开源实时日志分析ELK平台部署

最新推荐文章于 2024-08-09 11:24:06 发布
最新推荐文章于 2024-08-09 11:24:06 发布
阅读量4k 收藏 1
点赞数 1
分类专栏: ELKStack 文章标签: elasticsearch elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mungo/article/details/74188287
版权

ELK版本:5.5.0
下载:https://www.elastic.co/cn/downloads
这里只介绍环境的搭建,至于简介什么,以后慢慢来吧.

环境:
Ubuntu
JDK 1.8
Linux用户:mungo
首先,ELK工作的原理图:
这里写图片描述
即:Logstash收集AppServer产生的Log,并存放到ElasticSearch集群中,而Kibana则从ES集群中查询数据生成图表,再返回给Browser。

ElasticSearch

配置文件
在elasticsearch的config目录下elasticsearch.yml

# Use a descriptive name for your cluster:
#
cluster.name: my-application
#
# ------------------------------------ Node ------------------------------------
#
# Use a descriptive name for the node:
#
node.name: node-1
# ----------------------------------- Paths ------------------------------------
#
# Path to directory where to store the data (separate multiple locations by comma):
#
path.data: /home/mungo/elk/data
#
# Path to log files:
#
path.logs: /home/mungo/elk/logs
# ---------------------------------- Network -----------------------------------
#
# Set the bind address to a specific IP (IPv4 or IPv6):
# 这里配置的ip为本机的ip
#
network.host: 10.81.12.46
#
# Set a custom port for HTTP:
#
http.port: 9200

然后到elasticsearch的bin目录下,通过elasticsearch脚本即可启动.

./elasticsearch

这里写图片描述
这里写图片描述
通过输出可以看到,elasticsearch发布到了配置文件定义的9200端口.通过上面配置的ip即可访问.

http://10.81.12.46:9200/
这里写图片描述
通过http://10.81.12.46:9200/_cluster/health可以查看当前elasticsearch服务器的运行状态.比如:

{
  "cluster_name": "my-application",
  "status": "yellow",
  "timed_out": false,
  "number_of_nodes": 1,
  "number_of_data_nodes": 1,
  "active_primary_shards": 5,
  "active_shards": 5,
  "relocating_shards": 0,
  "initializing_shards": 0,
  "unassigned_shards": 5,
  "delayed_unassigned_shards": 0,
  "number_of_pending_tasks": 0,
  "number_of_in_flight_fetch": 0,
  "task_max_waiting_in_queue_millis": 0,
  "active_shards_percent_as_number": 50
}

其中:status一共有3个状态:green表示所有主分片及备份分片都分配好了,集群100%健康。yellow表示所有主分片都分配好了,但至少有一个备份分片未分配。数据没有丢失,搜索结果时完整的。但高可用性会缺失,存在丢失数据风险,以黄色表示警告。red表示至少有一个主分片未分配,并且这个主分片的所有分片都丢失了。数据已经丢失了,搜索结果不完整,并且往这个分片索引数据会发生异常。

  • number_of_nodes和number_of_data_nodes,分别是节点数和数据节点数。
  • active_primary_shards,集群中所有index的主分片数量的总和。
  • active_shards,集群中所有index的分片数量的总和,包括备份分片.

Kibana

配置文件
在kibana的config目录下kibana.yml

# Kibana is served by a back end server. This setting specifies the port to use.
server.port: 5601
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "localhost"
# The URL of the Elasticsearch instance to use for all your queries.
# 这里配置的Elasticsearch的链接地址
elasticsearch.url: "http://10.81.12.46:9200"
# Kibana uses an index in Elasticsearch to store saved searches, visualizations and
# dashboards. Kibana creates a new index if the index doesn't already exist.
kibana.index: ".kibana"

然后通过kibana的bin目录下的kibana启动.

./kibana

这里写图片描述
这里写图片描述
通过配置文件可知,kibana监听的是5601端口.所以通过链接
http://localhost:5601启动.
这里写图片描述
看到这个问题,意思是logstash没有把日志写入到elasticsearch。因为logstash目前还未配置.下面开始配置logstash.如果有配置日志写入,就检查logstash与elasticsearch之间的通讯是否有问题。

Unable to fetch mapping. Do you have indices matching the pattern?

还有就是左侧的菜单可能会有些许不一直,因为我的版本里有先安装了x-pack插件.具体怎么使用如以后会做说明.

Logstash

Logstash 项目诞生于 2009 年 8 月 2 日。其作者是世界著名的运维工程师乔丹西塞(JordanSissel)。LogStash架构专为收集、分析和存储日志所设计。
Logstash的功能如下:
这里写图片描述
从上图可以看出,Logstash其实就是一个收集器,使用时需要为它指定Input和Output(Input和Output可以为多个)。比如若把Java代码中Log4j的日志输出到ElasticSearch中,Input就是Log4j,而Output就是ElasticSearch。若通过tcp的读取网络数据到ElasticSearch中,Input就是tcp监听的端口(可以配合 nc 命令导入数据,在启动 logstash 进程后,在另一个终端运行nc ip 监听端口 < olddata即可导入数据:),而Output就是ElasticSearch。
配置文件
配置两个输入,分别是Log4j日志输入和tcp数据输入.输出到ElasticSearch.
配置文件位置可以随意的,这里我放到logstash下的config目录下,取名为logstash_to_es.conf.

