ELK 日志分析系统安装、操作、使用、维护指南

原创 已于 2025-06-17 13:10:11 修改 · 1k 阅读 · 14
标签
#运维 #安全架构 #网络安全 #安全威胁分析
于 2025-06-17 12:52:21 首次发布

ELK 日志分析系统安装、操作、使用、维护指南

一、系统概述

本系统基于 ELK(Elasticsearch、Logstash、Kibana)架构搭建,用于日志分析。Elasticsearch 作为分布式搜索和分析引擎,负责存储和检索日志数据;Logstash 用于收集、处理和传输日志;Kibana 则提供可视化界面,方便用户查看和分析日志。

二、环境信息

  1. 操作系统:Ubuntu 22.04
  2. 硬件配置:8 核心 16G 内存 500G 硬盘

三、初始配置

3.1 config 文件夹文件解析与配置

3.1.1 elasticsearch.yml

此文件用于配置 Elasticsearch 的核心参数。文件路径为 syslog_analysis/config/elasticsearch/elasticsearch.yml,示例内容及注释如下:

# 定义 Elasticsearch 集群名称,同一集群内的节点需保持该名称一致

cluster.name: elastic-cluster 

# 定义节点名称,用于区分集群内不同节点

node.name: elastic-node 

# 设置 Elasticsearch 监听的网络地址,0.0.0.0 表示监听所有可用网络接口

network.host: 0.0.0.0 

# 指定 Elasticsearch HTTP 服务的端口,默认为 9200

http.port: 9200 

# 设置节点发现类型,single-node 表示单节点模式,适用于测试或小型环境

discovery.type: single-node 

# 控制是否启用 Elasticsearch 的安全功能,如认证、授权等。生产环境建议开启,测试环境可关闭以简化配置

xpack.security.enabled: false     
3.1.2 kibana.yml

该文件用于配置 Kibana 的相关参数。文件路径为 syslog_analysis/config/kibana/kibana.yml,示例内容及注释如下:

# Kibana 服务监听的端口,默认为 5601

server.port: 5601 

# Kibana 服务监听的网络地址,0.0.0.0 表示监听所有可用网络接口

server.host: "0.0.0.0" 

# 指定 Kibana 连接的 Elasticsearch 服务地址

elasticsearch.hosts: ["http://elasticsearch:9200"] 

# 是否启用 Kibana 的安全功能,需与 Elasticsearch 的安全配置保持一致

xpack.security.enabled: false 

# 是否启用 Kibana 对 Elasticsearch 的监控界面

xpack.monitoring.ui.container.elasticsearch.enabled: true 

# 设置 Kibana 的界面语言,此处设置为中文

i18n.locale: "zh-CN"
3.1.3 logstash 配置文件

Logstash 的配置文件位于 syslog_analysis/config/logstash 目录下,可根据需求创建多个配置文件。以下是 logstash.conf 的详细配置及注释:

# 输入配置部分:定义数据来源

input {

  # 配置 TCP 输入,监听 5000 端口

  tcp {

    # [可配置] 监听端口号,需根据实际网络环境调整

    port => 5000 

    # [固定] 运行模式,server 表示作为服务器接收连接

    mode => "server" 

    # [可配置] 自定义日志类型标签,用于后续过滤

    type => "log" 

    # [可配置] 编解码器,根据日志格式选择(如 json、multiline)

    codec => "plain" 

  }

  

  # 配置 UDP 输入,监听 5000 端口

  udp {

    # [可配置] 监听端口号,需与 TCP 端口一致或根据需求调整

    port => 5000 

    # [可配置] 自定义日志类型标签,需与 TCP 输入保持一致

    type => "log" 

    # [可配置] 编解码器,根据日志格式选择

    codec => "plain" 

