开源实时日志分析 ELK 平台

最新推荐文章于 2024-08-09 11:24:06 发布
最新推荐文章于 2024-08-09 11:24:06 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30364013/article/details/76679481
版权

开源实时日志分析 ELK 平台由 ElasticSearch 、 Logstash 和 Kibana 三个开源工具组成。
Elasticsearch 是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制, restful 风格接口,多数据源,自动搜索负载等。
Logstash 是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用(如,搜索)。
Kibana 也是一个开源和免费的工具,他 Kibana 可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据。
这里写图片描述

一、Logstash

安装:tar zxvf logstash-1.5.2.tar.gz
运行:./logstash -e 'input { stdin { } } output { stdout {} }'
结果:
Logstash startup completed
Hello World!
2015-07-15T03:28:56.938Z noc.vfast.com Hello World!
退出:Ctrl+C
编辑:vim logstash-simple.conf
input { stdin { } }
output {
   stdout { codec=> rubydebug }
}
运行:./logstash agent -f logstash-simple.conf
结果:
Logstash startup completed
hello cpit
{
       "message" => "hello cpit",
      "@version" => "1",
    "@timestamp" => "2017-03-27T08:10:19.586Z",
          "host" => "mcs-slave-2"
}

二、Elasticsearch

安装:tar zxvf elasticsearch-1.7.1.tar.gz
启动:./elasticsearch
确认elasticsearch的9200端口已监听:netstat -anp |grep :9200
结果:tcp6  0   0 :::9200      :::*     LISTEN     7169/java

三、测试logstash使用elasticsearch作为logstash的后端

编辑:vim logstash-es-simple.conf
input { stdin { } }
output {
   elasticsearch {host => "localhost" }
   stdout { codec=> rubydebug }
}
执行:./logstash agent -f logstash-es-simple.conf
后台启动:nohup . /elasticsearch &
结果:
Logstash startup completed
hello logstash
{
      "message" => "hello logstash",
     "@version" => "1",
   "@timestamp" => "2015-07-15T18:12:00.450Z",
         "host" => "noc.vfast.com"
}
使用curl来查看ES是否接收到了数据:curl 'http://localhost:9200/_search?pretty'
结果:
{
  "took" : 47,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 1,
    "max_score" : 1.0,
    "hits" : [ {
      "_index" : "logstash-2017.03.27",
      "_type" : "logs",
      "_id" : "AVsO1xmUL1RJegwzT5T5",
      "_score" : 1.0,
      "_source":{"message":"hello logstash","@version":"1","@timestamp":"2017-03-27T08:17:08.889Z","host":"mcs-slave-2"}
    } ]
  }
}

四、Elasticsearch-kopf插件可以查询Elasticsearch中的数据

安装进入Elasticsearch的安装目录执行:./plugin -install lmenezes/elasticsearch-kopf
安装完成后在plugins目录下可以看到kopf.
#在配置文件elasticsearch.yml里设置script.disable_dynamic: true
在浏览器访问http://10.3.17.237:9200/_plugin/kopf/#!/cluster浏览可以查询保存在Elasticsearch中的数据

这里写图片描述
这里写图片描述
这里写图片描述

五、Kibana

netstat -apn | grep 5601
安装: tar zxvf rashidkpc-kibana-b83dedf.tar.gz
启动:./kibana
使用http://10.3.17.237:5601访问Kibana, 登录后,配置一个索引.

这里写图片描述
这里写图片描述
这里写图片描述

六、配置logstash作为Indexer

编写配置文件:vim logstash-indexer.conf
input {
  file {
    type =>"syslog"
    path => ["/var/log/messages", "/var/log/syslog" ]
  }
  syslog {
    type =>"syslog"
    port =>"5544"
  }
}
output {
  stdout { codec=> rubydebug }
  elasticsearch {host => "10.3.17.237" }
}
运行:./logstash agent -f logstash-indexer.conf
使用echo命令模拟写入日志:echo "`date` cpit " >>/var/log/messages

