Kibana 是为Elasticsearch设计的开源分析和可视化平台,你可以使用 Kibana 来搜索,查看存储在 Elasticsearch 索引中的数据并与之交互。你可以很容易实现高级的数据分析和可视化，以图表的形式展现出来。

（1）kibana配置

1.下载安装

wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpmyum 

install -y kibana-6.0.0-x86_64.rpm

2.修改配置文件

vim/etc/kibana/kibana.yml 

server.port:5601//监听端口

server.host:"192.168.1.31"//监听IP地址，建议内网ip 

elasticsearch.url:"http://192.168.1.31:9200"//elasticsearch连接kibana的URL，也可以填写192.168.1.32，因为它们是一个集群

3.启动服务

systemctl enable kibana

systemctl start kibana

4.验证

ss -antlup | grep 5601

测试访问192.168.1.31:5601

可以通过访问http://192.168.1.31:5601/status来查看是否正常

（2）通过配置logstash文件收集message日志

 logstash下载: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.5.4.tar.gz 

解压

1.收集messages日志文件内容,输出到elasticsearch

#vim logstash.conf

input {
# 以文件作为来源
file {
path =>"/var/log/messages" #日志路径
type =>"system" #定义
start_position =>"beginning" #表示logstash从头开始读取文件内容
stat_interval =>"2" #logstash每隔多久检查一次被监听文件状态（是否有更新）,默认是1秒
}
}

output {
# 以es作为输出
elasticsearch {
hosts => ["172.16.2.15:9200"] #指
index =>"systemlog-%{+YYYY.MM.dd}" #指定索引名称
}
}

2.检测配置文件语法和启动

bin/logstash -f  logstash.conf -t//检测配置文件语法是否有问题

ll /var/log/messages                                            //这里可以看到该日志文件是600权限，而elasticsearch是运行在elasticsearch用户下，这样elasticsearch是无法收集日志的。所以这里需要更改日志的权限，否则会报权限拒绝的错误。在日志中查看/var/log/logstash/logstash-plain.log 是否有错误。

chmod 644 /var/log/messages 

bin/logstash -f logstash.conf //启动

3.通过head界面查看索引

4.在kibana上添加索引

5.查看日志