ELK(ElasticSearch, Logstash, Kibana)+ SuperVisor + Springboot + Logback 搭建实时日志分析平台

最新推荐文章于 2024-02-29 15:26:10 发布
最新推荐文章于 2024-02-29 15:26:10 发布
阅读量3.8k 收藏 6
点赞数 2
分类专栏: ELK stack 文章标签: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/timedifier2/article/details/52586278
版权

日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。

通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。

集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。

开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。官方网站: https://www.elastic.co/products

  • Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
  • Logstash是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜索)。
  • Kibana 也是一个开源和免费的工具,它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。

ELK工作的原理图

Centos7 环境下的搭建

1.JDK

下载linux的1.8 JDK 包,解压,进行如下配置:

vi ~/.bashrc
export JAVA_HOME=/usr/local/jdk1.8.0_101
export PATH=$PATH:$JAVA_HOME/bin
exportCLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH

进入https://www.elastic.co/products,下载ElasticSearch,Logstash,Kibana linux下相关压缩包

2.ElasticSearch

安装:
tar -zxvf elasticsearch-2.4.0.tar.gz
cd elasticsearch-2.4.0
安装Head插件:

./bin/plugin install mobz/elasticsearch-head

编辑ElasticSearch的配置文件:
vi config/elasticsearch.yml
cluster.name=es_cluster
node.name=node0
path.data=/tmp/elasticsearch/data
path.logs=/tmp/elasticsearch/logs
#当前hostname或IP
network.host=192.168.245.129
network.port=9200
启动elasticsearch

由于不能使用root身份启动,所以需要先创建一个用户,如:elk

adduser elk
passwd elk    #输入两次密码。
chown -R elk /你的elasticsearch安装目录  #root给elk赋权限
./bin/elasticsearch

可以看到,它跟其他的节点的传输端口为9300,接受HTTP请求的端口为9200。使用ctrl+C停止。当然,也可以使用后台进程的方式启动ES:

./bin/elasticsearch &

安装的head插件,它是一个用浏览器跟ES集群交互的插件,可以查看集群状态、集群的doc内容、执行搜索和普通的Rest请求等。现在也可以使用它打开 localhost:9200/_plugin/head 页面来查看ES集群状态:

3.Logstash

安装:
tar -zxvf logstash-2.4.0.tar.gz
cd logstash-2.4.0.tar.gz
配置:
mkdir config #创建放置配置文件的目录
vi config/log_to_es.conf

加入input,output配置:

input { 
   syslog {
     codec => "json"
     port => 514
   }
}
output {
    elasticsearch {
       hosts => ["192.168.245.129:9200"]
    }
}

- input:使用syslog udp方式来接收logback传输过来的日志,配置端口为514(默认就是514,可以根据需要随意指定),使用 netstat -anptu可以查看到启动的监听

    tcp6       0      0 :::514                  :::*                    LISTEN      2869/java                
    udp6       0      0 :::514                  :::*                                2869/java
  • output:输出到elasticsearch,注意端口必须是http端口
启动:
./bin/logstash agent -f config/log_to_es.conf

注意:要使用root身份进行启动

4.Kibana

安装:

tar -zxvf kibana-4.6.1-linux-x86_64.tar.gz
cd kibana-4.6.1-linux-x86_64

配置:

vi config/kibana.yml

server.port: 5601
server.host: 192.168.245.129
elasticsearch.url: http://192.168.245.129:9200
kibana.index: “.kibana”
启动:
./bin/kibana

用浏览器打开该地址 http://192.168.245.129:5601,为了后续使用Kibana,需要配置至少一个Index名字或者Pattern,它用于在分析时确定ElasticSearch中的Index。

5.logback配置

使用springboot+logback,将logback的记录的日志存储到elk中。

自定义的属性类:

