安装

• 进入/elasticsearch-6.1.0目录，修改elasticsearch.yml，使任何主机都能访问ES

cd ./elasticsearch-6.1.0
vim ./config/elasticsearch.yml# 将network.host：前的#去掉，修改为
network.host:0.0.0.0

• 改sysctl.conf文件 命令：

sudo vim /etc/sysctl.conf  
# 增加如下一行
vm.max_map_count=655360

• 执行如下命令使之生效

sudo sysctl -p

• 启动ES，使用浏览器访问9200端口，

./bin/elasticsearch

• 访问虚拟机地址的9200端口，[虚拟机IP]:9200

• 说明启动成功。

将Logstash结果输出到ES

• ES启动后就能够添加数据了，常用的方式是使用Logstash监控数据文件，将结果输出到ES。

• 修改Logstash-plain.conf配置文件，将输入配置设置为ES，

cd /usr/local/logstash
vim logstash-plain.conf# 配置文件内容如下
input{  file{    path => ['/opt/lampp/logs/access_log']    type => 'logstash_access_log'    	start_position => "beginning" }
}
filter{  grok{    match => {    "message"=>"%{IP:ip}"    }  }
}
output{  elasticsearch{   hosts => ["localhost:9200"]    index => "httpd_logdata-%{+YYYY.MM.dd}"  }
}

• 保存配置文件。
• 启动web服务（apache）

cd /opt/lampp
sudo ./xampp startapache

测试web服务：
在浏览器地址栏输入：虚拟机的IP地址
能打开测试网页就说明web服务启动正常。

• 执行logstash

cd /usr/local/logstash
logstash -f ./logstash-plain.conf

Kibana可视化平台

• 启动Kibana，在启动前应确保Elasticsearch已经启动，命令如下

kibana

• 通过浏览器访问5601端口，查看Kibana界面
  

Kibana高频功能

创建索引

使用Logstash将数据采集到Elasticsearch中后，如果想在Kibana中对数据进行分析搜索，需要在Kibana中创建索引。

• 创建索引第一步是模式匹配，匹配的是Logstash输出配置中的index，当有多个index满足用户输入的匹配模式时，会将多个index中的数据创建到同一个索引中，匹配完成后提示“success”
  
• 点击“Next step"设置时间过滤器字段名称，选择”@timestamp",

• 点击create index pattern

创建图表

• 点击右侧面板的visualize页面创建图表
  
  
• X-axis选择 Terms
  
• Field 选择 ip.keyword 即以IP地址来统计数量
• 点击应用按钮
  
• 点击上方所得save按钮，保存可视化结果。