elk与jdk自行搜索下载
package(离线安装包)目录：/home/elk-pak /home/jdk8-pak
安装目录：/usr/local/

jdk8安装

最好查看一下是否存在原服务器自带openJDK

rpm -qa|grep java
# 有就执行下边卸载命令 无拉倒
rpm -e --nodeps   jdk-xxx

# 解压jdk8安装包
tar -zxvf jdk-8u391-linux-x64.tar.gz -C /usr/local/    #解压到/usr/local目录下
vim /etc/profile   # 编辑profile
# 添加如下配置信息

export JAVA_HOME=/usr/local/jdk1.8.0_391  # 改成自己的解压版本
export CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin

# 保存后需要立即让文件生效执行
source /etc/profile  

# test
java
javac

elasticsearch安装

elk的版本7.11.2;
e需要用户非root，故新建用户es

# 新增用户 配置密码
adduser es
passwd es  # 输入俩次密码 密码自行记录好

# 前置配置操作
# 新增e数据目录、日志目录
mkdir -p /opt/es/logs /opt/es/data
# 将e数据目录、日志目录授权给e
chown -R es /opt/es/data/
chown -R es /opt/es/logs/

# 前置服务器配置
ulimit -n # 如果返回1024需要修改如下配置
vim /etc/security/limits.conf
# 新增如下
*               soft    nofile          65535
*               hard    nofile          65535
*               hard    nproc           4096
*               soft    nproc           4096
vim /etc/sysctl.conf
# 新增如下
vm.max_map_count=262144
sysctl -p # 配置更新
# 重启
reboot


# 解压
tar -zxvf elasticsearch-7.11.2
mv elasticsearch-7.11.2 /usr/local/elasticsearch  # 剪贴到/usr/local目录下并更名elasticsearch
chown -R es /usr/local/elasticsearch  # 赋予该目录下所有es用户权限
chmod u+x  /usr/local/elasticsearch/bin  # 授予执行权限
vim /usr/local/elasticsearch/config/elasticsearch.yml    # 编辑配置文件修改如下

# 解除注释
node.name: node-1
path.data: /opt/es/data/
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["127.0.0.1"]
cluster.initial_master_nodes: ["node-1"]

# 新增安全
http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-headers: Authorization,X-Requested-With,Content-Type,Content-Length
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

# 启动会显示需要jdk11 我们这里选择取消检查自行安装的java
vim /usr/local/elasticsearch/bin/elasticsearch-env
# vim 里 set number   删除39-42行 如 50行 【图1】

# 启动es  后续操作需切换用户
su es
./elasticsearch # 到安装的bin目录下前台执行

# 设置密码 复制一个shell窗口出来 切换用户
su es
./elasticsearch-setup-passwords interactive  # 这里必须要保证第一个窗口里的es启动着
y
# 输入密码  需多次输入针对不同用户(elastic\kibana...)
#这里后台启动可能会报错 a key must be provided to run as a server. the key should be configured using the [xpack.security.http.ssl.key] or [xpack.security.http.ssl.keystore.path] setting

# 需要生成证书
bin/elasticsearch-certutil ca
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

#再config下新建certs目录
mkdir certs
# 将证书移动到该目录下

# 需要配置文件添加如下配置
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

# 启动成功
./bin/elasticsearch
# 后台启动
./bin/elasticsearch -d

后补：安装ik分词插件

# https://github.com/infinilabs/analysis-ik/releases/tag/v7.11.2  下载对应版本上传服务器进行解压
# 创建ik文件夹
mkdir ik
# 解压到ik文件夹
unzip elasticsearch-analysis-ik-7.11.2.zip -d ik/
# 移动到/usr/local/elasticsearch/plugins/
mv ik/ /usr/local/elasticsearch/plugins/
# 赋予es权限
chown -R es.es /usr/local/elasticsearch/
# 安装完ik分词后需要重启elasticsearch

logstash安装

# 解压
tar -zxvf logstash-7.11.2-linux-aarch64.tar.gz
# 移动到user/local下
mv logstash-7.11.2 /usr/local/logstash
# 赋予es权限
chown -R es.es /usr/local/logstash

# 新建简单示例文件
vi /usr/local/logstash/config/logstash-elasticsearch.conf

# 需要配置
/usr/local/logstash/config/logstash.yml
#解除注释并配置
path.data: /usr/local/logstash/data/node1  #这里的node1需要自己新建
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: "elastic"
xpack.monitoring.elasticsearch.password: "" # 填写前边自己填入的密码
xpack.monitoring.elasticsearch.hosts: ["https://***.**.*.*:9200"]  # 这里必须https (***.**.*.*填写自己服务器的ip)


# 启动 es用户
./bin/logstash -f config/logstash-elasticsearch.conf # logstash-elasticsearch.conf文件自行构造

# 后台启动
nohup ./bin/logstash -f config/对应配置文件.conf >/dev/null &

启动如果出现该错误信息无视即可！
Unable to retrieve license information from license server {:message=>“Unsupported or unrecognized SSL message”}
Failed to fetch X-Pack information from Elasticsearch. This is likely due to failure to reach a live Elasticsearch cluster.

kinaba安装

# 解压
tar -zxvf kibana-7.11.2-linux-x86_64.tar.gz
# 移动到user/local下
mv kibana-7.11.2-linux-x86_64 /usr/local/kibana
# 赋予es权限
chown -R es.es /usr/local/kibana

# 编辑配置文件
vim config/kinana.yml
# 解除注释并配置
server.port: 5601
server.host: "***.**.*.*"  #(***.**.*.*填写自己服务器的ip)
elasticsearch.hosts: ["http://***.**.*.*:9200"] #(***.**.*.*填写自己服务器的ip)
elasticsearch.username: "kibana"
elasticsearch.password: ""  # 填写前边自己填入的密码
logging.dest: "/usr/local/kibana/logs/kinaba.log"  # 这里的文件需要自己新建
i18n.locale: "zh-CN"
xpack.reporting.encryptionKey: "LLDeMm"  # 可随机填写
xpack.security.encryptionKey: "XEGrp9QMenKwD&e&JO2RD~CWlqX1XJFN"  # 可随机填写 不能低于32位

# 启动 es用户
./bin/kibana
# 后台启动
nohup ./kibana >/dev/null &

kibana的登录用户与密码就是前边安装elasticsearch的账号密码。