@Component
@ConfigurationProperties(prefix = "myproperties", ignoreUnknownFields = false)
public class MyProperties {
    private final CorsConfiguration cors = new CorsConfiguration();

    public CorsConfiguration getCors() {
        return cors;
    }

    private final Logging logging = new Logging();

    public Logging getLogging() { return logging; }

    public static class Logging {

        private final Logstash logstash = new Logstash();

        public Logstash getLogstash() { return logstash; }

        public static class Logstash {

            private boolean enabled = false;

            private String host = "localhost";

            private int port = 5000;

            private int queueSize = 512;

            public boolean isEnabled() { return enabled; }

            public void setEnabled(boolean enabled) { this.enabled = enabled; }

            public String getHost() { return host; }

            public void setHost(String host) { this.host = host; }

            public int getPort() { return port; }

            public void setPort(int port) { this.port = port; }

            public int getQueueSize() { return queueSize; }

            public void setQueueSize(int queueSize) { this.queueSize = queueSize; }
        }

    }
}

日志配置类:

@Configuration  
public class LoggingConfiguration {

    private final Logger log = LoggerFactory.getLogger(LoggingConfiguration.class);

    private LoggerContext context = (LoggerContext) LoggerFactory.getILoggerFactory();

//    @Value("${spring.application.name}")
    private String appName="Example";

//    @Value("${server.port}")
    private String serverPort="8089";

    @Autowired
    private MyProperties myPro;

    @PostConstruct
    private void init() {
        if (myPro.getLogging().getLogstash().isEnabled()) {
            addLogstashAppender();
        }
    }

    public void addLogstashAppender() {
        log.info("Initializing Logstash logging");

        LogstashSocketAppender logstashAppender = new LogstashSocketAppender();
        logstashAppender.setName("LOGSTASH");
        logstashAppender.setContext(context);
        String customFields = "{\"app_name\":\"" + appName + "\",\"app_port\":\"" + serverPort + "\"}";

        // Set the Logstash appender config from JHipster properties
        logstashAppender.setSyslogHost(myPro.getLogging().getLogstash().getHost());
        logstashAppender.setPort(myPro.getLogging().getLogstash().getPort());
        logstashAppender.setCustomFields(customFields);

        //添加日志功率,只有warn和error才记录到elk stack中
        logstashAppender.addFilter(new Filter<ILoggingEvent>() {
            @Override
            public FilterReply decide(ILoggingEvent event) {
                if(event.getLevel() == Level.ERROR || event.getLevel()==Level.WARN){
                    return FilterReply.ACCEPT;
                }
                return FilterReply.DENY;
            }
        });
        // Limit the maximum length of the forwarded stacktrace so that it won't exceed the 8KB UDP limit of logstash
        ShortenedThrowableConverter throwableConverter = new ShortenedThrowableConverter();
        throwableConverter.setMaxLength(7500);
        throwableConverter.setRootCauseFirst(true);
        logstashAppender.setThrowableConverter(throwableConverter);

        logstashAppender.start();

        // Wrap the appender in an Async appender for performance
        AsyncAppender asyncLogstashAppender = new AsyncAppender();
        asyncLogstashAppender.setContext(context);
        asyncLogstashAppender.setName("ASYNC_LOGSTASH");
        asyncLogstashAppender.setQueueSize(myPro.getLogging().getLogstash().getQueueSize());
        asyncLogstashAppender.addAppender(logstashAppender);
        asyncLogstashAppender.start();

        context.getLogger("ROOT").addAppender(asyncLogstashAppender);
    }
}

注意:日志过滤可以通过添加logback appender的filter方式,或是采用logstash filter的drop插件,如:

filter {
      if ([message] =~ "^toElk") {
      }else {
         drop {}
      }
}

6.长期运行程序

使用supervisor来管理elk stack进程。

1.安装:

先安装setuptools:

wget https://bootstrap.pypa.io/ez_setup.py -O - | python

再安装supervisor:

wget https://pypi.python.org/packages/80/37/964c0d53cbd328796b1aeb7abea4c0f7b0e8c7197ea9b0b9967b7d004def/supervisor-3.3.1.tar.gz
tar zxvf supervisor-3.3.1.tar.gz
cd supervisor-3.3.1
python setup.py install
2.配置:

创建supervisor配置文件:

echo_supervisord_conf  >/etc/supervisord.conf
vi /etc/supervisord.conf

取消以下的注释,并修改IP为0.0.0.0

[inet_http_server]         ; inet (TCP) server disabled by default
port=0.0.0.0:9001        ; (ip_address:port specifier, *:port for all iface)
username=user              ; (default is no username (open server))
password=123               ; (default is no password (open server))
3.supervisor启动文件:
vi /etc/init.d/supervisord

