CentOS6.5下部署ELK5.5收集Nginx Log

最新推荐文章于 2020-03-30 23:03:03 发布
最新推荐文章于 2020-03-30 23:03:03 发布
阅读量380 收藏
点赞数

0x01 概述

前段时间监控到公司站点的手机号是否存在的接口被单IP高频率访问,站点解析到腾讯云上,LB后是20+腾讯云主机做Nginx代理,使用Filebeat+ELK收集监控此类异常行为,当前最新的是6.2,有些改动,我还是用5.5版本。

ELK可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。

使用三台机器,配置和角色如下:

10.59.0.248(32核+64G内存) Logstash Elasticsearch(Master) Kibana

10.59.0.116(24核+32G内存) Logstash Elasticsearch(Data)

10.211.0.107(64核+64G内存) Logstash Elasticsearch(Data)

0x02 Filebeat

Filebeat的性能消耗要比logstash小的多,配置如下:

data/registry记录了文件读取的offset,如果文件data/registry不存在,则会重新发送文件。

配置tail_files: true 仅发送新的数据

0x03 Logstash

在logstash-5.4.0/bin/logstash.lib.sh文件第一行添加

所遇到的问题:

1)ELK部署运行后,非常常见的一个现象是429错误,如下所示:

[2018-04-04T09:08:16,479][INFO ][logstash.outputs.elasticsearch] retrying failed action with response code: 429 ({"type"=>"es_rejected_execution_exception", "reason"=>"rejected execution of org.elasticsearch.transport.TransportService$7@4e1276c3 on EsThreadPoolExecutor[bulk, queue capacity = 200, org.elasticsearch.common.util.concurrent.EsThreadPoolExecutor@4892020c[Running, pool size = 24, active threads = 24, queued tasks = 200, completed tasks = 4786420]]"})

表示Elasticsearch处理不过来了。

在ES5.0以后,Elasticsearch将bulk、flush、get、index、search等线程池完全分离,自身的写入不会影响其他功能的性能。

来查询一下ES当前的线程情况:

其中

最需要关注的是rejected。当某个线程池active==threads时,表示所有线程都在忙,那么后续新的请求就会进入queue中,即queue>0,一旦queue大小超出限制,那么elasticsearch进程将拒绝请求(bulk HTTP状态码429),相应的拒绝次数就会累加到rejected中。

解决方案为优化logstash.yml的参数,修改batch.size参数为3000,增加每次发送的事件数,从而降低调用ES的频率。另外修改worker/output.workers为CPU数。

logstash.yml配置如下:

2)增加Logstash JVM内存,Logstash报错内存溢出

需要修改logstash启动文件bin/logstash

Logstash配置文件如下:

input {

    beats {

        port => 5044

      }

}



filter{

    grok{

        match => {

            "message" => "%{IP:client-ip}(,\s)?(?<proxy-ip>[\d\.,\s]*) (%{USER:ident}|-) (%{USER:auth}|-) \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:verb} %{URIPATH:uri}%{DATA:parameter}(?: HTTP/%{NUMBER:http_version})?|-)\" %{NUMBER:status-code} %{NUMBER:bytes} \"(%{GREEDYDATA:referer}|-)\" \"(%{GREEDYDATA:user-agent}|-)\" (%{BASE16FLOAT:response_time}|-) (%{BASE16FLOAT:request_time}|-) \"(%{GREEDYDATA:cookie}|-)\" \[%{GREEDYDATA:servername}\]"

        }

    }

    if ([uri] =~ "\.(js|css)$"){

        drop {}

    }

    date {

        match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]

        target => "@timestamp"

    }

    ruby {

        code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60); event.set('@timestamp', event.get('timestamp'))"

    }

    if ([verb] == "POST")

    {

        mutate {

            add_field => {"dynamic" => 1}

        }

    }

    else if ([verb] == "GET" and [parameter])

    {

        mutate {

            add_field => {"dynamic" => 1}

        }

    }

    else {

        mutate {

            add_field => {"dynamic" => 0}

        }

    }

    mutate {

        remove_field => [ "message" ]

    }

}



output {

    if "_grokparsefailure" not in [tags] {

        elasticsearch {

            hosts => "10.59.0.248:9200"

            index => "nginx_%{+YYYY.MM.dd}"

        }

    }

}

这里grok正则匹配非常耗费性能,可以使用dissect替换。

0x04 ELasticsearch

ElasticSearch是一个基于Lucene的搜索服务器,Lucene是一个开源的全文检索引擎工具包(类似于Java api),而Elasticsearch底层是基于这些包,对其进行了扩展,提供了比Lucene更为丰富的查询语言,可以非常方便的通过Elasticsearch的HTTP接口与底层Lucene交互。Elasticsearch是Lucene面向企业搜索应用的扩展,极大的缩短研发周期。

在if [ -x “$JAVA_HOME/bin/java” ]; then上添加两行

启动时遇到其他问题汇总:

1) 启动 elasticsearch 如出现异常  can not run elasticsearch as root

解决方法:创建ES 账户,修改文件夹 文件 所属用户 组

2) 启动异常:ERROR: bootstrap checks failed

system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

解决方法:在elasticsearch.yml中配置bootstrap.system_call_filter为false,注意要在Memory下面:

3) 启动后,如果只有本地可以访问,尝试修改配置文件 elasticsearch.yml中network.host(注意配置文件格式不是以 # 开头的要空一格, : 后要空一格)

