ELK使用手冊

啟動指令

systemctl start elasticsearch
systemctl enable logstash
systemctl start kibana

kibana

檔案路徑

/usr/share/kibana/

config

/etc/kibana

elasticsearch

檔案路徑

usr/share/elasticsearch/

config:

/etc/elasticsearch

logstash

檔案路徑

/usr/share/logstash/

config:

/etc/logstash

新增log顯示規則

/etc/logstash/conf.d

使用指令抓plugin Geoip 用來分析IP國家

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install ingest-geoip

將規則輸出至kibana

/usr/share/logstash/bin/logstash -f xxx.conf

更改elasticsearch記憶體使用量

 vim /etc/elasticsearch/jvm.options

找到以下兩個設定值 ※不得設定超過總記憶體一半 (預設為4G)
-Xms8g
-Xmx8g

kibana -> dev Tools

出現kibana pattern 不能刪除執行以下

PUT .kibana/_settings
{
   "index": {
      "blocks": {
        "read_only_allow_delete": "false"
      }
   }
}

刪除的 kibana pattern 名稱

DELETE /logstash-fortinet-2016.12.29

discover:sampleSize 無法存新過濾條件　執行以下

PUT _settings 
{
    "index": { 
      "blocks": { 
        "read_only_allow_delete": "false" 
        } 
    }
}

kibana 預設顯示500條訊息

至更改 Management->Advanced Settings-> kibana 調整值

※2018-12-10 update

elasticsearch索引清理

查看所有的索引文件

curl -XGET http://localhost:9200/_cat/indices?v

刪除索引文件以釋放空間

curl -XDELETE http://localhost:9200/filebeat-2016.12.28

更改LOG路徑後更改目錄權限 ※若無更改有時elasticsearch會無權限執行

sudo chown -R elasticsearch:elasticsearch ~/elk/elasticsearch/data

sudo chown -R elasticsearch:elasticsearch ~/elk/elasticsearch/logs

參考: https://blog.csdn.net/u013905744/article/details/81364338

啟動指令

kibana

檔案路徑

config

elasticsearch

檔案路徑

config:

logstash

檔案路徑

config:

新增log顯示規則

使用指令抓plugin Geoip 用來分析IP國家

將規則輸出至kibana

更改elasticsearch記憶體使用量

kibana -> dev Tools

出現kibana pattern 不能刪除 執行以下

刪除的 kibana pattern 名稱

discover:sampleSize 無法存新過濾條件 執行以下

kibana 預設顯示500條訊息

※2018-12-10 update

elasticsearch索引清理

更改LOG路徑後 更改目錄權限 ※若無更改有時elasticsearch會無權限執行

出現kibana pattern 不能刪除執行以下

discover:sampleSize 無法存新過濾條件　執行以下

更改LOG路徑後更改目錄權限 ※若無更改有時elasticsearch會無權限執行