#! /bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin

PROGNAME=supervisord

DAEMON=/usr/bin/$PROGNAME

CONFIG=/etc/$PROGNAME.conf

PIDFILE=/tmp/$PROGNAME.pid

DESC="supervisord daemon"

SCRIPTNAME=/etc/init.d/$PROGNAME

# Gracefully exit if the package has been removed.

test -x $DAEMON || exit 0

start()

{
        echo -n "Starting $DESC: $PROGNAME"
        $DAEMON -c $CONFIG
        echo "..."
}

stop()

{
        echo -n "Stopping $DESC: $PROGNAME"
        supervisor_pid=$(cat $PIDFILE)
        kill -15 $supervisor_pid
        echo "..."
}

case "$1" in
  start)
        start
        ;;
  stop)
        stop
        ;;
  restart)
        stop
        start
        ;;
  *)
echo "Usage: $SCRIPTNAME {start|stop|restart}" >&2
exit 1
;;
esac
exit 0
4.设置管理的进程
vi /usr/local/supervisor_ini.ini

加入:

[program:elasticsearch]
directory=/usr/local/elasticsearch-2.4.0
command=/usr/local/elasticsearch-2.4.0/bin/elasticsearch
;process_name=elasticsearch ; process_name expr (default %(program_name)s)
user=elk
numprocs=1                    ; number of processes copies to start (def 1)
priority=1                  ; the relative start priority (default 999)
autostart=true                ; start at supervisord start (default: true)
;startsecs=1                   ; # of secs prog must stay up to be running (def. 1)
startretries=3                ; max # of serial start failures when starting (default 3)
autorestart=true        ; when to restart if exited after running (def: unexpected)
stopasgroup=true             ; send stop signal to the UNIX process group (default false)
killasgroup=true
redirect_stderr=true
stdout_logfile=/tmp/supervisor_elasticsearch.log


[program:logstash]
directory=/usr/local/logstash-2.4.0
command=/usr/local/logstash-2.4.0/bin/logstash agent -f /usr/local/logstash-2.4.0/config/to_es.conf
;process_name=logstash ; process_name expr (default %(program_name)s)
numprocs=1                    ; number of processes copies to start (def 1)
priority=2                  ; the relative start priority (default 999)
autostart=true                ; start at supervisord start (default: true)
;startsecs=1                   ; # of secs prog must stay up to be running (def. 1)
startretries=3                ; max # of serial start failures when starting (default 3)
autorestart=true        ; when to restart if exited after running (def: unexpected)
;exitcodes=0,2                 ; 'expected' exit codes used with autorestart (default 0,2)
;stopsignal=QUIT               ; signal used to kill process (default TERM)
;stopwaitsecs=10               ; max num secs to wait b4 SIGKILL (default 10)
stopasgroup=true             ; send stop signal to the UNIX process group (default false)
killasgroup=true             ; SIGKILL the UNIX process group (def false)
redirect_stderr=true          ; redirect proc stderr to stdout (default false)
stdout_logfile=/tmp/supervisor_logstash.log       ; stdout log path, NONE for none; default AUTO
;stdout_logfile_maxbytes=1MB   ; max # logfile bytes b4 rotation (default 50MB)
;stdout_logfile_backups=10     ; # of stdout logfile backups (default 10)
;stdout_capture_maxbytes=1MB   ; number of bytes in 'capturemode' (default 0)
;stdout_events_enabled=false   ; emit events on stdout writes (default false)
;stderr_logfile=/a/path        ; stderr log path, NONE for none; default AUTO
;stderr_logfile_maxbytes=1MB   ; max # logfile bytes b4 rotation (default 50MB)
;stderr_logfile_backups=10     ; # of stderr logfile backups (default 10)
;environment=A="1",B="2"       ; process environment additions (def no adds)

[program:kibana]
directory=/usr/local/kibana-4.6.1-linux-x86_64
command=/usr/local/kibana-4.6.1-linux-x86_64/bin/kibana
;process_name=kibana ; process_name expr (default %(program_name)s)
numprocs=1                    ; number of processes copies to start (def 1)
priority=3                  ; the relative start priority (default 999)
autostart=true                ; start at supervisord start (default: true)
;startsecs=1                   ; # of secs prog must stay up to be running (def. 1)
startretries=3                ; max # of serial start failures when starting (default 3)
autorestart=true        ; when to restart if exited after running (def: unexpected)
redirect_stderr=true
stdout_logfile=/tmp/supervisor_kibana.log