# For detail structure of this file
# Set: https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html
input {
  # For detail config for log4j as input, 
  # See: https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html
  log4j {
    mode => "server"
    host => "10.81.12.46"
    port => 4567
  }
  tcp {
    port => 8888
    mode => "server"
    ssl_enable => false
  }
}
filter {
  #Only matched data are send to output.
}
output {
  # For detail config for elasticsearch as output, 
  # See: https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html
  elasticsearch {
    action => "index"          #The operation on ES
    hosts  => "10.81.12.46:9200"   #ElasticSearch host, can be array.
    index  => "logstash-%{type}-%{+YYYY.MM.dd}"         #The index to write data to.
  }
}

logstash启动需要通过-f参数指明配置文件:
这里写图片描述

关于logstash使用可以通过如下命令查看.

./logstash --help

根据以上配置,通过下面命令启动logstash.

./logstash -f ../config/logstash_to_es.conf

这里写图片描述
同过输出可以看出,配置input的4567和8888端口都被监听了.
通过nc命令将一个日志文件导入到elasticsearch

nc 127.0.0.1 8888 < log.log

然后在kibana中就可以创建一个Index了.
这里写图片描述
然后在Discover菜单中就可以看到日志的内容了.就可以对日志内容进行查找了.
这里写图片描述
Log4j通过logstash写入elasticsearch
在log4j.properties配置文件中增加一项配置,将Log4j的日志输出到SocketAppender:

# appender socket
log4j.appender.socket=org.apache.log4j.net.SocketAppender
log4j.appender.socket.Port=4567
log4j.appender.socket.RemoteHost=10.81.12.46
log4j.appender.socket.layout=org.apache.log4j.PatternLayout
log4j.appender.socket.layout.ConversionPattern=%d [%-5p] [%l] %m%n
log4j.appender.socket.ReconnectionDelay=10000

注意:这里的端口号需要跟Logstash监听的端口号一致,这里是4567。
这里写图片描述
可以看到,工程的日志已经输入到es了,如果设置的时间间隔够短,就很趋近于实时分析了。

至此,ELK平台部署和基本的测试就完成。

Mungo
关注
专栏目录
ELK日志分析
Drw_Dcm的博客
10-10 3353
ELK日志分析
开源实时日志分析ELK平台部署【入门篇】
Black Dragon 的个人博客
06-23 1万+
通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心
ELK日志分析系统
ikun的博客
03-24 843
学习目标:ELK日志分析系统 学习内容:1. 应用/需求前景 为什么要用ELK ELK简介 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 3. ELK简介:ELK是3个开源软件的缩写,分别为Elasticsearch 、 Log
ELK架构介绍
最新发布
L08130421的博客
08-09 1065
Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎。它给予Luncene开发,通过RESTful web接口提供全文搜索和分析功能。Logstash是一个开源的服务器端数据处理管理,用于动态地收集、转换和传输数据。Kibana是一个开源的数据分析和可视化平台,是Elastic Stack的一部分。
ELK日志分析系统部署
zzn0109的博客
07-13 754
ELK+Filebeat
开源实时日志分析平台ELK
热门推荐
w1206507055的博客
06-15 1万+
了解开源实时日志分析平台ELK
ELK实时日志分析平台部署.docx
10-08
ELK实时日志分析平台是IT运维中常用的一种日志管理和分析工具,由ElasticsearchLogstash、Kibana以及Filebeat四个组件组成。Elasticsearch是一个强大的开源分布式搜索引擎,具备数据搜集、分析和存储功能,其特性...
部署ELK分布式日志分析平台
02-28
部署ELK分布式日志分析平台是一个系统工程,需要考虑日志数据的采集、传输、存储、分析、警告等各个关键环节。在生产环境中,业务规模扩大和服务器数量增多,使得日志量急剧增长,这就要求有一个能够处理大规模数据...
第六十一章:部署ELK分布式日志分析平台1
08-08
【第六十一章:部署ELK分布式日志分析平台1】 ELK分布式日志分析平台是针对大规模业务环境下的日志管理需求而设计的一种解决方案。随着业务的发展,服务器数量增多,日志数据量激增,传统的日志管理和问题排查方式...
ELK实时日志分析平台 --(1)
weixin_47252600的博客
01-14 341
ELK实时日志分析平台介绍
AccessLog| 一款开源日志分析系统
ClkLog的博客
07-26 626
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
ELK集群搭建(ElasticSearch Logstash Kinaba)
weixin_34221112的博客
05-18 109
Logstash 1.1 安装 注:安装在需要收集日志的机器上。 cd /data/softssudo wget https://download.elastic.co/l...sudo tar -zxf logstash-2.4.0.tar.gzsudo mv logstash-2.4.0 /usr/local/logstash 1.2...
使用ELK搭建实时日志分析与监控平台
"ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台" ELKElasticsearch, Logstash, Kibana)是日志管理和分析的热门解决方案,尤其适用于需要实时监控和搜索大量日志数据的场景。这个平台由三个主要组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值