ELK 日志管理平台搭建

一、 Jdk1.8 安装 解压：

tar -zxvf jdk-8u181-linux-x64.tar.gz复制代码

创建/usr/jdk目录并复制解压包到/usr/jdk/

mkdir -p /usr/jdk	mv /opt/elk/ jdk-8u181-linux-x64 /usr/jdk复制代码

配置环境变量：

vim /etc/profil复制代码

在文件最后添加：复制代码

export JAVA_HOME=/usr/jdk/jdk1.8.0_181export PATH=$JAVA_HOME/bin:$PATHexport CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar复制代码

使配置生效：复制代码

source /etc/profile复制代码

验证版本：复制代码

java -version复制代码

如果显示1.8表示jdk安装好了

二、 安装Elasticsearch Elasticsearch的安装很简单，下载下来解压即可；Elasticsearch 要求不能使用超级用户root运行，所以我们建立一个elastic账号，并把软件的权限赋予elastic账号并使用elastic账号运行Elasticsearch。 下载地址

1. 解压到/usr/local/

tar -zxvf elasticsearch-6.4.0.tar.gz -C /usr/local/复制代码

2. 创建账号并设置密码

adduser elastic	passwd elastic 复制代码

3. 给elastic用户elasticsearch目录的授权。

chown -R elastic /usr/local/elasticsearch-6.4.0/复制代码

4. 切换至elasticsearch目录，并以elastic用户运行

cd /usr/local/elasticsearch-6.4.0/	su elastic	./bin/elasticsearch	./bin/elasticsearch -d 后台运行es复制代码

如果没有没有error，就运行成功啦……

5. elasticsearch指定ip地址 编辑es的配置文件

vim config/elasticsearch.yml复制代码

找到network.host: 一行，去除#号，修改为：

network.host:192.168.100.101复制代码

192.168.100.101为指定的ip地址，可以是多个，如果为0.0.0.0表示网卡对所有访问开放，这样就可以在浏览器里打开啦

可能遇到问题 1、max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536] 每个进程最大同时打开文件数太小，可通过下面2个命令查看当前数量

ulimit -Hnulimit -Sn复制代码

修改/etc/security/limits.conf文件，增加配置，用户退出后重新登录生效

*               soft    nofile          65536*               hard    nofile          65536复制代码

2、max number of threads [3818] for user [es] is too low, increase to at least [4096] 问题同上，最大线程个数太低。修改配置文件/etc/security/limits.conf，增加配置

*               soft    nproc           4096*               hard    nproc           4096复制代码

  可通过命令查看

ulimit -Huulimit -Su复制代码

3、max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

修改/etc/sysctl.conf文件，增加配置vm.max_map_count=262144

vi /etc/sysctl.confsysctl -p复制代码

执行命令sysctl -p生效