介绍：

1. Elasticsearch（ES） 是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。
2. Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
3. Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的Web 界面，可以帮助汇总、分析和搜索重要数据日志。

注：部署ELK版本要一致

• 本篇elasticsearch-7.9.3安装部署

1、LINUX服务器3台：

# 3台部署步骤都一样（下面配置中有指定主节点）
主节点： 127.18.9.30 
从节点： 127.18.9.31
从节点： 127.18.9.32

2、环境要求：

JDK：jdk-11.0.9
ES：  elasticsearch-7.9.3  #  (jdk版本不得低于JDK11)
#  es也有内嵌jdk，根据自己情况选择（建议安装jdk环境，后面其他服务需要用到）。
#  三台服务都需要安装ES和JDK。

3、安装&下载

jdk安装配置请参考：

jdk安装参考：https://www.toutiao.com/i6892997105107862027

方式1：下载

ES下载：https://www.elastic.co/cn/downloads/elasticsearch

方式2：wget命令下载：

#进入目录
在opt路径下 /opt
mkdir service
cd  /opt/serice
# elasticsearch-7.9.3
wget  https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.9.3-linux-x86_64.tar.gz

解压文件：

[dmsadmin@prod-dms-0930 elk]$ tar -zxvf  elasticsearch-7.9.3-linux-x86_64.tar.gz

4、参数配置

4.1 调整内核参数

[root@prod-dms-0930 ~]$ vim  /etc/sysctl.conf
 # 修改以下参数
vm.max_map_count= 262144
 
 # 保存退出 :  !wq   ，继续修改
 [root@prod-dms-0930 ~]$ vim  /etc/security/limits.conf

# 最下方添加以下参数
*              soft    nproc          65536
*              hard    nproc          65536
*              soft    nofile          65536
*              hard    nofile          65536

保存退出后，让修改的文件生效：

 [root@prod-dms-0930 ~]$ sysctl -p

4.2 修改 jvm.options文件参数

[root@prod-dms-0930 ~]$ cd  /opt/elk/elasticsearch-7.9.3/config
 vim  jvm.options

# 改为以下参数：
-Xms512m
-Xmx512m

4.3 修改 elasticsearch.yml文件

#  进入目录
[root@prod-dms-0930 ~]$ cd  /opt/elk/elasticsearch-7.9.3/config
#  编辑文件
[root@prod-dms-0930 config]$ vim  elasticsearch.yml


---------------------------在最下方添加以下参数----------------------
#我是3台服务
discovery.seed_hosts : [ "127.18.9.30:9300" , "127.18.9.31:9300" , "127.18.9.32:9300" ]
cluster.initial_master_nodes : ["127.18.9.30:9300"]
# 集群的名字  
cluster.name : elasticsearch
# 节点名字  
node.name : node-1
# 数据存储目录（多个路径用逗号分隔）  
path.data : /opt/es/data
# 日志目录  
path.logs : /opt/es/logs
# 修改一下ES的监听地址，这样别的机器才可以访问  
network.host : 0.0.0.0
# 设置节点间交互的tcp端口（集群）,默认是9300  
transport.tcp.port : 9300
# 监听端口（默认的就好）
http.port : 9200
# true主节点，子节点可无需配置此项
node.master : true
# 增加新的参数，这样head插件才可以访问es  
http.cors.enabled : true
http.cors.allow-origin : "*"

保存退出 : :wq

到这里，配置已经ok了，继续 ↓↓↓

5、创建用户（用来启动es）

ES默认不允许使用root用户运行，如果使用root会报如下图的错误：

创建用户：

# 创建一个用户名为：elasticsearch
[root@prod-dms-0930 ~]$ useradd  elasticsearch
# 为elasticsearch用户创建密码
[root@prod-dms-0930 ~]$ passwd  elasticsearch

# 接下来输入两次密码 就ok了，
# 为了方便记，我的用户名和密码是一样的

# 用root用户给elasticsearch用户授权
[root@prod-dms-0930 ~]$ chown -R  elasticsearch@elasticsearch  /opt
  
#  给需要操作的目录添加权限，根据情况而定
# 比如：日志输出目录，opt目录等
  
# 切换用户
[root@prod-dms-0930 ~]$ su elasticsearch
   
# 进入bin目录
[elasticsearch@prod-dms-0930  ~]$ cd  /opt/elk/elasticsearch-7.9.3/bin

# 启动
 [elasticsearch@prod-dms-0930  bin]$  ./elasticsearch -d &

elasticsearch的默认端口为9200，启动成功后，执行以下命令：

在浏览器中访问： http://127.18.9.30:9200

返回以下的信息，则证明启动成功：

{
 "name" : "VM_0_5_centos",
 "cluster_name" : "elasticsearch",
 "cluster_uuid" : "gst98AuET6a648YmAkXyMw",
 "version" : {
 "number" : "7.2.0",
 "build_flavor" : "default",
 "build_type" : "rpm",
 "build_hash" : "508c38a",
 "build_date" : "2019-06-20T15:54:18.811730Z",
 "build_snapshot" : false,
 "lucene_version" : "8.0.0",
 "minimum_wire_compatibility_version" : "6.8.0",
 "minimum_index_compatibility_version" : "6.0.0-beta1"
 },
 "tagline" : "You Know, for Search"
}

注：三台服务部署步骤、配置一样

9300端口是使用tcp客户端连接使用的端口；（es之间通讯的端口）

9200端口是通过http协议连接es使用的端口；（外部与es通讯的端口）

ELK的本质:

elasticsearch是做存储的，
kibana是做展示的，
logstash是抽取日志到elasticsearch的.

es启动报错的一些问题请参考：

https://blog.csdn.net/u013641234/article/details/80792416