这里写图片描述
这里写图片描述

七、elasticsearch集群安装

安装head插件:./plugin install mobz/elasticsearch-head
配置config
cluster.name: es-cluster
node.name: node-1 #不同
network.host: #你的服务器ip地址
http.port: #9211  #不同
transport.tcp.port: #9311  #不同
index.cache.field.expire: 1d #过期时间
index.cache.field.type: soft
#默认类型为resident, 字面意思是常驻(居民), 一直增加,直到内存耗尽。改为soft就是当内存不足的时候,先clear掉占用的,然后再往内存中放。设置为soft后,相当于设置成了相对的内存大小。resident的话,除非内存够大。 
discovery.zen.ping.unicast.hosts: ["你的服务器列表(TCP端口)", "你的服务器列表(TCP端口)","你的服务器列表(TCP端口)"]
修改配置文件:log4j_to_es.conf
input {
    file {
        type => "infolog"
        path => "你的日志路径*.log"  #监听文件的路径
    }
    file {
        type => "errorlog"  
        path => "你的日志路径*.log"
    }
}
filter {
    multiline {  
       pattern => "^\d{4}-\d{1,2}-\d{1,2}\s\d{1,2}:\d{1,2}:\d{1,2}"
       negate => true
       what => "previous"
    }
}
output {
    if [type] == "infolog" {
        elasticsearch {
            action => "index"          #The operation on ES
            hosts  => ["elasticsearch的IP地址:9211", "elasticsearch的IP地址:9212","elasticsearch的IP地址:9213"]              
index  => "apilog_%{+YYYY.MM.dd}"        
        }
    }else{
        elasticsearch {
            action => "index"          #The operation on ES
            hosts  => ["elasticsearch的IP地址:9211", "elasticsearch的IP地址:9212","elasticsearch的IP地址:9213"]               
index  => "apierrorlog_%{+YYYY.MM.dd}"                 }
    }
}
直接与log4j配合使用,直接将日志输出到logstash中
log4j.logger.包名=debug, socket
# appender socket
log4j.appender.socket=org.apache.log4j.net.SocketAppender
log4j.appender.socket.Port=${elk_port}
log4j.appender.socket.RemoteHost=${elk_ip}
log4j.appender.socket.layout=org.apache.log4j.PatternLayout
log4j.appender.socket.layout.ConversionPattern=%d [%-5p] [%l] %m%n
log4j.appender.socket.ReconnectionDelay=10000