  }

}

# 过滤配置部分:处理和转换数据

filter {

  # 1. 使用 Grok 解析器提取日志中的前缀和 JSON 内容
最低0.47元/天 解锁文章
ELK基础配置和使用
h123_58的博客
02-03 3840
ELK基础配置和使用
ELK 日志分析系统操作手册
g_l_d_y的博客
04-09 1422
完成ELK Elasticsearch、Kibana、Logstash和Apache的部署并修改配置文件,实现ELK日志分析系统
1.ELK之Elasticsearch&Kibana一篇入门(安装/分片/操作流程/常用语句/分词)
mijichui2153的博客
08-05 9123
elasticsearch安装
ELK日常使用基础篇
SOHU_TECH的博客
06-18 6585
本文字数:11149字预计阅读时间:28分钟前言在后端开发工程师的日常工作中,在遇到比如定位排查问题或是想要了解系统某些方面的情况时,会遇到以下的场景:查询某个接口请求的日志。查询某...
ELK的搭建和使用
YIYIYI
08-11 4857
ELK的搭建和使用
ELK超详细操作文档
二进制专栏
12-01 2836
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
ELK日志分析系统构建实战指南
2401_87322981的博客
12-05 1129
ELK是Elasticsearch、Logstash和Kibana三个开源软件的组合,它们分别负责日志的搜索、收集和分析展示。Elasticsearch是一个基于Lucene的搜索引擎,支持全文搜索、结构化搜索和分析搜索。它具有分布式、多租户能力,能够处理PB级别的数据,并支持实时的数据存储、搜索和分析。Elasticsearch还提供了RESTful web接口和无模式的JSON文档,使得它易于与各种应用集成。Logstash。
ELK日志分析系统+部署ELK
最新发布
yanpeng2580的博客
10-21 819
本文将介绍如何在Linux环境下部署ELK(Elasticsearch, Logstash, Kibana)日志分析系统。首先,安装必要的软件包,然后配置Logstash和Kibana以处理日志数据。最后,通过Elasticsearch进行数据分析和展示。整个过程简单易行,适合初学者快速上手。
ELK 日志分析系统
码里奥的博客
07-20 932
文章目录前言一、pandas是什么?二、使用步骤1.引入库 前言 一、pandas是什么? 二、使用步骤 1.引入库
Linux学习笔记--ELK日志分析系统
小吕学Linux的博客
07-14 510
心不骄,气不傲。 我们在工作中,每天面对大量的服务器,对这些服务器维护,其中一个很重要的工作就是查看每台服务器的日志信息,逐一检查浪费时间精力和感情;所以传统方式是搭建日志服务器,将所有服务器的日志收集到日志服务器统一查看。------今天我来说一下 ELK日志分析系统。 日志包含:程序日志 系统日志 安全日志等。 ELK:由 ElasticSearch logstash and ki...
ELK介绍使用
2501_90252650的博客
01-17 2691
gstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地进行存储。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。输入,以下是常见得输入内容file:从文件系统上的文件读取,与UNIX命令非常相似 tail -0Fsyslog:在已知端口上侦听syslog消息进行解析。
ELK学习之入门搭建使用
weixin_60092693的博客
04-25 2874
ELK介绍 1)ELK分别代表 Elasticsearch: 负责日志检索和储存 Logstash: 负责日志的收集和分析、处理 Kibana: 负责日志的可视化 2)ELK组件在海量日志系统的运维中,可用于解决什么 分布式日志数据集中式查询和管理 系统监控,包含系统硬件和应用各个组件的监控 故障排查-安全信息和事件管理 报表功能 3)主要特点:实时分析,分布式实时文件 单机安装elasticsearch [root@test ~]# vim /etc/hosts 192.168.1.16 t
日志之ELK使用讲解
上善若泪
07-18 2944
ELK是一个开源的实时日志分析平台,它主要由Elasticsearch、Logstash 和 Kibana三部分组成。在ELK中,三大组件的大概工作流程如下图所示,由Logstash从各个服务中采集日志并存放至中,然后再由Kiabana从中查询日志并展示给终端用户。
elk搭建与简单的线上应用
ya_shy的博客
03-29 4312
开源文档: Logstash:https://www.elastic.co/guide/en/logstash/current/index.html Filebeat:https://www.elastic.co/guide/en/beats/filebeat/current/index.html Elasticsearch:https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html Kibana:https://ww
ELK安装使用
大帅的博客
12-14 1463
下载相应版本的elastic-search、logstash、kibana 本次使用的是当前最新版本7.10,官网较慢,需要耐心等待 elastic-search分为包含自带JDK和不带JDK版本,默认下载的是自带JDK版本,防止本地JDK版本不匹配(7.10默认JDK11) 选择产品-立即部署,https://www.elastic.co/cn/downloads/ 解压所有的安装包 1.elastic-search配置启动 配置./conf/elasticsearch.yml http.
ELK详细搭建流程
m0_65196233的博客
07-22 5751
elasticsearch+Logstach+kibana详细搭建流程
ELK——一套实用、易用的监控架构
热门推荐
小柏ぁ的博客
12-30 1万+
ELK是什么 通俗来讲,ELK是由Elasticsearch(日志存储和搜索)、Logstash(日志收集)、Kibana(查看日志)三个开源软件的组成的一个组合体,ELK是elastic公司研发的一套完整的日志收集、分析和展示的企业级解决方案,在这三个软件当中,每个软件用于完成不同的功能,ELK又称为ELKstack。 官方域名为elastic.co。 ELK的主要优点 处理方式灵活:elasticsearch是实时全文索引,具有强大的搜索功能 (支持任意key全文搜索) ...
ELK使用手册
跟派大星学编程
06-27 1404
文章目录1. 安装ElasticSearch1.1 安装插件1.2 多节点启动2. 安装kibnan2.1 安装插件3. 安装logstash4. docker 安装ELK4.1 简易安装4.2 生产使用5. ElasticSearch使用 注意: elasticsearch、kibana、logstash 这三个的版本要一致,这里我统一使用的 7.8.0 版本,系统为MAC 1. 安装ElasticSearch 官网下载地址: https://www.elastic.co/cn/downloads/ela
ELK 简介与安装使用
王清欢的博客
03-11 6729
01 ELK 简介 1.1 ELK架构 ElasticSearch Elasticsearch 是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎,使用 Java 语言编写。 Logstash Logstash 是一个具有实时渠道能力的数据收集引擎,主要用于日志的收集与解析,并将其存入 ElasticSearch中。 Kibana Kibana 是一款基于 Apache 开源协议,使用 JavaScript 语言
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哎呦呵可以呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值