[group:elk_stack]
programs=elasticsearch,logstash,kibana  ; each refers to 'x' in [program:x] definitions
priority=1

修改/etc/supervisord.conf文件,加入如下:

[include]
files = /usr/local/supervisor_ini/*.ini
5.启停supervisor:
/etc/init.d/supervisor start
/etc/init.d/supervisor stop
6.通过web界面查看:

浏览器打开:http://127.0.0.1:9001,输入配置的user/123进入管理界面

timedifier2
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot logstash_SpringBoot2.x系列教程85--SpringBoot整合Logstash,实现日志统计
weixin_39825722的博客
11-26 909
SpringBoot整合LogstashSpringBoot2.x系列教程一. ELK简介ELK是Elastic公司的三个组件,他们三个配合实现日志收集.ElasticSearch:用于存储日志信息;Logstash:用于收集、处理和转发日志信息;Kibana:提供可视化的Web界面.二. ELK环境安装有关ELK安装请参考我之前的教程.Windows下Logstash安装:Windows下安装L...
SpringBoot+ElasticSearch+logstash学习笔记
程序猿劝退师的博客
11-28 487
目录 1.1.什么是ElasticSearch 1.2.ElasticSearch特点 1.3.Solr与Elasticsearch对比 2.ElasticSearch安装(服务端) 2.1.ElasticSearch部署与启动 2.2.ElasticSearch体系结构 3. elasticsearch-head 插件的安装与使用(客户端) 3.1.Head插件安装 3.2.H...
ELK(ElasticSearch,Logstash,Kibana)搭建实时日志分析平台
01-29
在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自:http://baidu.blog.51cto.com/71938/1676798日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉
日志组件之debug动态开关
LzwGlory的专栏
04-28 2483
日志组件之debug动态开关 一、应用场景 二、logback简介 三、logback应用debug动态开关   一、应用场景 生产环境,系统日志记录级别一般高于或等于INFO,不会开启DEBUG级别的日志打印。 但如果生产环境系统出现问题,需要在一段时间内启用debug日志,以便调查分析问题,那怎么办呢? 本文将提供一种可行方案。
Springboot 整合 Elasticsearch(四):使用 Kibana 连接 Elasticsearch
原名:@程序员大禹
02-29 576
Kibana 是通向 Elastic 产品集的窗口。 它可以在 Elasticsearch 中对数据进行视觉探索和实时分析。 之前的文章中我们使用的 elasticsearch-head 浏览器插件连接Elasticsearch 并查询数据,本次我们介绍另一种可视化查询工具——Kibana
SpringBoot整合ELK做日志(超完整)
XiaoHH的博客
04-27 4018
使用SpringBoot项目连接Logstash存储日志到ElasticSearch,步骤超详细
Spring Boot日志详解
qq_27890899的博客
06-07 1521
最全面的Spring Boot日志说明
日志收集log
每天学一点,迟早迈进殿堂。
09-23 559
进到logstash的bin目录下,执行:logstash.bat -f D:\elasticsearch\logstash-7.4.2\config\logstash-log.conf 命令。
SpringBoot日志使用分析
qq_38763540的博客
07-17 653
1.日志框架 问题引述: 小张;开发一个大型系统; 1、System.out.println("");将关键数据打印在控制台;每次都打印在控制台?去掉?写在一个文件? 2、框架来记录系统的一些运行时信息;日志框架 ; zhanglogging.jar; 3、高大上的几个功能?异步模式?自动归档?xxxx? zhanglogging-good.jar? 4、将以前框架卸下来?换上新的框架,重新...
Springboot通过log4j2+logstash整合日志到Elasticsearch
zuijiuhengdao的博客
09-09 4465
Springboot通过log4j2+logstash整合日志到Elasticsearchspringboot+log4j2+ELK(Elasticsearch+Logstash+Kibana)简单整合
linu 搭建ELK(es+kibana+logstash)安装包