这里写图片描述

八、定时清理ES索引数据

编写清理脚本:es-index-clear.sh
LAST_DATA=`date -d '-3 day' +%Y.%m.%d`
echo${LAST_DATA}  开始执行删除操作“
curl -XDELETE 'http://10.104.29.19:9211/*'${LAST_DATA}''
echo "${LAST_DATA}  执行完毕。
设置定时任务
输入crontab -e,出现vi编辑页面 
输入以下命令,每天两点10分执行sh文件:
10 2 */1 * * /letv/soft/elk/logstash-2.4.1/bin/es-index-clear.sh
qq_30364013
关注
5 个有用的开源日志分析工具
qq_39662660的博客
04-14 1292
监控网络活动可能是一项单调而乏味的工作,但你有充分的理由要这样做。首先,它可以帮助你查找和调查工作站、连网设备和服务器上的可疑登录,同时确定管理员滥用的源头。还可以跟踪软件安装和数据传输,以便实时识别潜在的问题。 这些日志还有助于公司遵守适用于欧盟内任何实体的《通用数据保护条例》(GDPR)。因为如果你的网站要在欧盟是可浏览的,那么就必须遵守 GDPR。 日志记录(跟踪和分析)...
开源实时日志分析平台ELK
热门推荐
w1206507055的博客
06-15 1万+
了解开源实时日志分析平台ELK
ELK架构介绍
最新发布
L08130421的博客
08-09 1099
Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎。它给予Luncene开发,通过RESTful web接口提供全文搜索和分析功能。Logstash是一个开源的服务器端数据处理管理,用于动态地收集、转换和传输数据。Kibana是一个开源的数据分析和可视化平台,是Elastic Stack的一部分。
开源实时日志分析ELK平台部署
weixin_34266504的博客
07-21 302
开源实时日志分析ELK平台部署欢迎使用微信关注“云运维联盟”公众号,第一时间了解本博客动态!日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依...
快速入手开源日志分析系统logstash
06-06 2891
快速入手开源日志分析系统logstashlogstash是一个独立的系统,除了可应用于ElasticSearch,还可以应用于redis,消息队列,或者我们自己写项目里也可以独立去使用它。大家常说到的ELK是ElasticSearch、Logstash和Kibana三个组成的。下载地址: https://www.elastic.co/cn/downloads/logstash解压完成,cd到bin
ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台
java_zhangjiawei的博客
10-13 235
ELK平台介绍 在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自:http://baidu.blog.51cto.com/71938/1676798 日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不
实时日志分析ELK概述
Running_Tiger的博客
03-17 498
实时日志分析ELK概述1、概述对于任何系统来说日志都是及其重要的组成部分。但是由于现在的计算机系统大多比较复杂,很多系统都不是在一个地方,甚至都是跨国界的;即使是在一个地方的系统,也有不同的来源,比如,操作系统,应用服务,业务逻辑等等。他们都在不停产生各种各样的日志数据。根据不完全统计,我们全球每天大约要产生2EB的数据。面对如此海量的数据,又是分布在各个不同地方,如果我们需要去查找一些重要的信息,
开源实时日志分析ELK平台.doc
01-07
ELK(Elasticsearch、Logstash、Kibana)平台是一个开源实时日志分析解决方案,专门用于解决传统日志管理和分析的难题。 Elasticsearch 是 ELK 核心组件之一,它是一个分布式、零配置的全文搜索引擎,具有自动...
开源实时日志分析ELK系统搭建说明
04-27
自己通过5天时间在Ubuntu14.04 Server亲自搭建master节点和node节点,实验成功后亲自编写的《开源实时日志分析ELK系统搭建说明》,分虽然高一些,但是内容看了很值得,包含搭建、实验、排错等环节,谢谢大家~。
开源日志分析平台ELK实战应用
m0_57021623的博客
06-02 1188
ELK 是一个开源的日志管理平台,由 Elasticsearch、Logstash 和 Kibana 三个组件组成。这个平台广泛用于实时日志处理和分析。下面简单介绍一下每个组件的作用以及如何搭建一个基本的 ELK 栈。
开源实时日志分析ELK平台部署【入门篇】
Black Dragon 的个人博客
06-23 1万+
通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心
开源日志管理系统
03-29
logstash,开源日志管理系统。可以替代splunk。
Elasticsearch5.3.2Logstash5.3.2Kibana5.3.2Kafka-0.10.0.1打造开源实时日志分析系统v1.4
09-08
Elasticsearch5.3.2 Logstash 5.3.2 Kibana5.3.2 Kafka-0.10.0.1打造开源实时日志分析系统v1.4 日志分析利器
web-log-parser:开源分析Web日志工具
05-04
网络日志解析器 web-log-parser是一种开源分析Web日志工具,以python语言开发,具有灵活的日志格式配置 例子 指示 将日志文件存储在数据目录./data 修改config.ini 安装要求pip install -r requirements.txt 在bin dir cd ./bin && python start.py开始分析 在结果目录中检查html结果result/index.html 配置 格式 log-pattern:用于解析日志的正则表达式 log-format:日志内容格式,对应的日志模式匹配。 缺省情况下,支持以下配置项: ip:请求IP real_ip:用户真实IP。 如果配置了此选项,则将忽略ip配置,而real_ip将用于统计。 datetime:请求访问时间 网址:请求网址 方法:要求方法 协议:请求协议 费用:索取费用 筛选 sup
最好用的日志分析工具ELK Stack
10-25
对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELKStack,所以说ELKStack指的是Elasticsearch、Logstash、Kibana技术栈的结合。
实时日志分析
あずにゃん梓喵的博客
07-04 350
日萌社 人工智能AI:Keras PyTorch MXNet TensorFlow PaddlePaddle 深度学习实战(不定时更新) 4.4 实时日志分析 学习目标 目标 掌握Flume与Kafka对接 日志数据我们已经收集到hadoop中,但是做实时分析的时候,我们需要将每个时刻用户产生的点击行为收集到KAFKA当中,等待spark streaming程序去消费。 4.4.1 Flume收集日志到Kafka 目的:收集本地实时日志行为数据,到kafka 步骤: 1、开启zooke
Better ELK, 新浪实时日志分析服务进化
Gary 的影响力
07-15 7324
我从2014年初入职新浪后就开始接触实时日志分析相关的技术,主要是ELK(Elasticsearch, Logstash, Kibana),当时是学习+ELK优化,接一些日志,小打小闹。从2015年起,我们正式得把实时日志分析分析作为服务提供给公司的其他部门。今天要给大家分享的是在服务化的道路上,我们的想法,方案和疑问。服务介绍随着实时分析技术的发展及成本的降低,用户已经不仅仅满足于离线分析。目前我
干货 | ELK 日志实时分析实战
铭毅天下Elasticsearch
07-12 2983
0、问题来源1、日志实时分析是 Elasticsearch 三大核心业务场景之一Elasticsearch架构选型指南——不止是搜索引擎,还有......曾强调:Elasticsearch...
推荐开源项目:Slarda - 高效的云日志检索与分析系统
gitblog_00068的博客
04-17 462
推荐开源项目:Slarda - 高效的云日志检索与分析系统 项目地址:https://gitcode.com/upyun/slardar Slarda 是一个由阿里云团队开发的高性能、轻量级的日志检索和分析系统。它提供实时的日志数据处理能力,适用于大规模分布式系统的日志管理和运维监控场景。通过简单易用的API接口,开发者可以快速地集成Slarda到自己的项目中,实现对日志数据的高效管理和利用。 技...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值