更新。

在本文的例項中，作者建立一個具有8個vCPU，4 GB記憶體和200 GB驅動器空間的虛擬機器，我還在內部DNS上設定了A記錄，將記錄主機設定為192.168.1.15。

在安裝過程中，我將主機名設定為logging.admintome.lab並將靜態IP設定為上述IP。

在Ubuntu Server安裝完成後，我們需要安裝所有更新。

apt update && apt upgrade -y

完成更新後，重新啟動系統。

reboot

Elasticsearch需要安裝Java SDK 8。

執行以下命令安裝Java 8 SDK。

add-apt-repository ppa:webupd8team/java
apt install -y oracle-java8-set-default

你可以透過執行以下命令來驗證是否成功安裝了Java 8：

# java -version
java version "1.8.0_181"
Java(TM) SE Runtime Environment (build 1.8.0_181-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.181-b13, mixed mode)

我們現在準備下載並安裝Elasticsearch。

安裝Elasticsearch

我們將安裝最新版本的Elasticsearch，本文選用的是6.3.2版本。

我們需要下載.DEB包。

wget 

完成下載後，使用DPKG進行安裝：

dpkg -i elasticsearch-6.3.2.deb

安裝完成後，開啟/etc/elasticsearch/elasticsearch.yml並編輯此行：

# network.host: 192.168.0.1

取消註釋並將IP設定為伺服器地址：

network.host: 192.168.1.15

儲存並退出該檔案。

最後，啟動並啟用Elasticsearch服務。

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

透過瀏覽以下網址驗證一切是否正常：

你應該看到一個與此類似的頁面：

我們可以看到節點狀態為green，這證明一切正常。

接下來我們將安裝Kibana，它將為我們提供圖形化前端。

安裝Kibana

我們將完全按照安裝Elasticsearch的方式下載和安裝Kibana。

wget 
dpkg -i kibana-6.3.2-amd64.deb

接下來，開啟/etc/kibana/kibana.yml並更新以下兩行，必要時取消註釋。

server.host: "192.168.1.15"
elasticsearch.url: "http://192.168.1.15:9200"

儲存並退出。

配置JVM的VM堆大小。目前只需要這樣做，所以我們不必重新啟動。

重新啟動後，將為我們配置此設定。

sysctl -w vm.max_map_count=262144

最後，啟動並啟用Kibana服務。

systemctl enable kibana.service
systemctl start kibana.service

瀏覽以下網址：

你會看到Kibana儀表板，如下圖所示：

最後一步是安裝Logstash。

安裝Logstash

Logstash是將我們的資料放入Elasticsearch並使用Kibana顯示的代理。

與其他應用程式一樣，我們將以相同的方式下載和安裝Logstash。

wget 
dpkg -i logstash-6.3.2.deb

開啟vim /etc/logstash/logstash.yml檔案並更改此設定：

http.host: "192.168.1.15"

儲存檔案並退出。

啟動並啟用Logstash服務。

systemctl enable logstash.service
systemctl start logstash.service

現在安裝了Logstash。 接下來，我們將使用FileBeat將一些資料放入Elasticsearch。

安裝FileBeats

首先，讓我們更改為logstash安裝目錄。

cd /usr/share/logstash/

執行以下命令以安裝FileBeat Logstash外掛：

bin/logstash-plugin install logstash-input-beats

現在我們將配置Logstash以接收FileBeat資料。

建立/etc/logstash/conf.d/beats.conf並新增以下內容。

input {
  beats {
    port => "5044"
  }
}
output {
  elasticsearch {
    hosts => ["192.168.1.15:9200"]
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  }
}

請務必在主機行中設定實際IP地址。

儲存並退出該檔案。

傳送日誌

在本教程中，我們將配置Elasticsearch伺服器以傳送日誌，演示如何配置系統以將日誌傳送到伺服器。

如果要配置從其他伺服器傳送日誌，請在其他伺服器上執行以下步驟。

首先，下載並安裝FileBeat代理。

wget 
dpkg -i filebeat-6.3.2-amd64.deb

接下來，我們需要配置它。

開啟/etc/filebeat/filebeat.yml並將其配置為如下所示：

filebeat.prospectors:
- input_type: log
  paths:
    - /var/log/*/*.log
output.logstash:
  hosts: ["192.168.1.15:5044"]

這將配置FileBeat以將日誌從/ var / log /傳送到埠5044上的Elasticsearch伺服器（我們在上一節中配置的埠）。

啟動並啟用FileBeat服務。

systemctl enable filebeat.service
systemctl start filebeat.service

最後，我們需要將FileBeat模板安裝到Kibana。如果使用FileBeat為多個伺服器設定日誌記錄，則只需執行一次此操作。

filebeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'

等待幾分鐘讓日誌最終進入Elasticsearch，然後回到Kibana。

單擊左側的Management選單項。

然後單擊Index Patterns：

您應該看到列出了filebeat索引模式：

在filebeat- *索引模式型別中，如下圖所示：

單擊“下一步”按鈕。

在下一步中，為Time Filter field name選擇@timestamp。

最後，單擊Create index pattern按鈕。

單擊左側的“Discover ”選單項，您將看到建立的日誌：

按照相同步驟也可將其他系統的日誌匯入Elasticsearch / Kibana。