ELKはスイッチとルータログ管理システムの簡単な実践として!


ハードウェア環境:
  • IBM System X3650m3
  • CPU:Xeon E5620 2.4GHz
  • メモリ:8 G
  • ハードディスク:300 G(RAID 1)
  • ソフトウェア環境:
    a.システム:CentOS 6.5
            b. E : elasticsearch-2.1.1.rpm
                L : logstash-2.1.1-1.noarch.rpm
                k : kibana-4.3.1-linux-x64.tar.gz
            c.  python-meld3-0.6.7-1.el6.x86_64.rpm
            d. supervisor-3.0-1.gf.el6.noarch.rpm
    注意:logstashに付属する起動スクリプトに問題があるため、supervisorを使用してlogstashのサーバプロセスを管理します.
    一.
     1. インストールlogstash:
    yum -y localinstall logstash-2.1.1-1.noarch.rpm
      2. logstash(/etc/logstash/conf.d/logstash.conf、デフォルトでは自分で書く必要はありません)の構成
    input{
        udp{
            port => 514  #                    
            type => "switch_route"
        }
    }
    filter{
        if [type] == "switch_route" {
            grok{
                #        ,NUMBER         logstash       ,               
                match => ["message", "<%{NUMBER:message_type_id}>%{NUMBER:internal_id}: %{SYSLOGTIMESTAMP:message_timestamp}: %{GREENDATA"}]
            }
            #    syslog severity   facility
            syslog_pri{}
        }
    }
    output{
        #stdout{
        #    codec => rubydebug #          ,      
        #}
        elasticsearch{
            hosts => ['127.0.0.1:9200'] #  elasticsearch    ,           
            workers => 5 #elasticsearch          
            template_overwirte => true #                       
        }
    }
    3.supervisorの構成とlogstashサービスの起動
    1. supervisor  (/etc/supervisord.d/logstash.ini):
    [program:logstash]
    directory = /opt/logstash
    command = /opt/logstash/bin/logstash -f /etc/logstash/conf.d/logstash -l /var/log/logstash/logstash.log
    2.   logstash   
    supervisorctl start logstash
    3.       UDP 514  
    lsof -i:514
    二.
    1.elasticsearchのインストール:
    yum -y localinstall elasticsearch-2.1.1.rpm
    2.elasticsearchサービスの起動
    service elasticsearch start
    3.9200および9300ポートが有効になっていることを確認します.
    lsof -i:9200/9300
    三.
  • kibanaを/optディレクトリの下に解凍する
  • tar xf kibana-4.3.1-linux-x64.tar.gz -C /opt
    ln -s kibana-4.3.1-linux-x64 kibana
      2. supervisorを構成してkibanaプロセスを開始する
          :/etc/supervisord.d/kibana.ini
    [program:kibana]
    directory = /opt/kibana
    command = /opt/kibana/bin/kibana
      3. kibanaサービスの開始
    supervisorctl start kibana
      4. kibanaサービスプロセスが5601ポートをリスニングしているかどうかを確認します.
    lsof -i:5601
    四.
    ブラウザに入力できますhttp://127.0.0.1:5601kibanaにアクセスできるようになりました
    その他:
    ElasticsearchはrestAPIを提供し、ブラウザを通じてelasticsearchサービスにデータが含まれているかどうか、およびデータが受け入れられているかどうかを確認するなど、他の情報を表示することができます.
    curl http://127.0.0.1:9200/_search?pretty
    Elasticsearchデータの格納パスは、次のとおりです.
    /var/lib/elasticsearch/elasticsearch/