ELK 企业级日志分析系统-JVM内存优化

4）优化elasticsearch用户拥有的虚拟内存

在ES内存设置方面，可以遵循以下原则

1. 当机器内存小于64G时，遵循通用的原则，50%给ES，50%留给操作系统，供lucene使用
2. 当机器内存大于64G时，遵循原则：建议分配给ES分配 4~32G 的内存即可，其它内存留给操作系统，供lucene使用

vim /etc/sysctl.conf

vm.max_map_count=262144
 
sysctl -p

 

5）启动ELK测试是否成功开启

systemctl enable --now elasticsearch.service
netstat -lntp | grep 9200

 网页测试

 

三. ELK Logstash 部署 （再nginx节点上操作） 

nginx服务器  192.168.86.40

1）安装nginx

hostnamectl set-hostname nginx01  改名
bash 刷新
 
yum install-y nginx

2）部署logstash 

上传软件包 logstash-6.7.2.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-6.7.2.rpm                          
systemctl start logstash.service                      
systemctl enable --now logstash.service
 
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
#用来识别命令

3）修改配置 

vim /etc/logstash/conf.d/syslog.conf
 
再logstash -t -f  syslog.conf  检查
 
logstash  -f  syslog.conf   开启
 

 

 

四.ELK Kiabana 部署 

1）安装kibana

cd /opt
#上传软件包 kibana-6.7.2-x86_64.rpm 到/opt目录
rpm -ivh kibana-6.7.2-x86_64.rpm

2）设置 Kibana 的主配置文件 

vim /etc/kibana/kibana.yml

 

3）创建日志文件加权，启动 Kibana 服务 

touch /var/log/kibana.log
chown kibana:kibana /var/log/kibana.log
 
systemctl start kibana.service
systemctl enable kibana.service

4）网页测试kibbna 

 

5）将nginx服务器的日志（访问的、错误的）添加到 Elasticsearch 并通过 Kibana 显示

vim /etc/logstash/conf.d/nginx_log.conf

 

 

五.Elasticsearch 索引管理

#创建索引
curl -XPUT localhost:9200/index-demo

#查看索引
curl -XGET localhost:9200/index-demo/_settings

#修改索引
curl -XPUT localhost:9200/index-demo/_settings \
-H "Content-Type: application/json" \
-d '{"number_of_replicas": 2}

#创建索引别名
curl -XPOST localhost:9200/_aliases \
-H "Content-Type: application/json" \
-d '{"actions":[{"add":{"index":"index-demo","alias":"user_info_alicas"}}]}'

#删除索引别名
curl -XPOST localhost:9200/_aliases \
-H "Content-Type: application/json" \
-d '{"actions":[{"remove":{"index":"index-demo","alias":"user_info_alicas"}}]}'

#删除索引
删除单个索引:
curl -XDELETE localhost:9200/index-demo

删除多个索引：
curl -XDELETE localhost:9200/index-demo,index-demo2