12-02
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
本压缩包内包含:Elasticsearch+Logstash+Kibana+Filebeat(ELK全部7.9.0版本)
ELK7.x通用教程(Elasticsearch集群+Logstash+Kibana+Beats)
06-16
目前采用ELK7.x:即ELKelasticsearch7.3+logstash7.3+kibana7.3) 官网最新版本搭建集群和展示elk是什么意思中文? ELK Stack 是ElasticsearchLogstash、Kiban三个开源软件的组合。在实时数据检索和分析场合,...
springboot + logback + filebeat + elk 实现分布式日志中心
iMChenJiaMing的博客
05-01 4077
前言:本文主要介绍docker搭建elk分布式日志平台,利用filebeat监听logback日志文件,传输到elk中,最终在kibana渲染展示。 主要思路:filebeat监听日志文件的变化,传输到logstashlogstash通过分析提取,将日志信息推送到elasticsearch指定索引中,最终kibanaelasticsearch索引中查询并展示日志信息。 一、docker搭建elk日志平台(v7.6.1) 1.1、准备镜像 docker pull docker.elastic.
Springboot接入logbook以及logbook配置含义
技术杂货铺
11-30 2767
Logbook 配置项 logbook.format.style各配置效果 logbook.format.style= curl curl -v -X POST 'http://localhost:9013/ccapi/work/getWorkOrderList' -H 'accept: application/json;charset=UTF-8' -H 'accept-encoding: gzip, deflate, br' -H 'accept-language: zh-CN,zh;q
最简单的Spring Boot 整合ELK教程,实现日志收集
leeta的博客
07-27 2150
前言 开发任务后,提交代码的那一刻,心情是自由自在……速度是八十迈…… 以为接下来是游戏、逛GAI或暖烘烘的被窝。 然而,梦想何其丰满,现实何其骨干。 总有测试小姐姐教你紧急刹车,回头做(改)人(bug):你这不行啊!(吃瓜群众排排坐,笑歪了嘴) 我低头看了看自己的八块腹肌:行不行可不是你说了算! 小姐姐也不是吃素的,撸起袖子,打开她的联想十代:你行你连连报错,毒奶队友! 我:(⊙o⊙)……原来你说的是这个不行,我还以为…… 小姐姐一脸疑惑:以为什么?真以为自己是大神了! 我清咳掉自己的尴
Spring Boot 搭建ELK,这才是正确看日志的方式
QAQFyl的博客
03-01 668
为什么要用ELK ELK实际上是三个工具,Elastricsearch + Logstash + Kibana,通过ELK,用来收集日志还有进行日志分析,最后通过可视化UI进行展示。一开始业务量比较小的时候,通过简单的SLF4J+Logger在服务器打印日志,通过grep进行简单查询,但是随着业务量增加,数据量也会不断增加,所以使用ELK可以进行大数量的日志收集和分析 简单画了一下架构图 在环境配置中,主要介绍Mac和Linux配置,Windows系统大致相同,当然,前提是大家都安装了JDK.
Springboot项目通过logstash将日志分类写入Elasticsearch
宝华的小岛
08-12 2963
需求:我们需要把线上日志收集起来进行分析。在开发阶段,更多的时候程序是运行在本地,所以使用FileBeats就有点繁琐。我们采用直接将日志通过tcp输出到logstash的方案。 同时,我们的日志并没有统一的格式,按照日志分析的需求格式都不一样。比如我们需要监控http请求的日志,监控websocket对话的日志,监控搜索gu关键词的日志等等。这就需要我们需要根据不同的需求制定各自的格式,然后分开输出到ES数据库。 一、安装ELK 这里对此不作过多讲解。es我使用的是docker版本,logstash
SLF4j使用。
孤芳不自赏
04-19 811
如何在系统中使用SLF4j 以后开发的时候,日志记录方法的调用,不应该来直接调用日志的实现类,而是调用日志抽象层里面的方法;给系统里面导入slf4j的jar和logback的实现jar。 import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class HelloWorld { public static voi...
elastic search logstash kibana
最新发布
04-17
Elasticsearch, Logstash, 和 Kibana 是一套常用的开源工具组合,被称为ELK Stack,用于处理和可视化大规模数据集。下面是对它们的简要介绍: 1. Elasticsearch(简称ES)是一个分布式、高性能的搜索和分析引擎。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值