最近一直都在学习ELK，尤其是在下搭建，从十一开始接触linux和ELK。学的真是一脸茫然 。

1：下载安装包 

官网下载安装包 。这个下最新的就可以啦。我用的就是   至于JDK。我用的就是 version “1.7.0_75” (TM) SE Runtime Environment (build 1.7.0_75-b13)  Java HotSpot(TM) 64-Bit Server VM (build 24.75-b04, mixed mode)  2：开始搭建（新手linux适用）  第一步：预先开通端口  vim /etc/sysconfig/iptables  添加防火墙信息(复制黏贴更改端口为9200 9300 5601)  service iptables restart

3：添加用户： 

groupadd 组名  useradd –g 组名 用户名  passwd 用户名

4：安装elasticssearch 

解压：tar -zxvf elasticsearch-2.4.1.tar.gz  修改配置文件：  vi elasticsearch-2.4.1/config/elasticsearch.yml  内容：  cluster.name: my-application  node.name : node-0  network.host: 192.168.56.101  http.port: 9200 

5： 

设置权限，把elasticsearch-2.4.1文件夹权限赋给新用户  chown -R hello：hello elasticsearch-2.4.1   还有一个是logs下面的文件，也要赋权限。  

6：安装插件 都是在elasticsearch中 

head插件：./bin/plugin install mobz/elasticsearch-head  bigdesk插件：./bin/plugin install AIsaac08/bigdesk （只适合2.0以上版本）

7：启动，测试 

一定要使用刚才的用户来启动，这个es只能是非root用户才可以  启动 ./bin/elasticsearch &  结果：   head插件效果  

bigdesk效果 

8：logstash安装 

解压，就可以了。tar -zxvf logstash-2.X.X tar.gz

编写配置文件(名字和位置可以随意，这里我放在config目录下，取名为001.conf)： 

vi config/001.conf

input {    file {        path => "E:/SOFTALL/ELKoldlogs/filelog.txt"        type => "logs"        start_position => "beginning"    }}filter {}output {elasticsearch {        hosts => "192.168.56.101"        index => "logstash-%{type}-%{+YYYY.MM.dd}"        document_type => "%{type}"        workers => 10        template_overwrite => true    }}

启动001.conf文件 

./bin/logstash agent -f config/001.conf

9：安装kibana 

tar -zxvf kibana-4.6.1-linux-x86_64.tar.gz  修改配置  vi config/kibana.yml  server.port: 5601  server.host: “192.168.56.101”  elasticsearch.url:   kibana.index: “.kibana”  10：启动测试  ./bin/kibana localhost修改为192.168.56.101  为了后续使用Kibana，需要配置至少一个Index名字或者Pattern，它用于在分析时确定ES中的Index。这里我输入之前配置的Index名字logstash-*，Kibana会自动加载该Index下doc的field，并自动选择合适的field用于图标中的时间字段：  11点击Create后，可以看到左侧增加了配置的Index名字：

12：切换到Discover标签上，注意右上角是查询的时间范围，如果没有查找到数据，那么你就可能需要调整这个时间范围了，这里我选择Today： 

或者是你在日志文件中手动添加几行日志，刷新就可以了。 

• 上一篇