企业快速搭建ELK集群教程：双节点部署与配置详解

本文档主要介绍了如何在企业环境中搭建ELK（Elasticsearch、Logstash和Kibana）集群。ELK堆栈是一种流行的开源工具组合，用于日志管理和分析。在这个过程中，作者建议至少安装两台节点，但推荐至少三台以提高集群的可用性和容错性。 首先，由于官方yum安装方式可能速度较慢，作者推荐从官网下载Elasticsearch 6.8.1的rpm包，可以从以下链接获取：<https://www.elastic.co/cn/downloads/past-releases#elasticsearch>。使用百度网盘下载的包，提取码为b15v。然后，将下载的包上传到服务器进行安装，分别在两台节点上执行命令： ```shell [root@linux-elk1~]# yum -y localinstall elasticsearch-6.8.1.rpm [root@linux-elk2~]# yum -y localinstall elasticsearch-6.8.1.rpm ``` 在配置阶段，两台节点的Elasticsearch配置文件`/etc/elasticsearch/elasticsearch.yml`需要调整为相同的设置。例如，设置集群名称为`ELK-Cluster`，确保节点名称唯一，如`node.name: elk-node1`。指定数据和日志存储路径，开启内存锁定以避免数据写入swap分区，设置网络监听IP（`network.host: 192.168.1.31`）和HTTP服务端口（`http.port: 9200`）。同时，为了进行节点间通信，建议配置单播发现机制，指定单播主机列表，如`discovery.zen.ping.unicast.hosts: ["192.168.1.31", "192.168.1.32"]`。 为了确保Elasticsearch服务的稳定性，还需要对内存限制进行配置。如果内存不足，可能导致服务无法启动，因此需要确保每个节点至少有2GB以上的内存，并且在`/usr/lib/systemd/system/elasticsearch.service`文件中相应部分添加或修改内存限制相关设置。 在完成这些步骤后，两台节点上的Elasticsearch实例应该可以正常运行并作为集群的一部分协同工作，提供高效的数据索引、搜索和分析功能。企业环境下的ELK集群搭建是一个关键环节，它有助于维护系统的可扩展性和故障恢复能力，对于日志管理至关重要。