>[info] elk 实操部署 操作系统环境 ：CentOS7 elk版本信息：7.6.1 各服务器角色分配 ：   >[info] 安装部署Elasticsearch集群，kibana，es-head 待补充 >[info] 安装 logstash ``` # 1. 新建一个目录 mkdir -p /usr/local/logstack && cd /usr/local/logstack # 2. 上传logstash-7.6.1.tar.gz到该目录 rz 或 直接拖到 xshell 中 # 3. 解压 tar -zxvf logstash-7.6.1.tar.gz # 4. 进入目录 cd logstash-7.6.1 && ls ``` 安装完成 ***** **测试 hello world：** ``` # 输入 hello world 回车 并输出 ./bin/logstash -e 'input { stdin {} } output { stdout {} }' ```  ***** **配置 logstash 输出到 es：** ``` [root@localhost logstash-7.6.1]# vim first-pipeline.conf ``` ``` input { beats { port => "5044" } } output { elasticsearch { # hosts => ["192.168.83.103:9200" , "192.168.83.104:9201"] # 修改为自己的es地址和端口 hosts => ["192.168.83.130:9200"] index => "nginx-access-log-%{+YYY.YY.dd}" } } ``` ***** **启动 logstash：** ``` cd /usr/local/logstack/logstash-7.6.1 #（画外音：--config.test_and_exit 选项的意思是解析配置文件并报告任何错误） ./bin/logstash -f first-pipeline.conf --config.test_and_exit ``` ``` cd /usr/local/logstack/logstash-7.6.1 # ./bin/logstash -f first-pipeline.conf --config.reload.automatic / 在后台运行（-） ./bin/logstash -f first-pipeline.conf --config.reload.automatic ``` >[info] 安装 filebeat ``` # 1. 新建一个目录 mkdir -p /usr/local/filebeat && cd /usr/local/filebeat # 2. 上传 logstash-7.6.1.tar.gz到该目录 rz 或 直接拖到 xshell 中 # 3. 解压 tar -zxvf filebeat-7.6.1-linux-x86_64.tar.gz # 4. 进入目录 cd filebeat-7.6.1-linux-x86_64 && ls ``` 安装完成 ***** **filebeat 配置：** 1. vim filebeat 配置文件 ``` vim filebeat.yml ``` 2. 把 enabled：false 改成 true（24行）  3. 把 path 改成自己的日志路径，如 php nginx mysql，可写死。（28行）  4. 修改为自己的 logstash 服务器 ip 和 端口（161行）  ***** ****filebeat 启动：**** ``` cd /usr/local/filebeat/filebeat-7.6.1-linux-x86_64 ./filebeat -e -c filebeat.yml -d "publish" ```