注:-t -f 参数顺序不能乱,格式就是定死的,-f 后面要跟配置文件;还有就是该测试只能测试语法,标点符号。如果逻辑上有错误的话,还是能启动的。这里就需要在正式启动运行时,多关注日志文件,位置:/var/log/logstash/logstash.log
三、配置Elasticsearch
1.先修改es的配置文件如下(存放路径:/etc/elasticsearch/elasticsearch.yml):
[root@log-monitor ~]# egrep -v '^#|^$' /etc/elasticsearch/elasticsearch.yml node.name: es-1 path.data: /data/elasticsearch/ network.host: 127.0.0.1 http.port: 9200
其它内容都保持默认。主要修改了es的数据存放路径,它默认的路径在根目录下,由于容量太小,而/data容量大。 根据你的实际情况考虑而定。
创建数据存放目录:
[root@log-monitor ~]# mkdir -pv /data/elasticsearch
修改该文件的权限所属者:
[root@log-monitor ~]# chown -R elasticsearch.elasticsearch /data/elasticsearch/
之后重启es,重启logstash。
[root@log-monitor ~]# systemctl restart elasticsearch
[root@log-monitor ~]# systemctl restart logstash
检查启动状态:
[root@log-monitor ~]# netstat -ulntp | grep java tcp6 0 0 127.0.0.1:9200 :::* LISTEN 25988/java tcp6 0 0 127.0.0.1:9300 :::* LISTEN 25988/java
[root@log-monitor ~]# systemctl status logstash ● logstash.service - LSB: Starts Logstash as a daemon. Loaded: loaded (/etc/rc.d/init.d/logstash) Active: active (running) since Fri 2016-09-09 16:14:17 CST; 38s ago Docs: man:systemd-sysv-generator(8) Process: 27195 ExecStart=/etc/rc.d/init.d/logstash start (code=exited, status=0/SUCCESS) CGroup: /system.slice/logstash.service └─27201 /bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Djava.awt.headless=true -XX:CMSInitiatingOccupancyFraction=75 -XX... Sep 09 16:14:17 log-monitor systemd[1]: Starting LSB: Starts Logstash as a daemon.... Sep 09 16:14:17 log-monitor logstash[27195]: logstash started. Sep 09 16:14:17 log-monitor systemd[1]: Started LSB: Starts Logstash as a daemon..
logstash 的日志查看:
[root@log-monitor ~]# tail -f /var/log/logstash/logstash.log {:timestamp=>"2016-09-09T16:14:26.732000+0800", :message=>"Pipeline main started"}
从上面可以看到启动是正常的,我们在去看下es里的索引,应该已经在倒入数据了。
[root@log-monitor ~]# curl 'localhost:9200/_cat/indices?v' health status index pri rep docs.count docs.deleted store.size pri.store.size yellow open .kibana 1 1 1 0 3.1kb 3.1kb yellow open logstash-nginx-access-2016.09.08 5 1 69893 0 24.2mb 24.2mb yellow open logstash-nginx-access-2016.09.09 5 1 339 0 273.8kb 273.8kb
从上面看到数据已经在慢慢的导入了。大概需要一段时间,因为涉及到日志的过滤写入等。不过也很快啦。我们暂时不去配置kibana。先去安装nginx做个代理。
四、安装nginx 配置kibana代理
1.下载稳定版的nginx,这里使用yum安装。或者也可以选择编译,个人觉得rpm包已经足够可以使用。
[root@log-monitor ~]# wget https://nginx.org/packages/rhel/7/x86_64/RPMS/nginx-1.10.0-1.el7.ngx.x86_64.rpm
2.安装,并修改默认的配置文件
[root@log-monitor ~]# yum localinstall nginx-1.10.0-1.el7.ngx.x86_64.rpm –y
先将默认的default.conf 移动到其它目录中,或者直接删除也可以。我是直接删除了。然后新建一个elk.conf配置文件,内容如下: