由于沒有用到Logstash，所以直接使用FileBeat進(jìn)行日志的傳輸了。

直接去官網(wǎng)下載最新版本：
elasticsearch-7.15.0-linux-x86_64.tar.gz
filebeat-7.15.0-linux-x86_64.tar.gz
kibana-7.15.0-linux-x86_64.tar.gz

上傳到服務(wù)器home目錄后，進(jìn)行解壓

cd /home
tar -xzvf elasticsearch-7.15.0-linux-x86_64.tar.gz
tar -xzvf filebeat-7.15.0-linux-x86_64.tar.gz
tar -xzvf kibana-7.15.0-linux-x86_64.tar.gz

elasticsearch是用來存放日志和提供搜索日志。

1 安裝elasticsearch

elasticsearch不能用root賬號安裝啟動，所以需要新建一個賬號.

#新建賬號 es
useradd es
#設(shè)置密碼
passwd es
#分配權(quán)限: 分配相應(yīng)的文件夾權(quán)限給es賬號
chown -R es:es /home/elasticsearch-7.15.0

然后使用新的賬號es鏈接服務(wù)器

#打開對應(yīng)目錄
cd /home/elasticsearch-7.15.0
#安裝啟動elasticsearch
./bin/elasticsearch

#后臺啟動的話可以使用nohup命令
nohup ./bin/elasticsearch

Elasticsearch 的配置文件是 config/elasticsearch.yml。默認(rèn)情況下，Elasticsearch 只允許本機訪問，所以我們只需要簡單的修改一下配置文件，將 network.host 前面的注釋去掉，同時將值改成 0.0.0.0，表示所有機器都可以訪問，然后重啟一下就 OK 了。

Elasticsearch 的默認(rèn)端口是9200。 啟動后可以使用wget 命令訪問本地地址，看看是否啟動成功。

wget localhost:9200 

如果可以成功下載回來index.html 文件，可以確定，已經(jīng)啟動成功。

filebeat是用來收集日志，將日志導(dǎo)入elasticsearch

2 安裝配置filebeat

使用 Filebeat 進(jìn)行日志收集，只需要對配置文件進(jìn)行簡單的修改就 OK。
Filebeat 的配置文件是 filebeat.yml。所有的配置都在這個文件下進(jìn)行。

#打開配置
vi filebeat.yml
#輸入配置： 意思是配置需要收集哪些文件
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log  #收集這個目錄下的所有的.log結(jié)尾的文件

#輸出配置： 意思是配置將收集到的日志輸出到哪里
#這段配置是將收集到的日志輸出到本地的elasticsearch. 這個是默認(rèn)配置.
output.elasticsearch:
  hosts: ["localhost:9200"] 

#啟動filebeat
./filebeat -e -c filebeat.yml -d "publish"

#后臺啟動的話可以使用nohup命令：
nohup ./filebeat -e -c filebeat.yml 

由于需求只是簡單的將日志輸出的elasticsearch，所以這樣就夠了。不需要進(jìn)行其他配置了。

kibana是用來在網(wǎng)頁上查看elasticsearch的數(shù)據(jù)。

3 安裝啟動kibana

Kibana 的配置文件是，config/kibana.yml。默認(rèn)端口號是 5601。啟動 Kibana 之前需要告訴 Kibana 連接哪個 ES。在配置文件中修改如下配置 elasticsearch.hosts:["http://localhost:9200"] 即可。默認(rèn)是這個配置.
還有一個配置是： server.host: "localhost" 這里默認(rèn)只能本地訪問。 改成0.0.0.0就可以所有機器都可以訪問了。

#啟動kibana
./bin/kibana

#后臺啟動kibana
nohup ./bin/kibana

#如果是用root賬號啟動的話，需要加上參數(shù)--allow-root
./bin/kibana --allow-root
nohup ./bin/kibana --allow-root

啟動后，直接訪問：
http://kibana的ip:5601/
就可以打開了；如果打不開，有可能是防火墻沒有打開5601端口。

kibana切換中文：
在配置文件里面修改配置：i18n.locale: "zh-CN" 即可

參考：
1.手把手教你搭建一套 ELK 日志搜索運維平臺
2.ELK + Filebeat 搭建日志系統(tǒng)