为 network.host: 0.0.0.0

默认端口是 9200

注意:关闭防火墙 或者开放9200端口

4) ERROR: bootstrap checks failed

解决方法:切换到root用户,编辑limits.conf 添加类似如下内容

添加如下内容:

5)

解决:切换到root用户,进入limits.d目录下修改配置文件。

修改如下内容:

#修改为

6)

解决:切换到root用户修改配置sysctl.conf,添加下面配置:

并执行命令:

然后,重新启动elasticsearch,即可启动成功。

Elasticsearch Master配置文件如下:

0x05 ELasticsearch plugins

1) Head插件

下载Node.js:

配置node.js环境变量:

执行source /etc/profile使环境变量生效

查看当前head插件目录下有无node_modules/grunt目录:

没有则执行命令创建:

安装head插件:

编辑Gruntfile.js

文件93行添加

检查head根目录下是否存在base文件夹,没有:将 _site下的base文件夹及其内容复制到head根目录下

修改elasticsearch.yml,添加:

启动grunt server:在head下运行

访问head插件:http://localhost:9100

2) bigdesk插件

bigdesk是elasticsearch的一个集群监控工具,可以通过它来查看es集群的各种状态,如:cpu、内存使用情况,索引数据、搜索情况,http连接数等。

安装步骤:

git clone https://github.com/hlstudio/bigdesk

cd bigdesk/_site/

python -m SimpleHTTPServer

0x06 ELasticsearch 优化

1) shard与Replicas

shard不能修改,一个node不要超过2个shard。

replica只会参与读操作,它的主要作用就是提高集群错误恢复的能力,并且可以在集群建立之后变更。

2) 索引存储

最好是使用SSD,没有的话,最好将es数据节点配置多个数据存储路径,尽量避免使用远程文件系统存储,如NFS 或 SMB。

3) “refresh_interval”: “30s”

优化点: 减少刷新频率,降低潜在的写磁盘性能损耗

另外如果需要一次加载较大的数据量进 index 里面时,可以先禁用 refresh ,把 index.refresh_interval 设置成为 -1 ,把 index.number_of_replicas 设置成 0。暂时把多个shard副本关闭,这样做可以大大加快索引速度。当初始化索引完成,可以将 index.refresh_interval 和 index.number_of_replicas 设置回原来的值。

4) translog优化

Lucene只有在commit的时候才会把之前的变更持久化存储到磁盘(每次操作都写到磁盘的话,代价太大),在commit之前如果出现故障,上一次commit之后的变更都会丢失

为了防止数据丢失,Lucene会把变更操作都记录在translog里,在出现故障的时候,从上次commit起记录在translog里的变更都可以恢复,尽量保证数据不丢失

Lucene的flush操作就是执行一次commit,同时开始记录一个新的translog,所以translog是用来记录从上次commit到下一次commit之间的操作的

flush操作的频率是通过translog的大小控制的,当translog大小达到一定值的时候就执行一次flush,对应参数为index.translog.flush_threshold_size,默认值是512mb,这里调整为1gb,减少flush的次数

translog本身是文件,也需要存储到磁盘,它的存储方式通过index.translog.durability和index.translog.sync_interval设定。默认情况下,index.translog.durability=request,意为每次请求都会把translog写到磁盘。这种设定可以降低数据丢失的风险,但是磁盘IO开销会较大

这里采用异步方式持久化translog,每隔30秒写一次磁盘

{

  "index": {

      "translog": {

          "flush_threshold_size": "1gb",

          "sync_interval": "30s",

          "durability": "async"

      }

  }

}

5) 429错误

增加bulk的queue大小

改配置会增加JVM内存,修改config/jvm.options

-Xms8g

-Xmx8g

建议配置为物理内存的一半,因为文件系统缓存是为了缓冲磁盘的IO操作。至少确保有一半机器的内存保留给操作系统,并且JVM内存不要超过32G。

6)

index由多个shard组成,每个shard又分成很多segment,segment是index数据存储的最小单位。segment比较多的时候会影响搜索性能,ES通过merge对小的segment进行合并,优化查询性能。但是合并过程中会消耗较多磁盘IO,会影响查询性能。Elasticsearch 5 采用了多线程去执行merge,可以通过修改index.merge.scheduler.max_thread_count 来动态调整这个线程数,默认的话是通过下面公式去计算:

要注意的是如果你是用HDD而非SSD的磁盘的话,最好是用单线程为妙。
 

另外也可以手工进行merge操作,这里有3个参数可以用

max_num_segments 期望merge到多少个segments,1的意思是强行merge到1个segment

only_expunge_deletes 只做清理有deleted的segments,即瘦身

flush 清理完执行一下flush,默认是true

你可以用下面的URL来执行强行的merge

[root@localhost elasticsearch55]# curl -XPOST "http://localhost:9200/nginx_2018.04.12/_forcemerge?max_num_segments=1"

{"_shards":{"total":5,"successful":5,"failed":0}}

7) 避免内存交换

设置为true来锁住内存不进行swapping,因为当jvm开始swapping时es的效率会降低。

0x07 告警配置

告警方面可以选择Elastalert

这里我以单IP高频请求api监控为例,查询语句如下:

{

  "size": 0,

  "query": {

    "bool": {

      "must": [

        {

          "range": {

            "timestamp": {

              "from": "%d",

              "to": "%d"

            }

          }

        },

        {

          "term": {

            "status-code": {

              "value": "200"

            }

          }

        },

        {

          "term": {

            "dynamic": {

              "value": 1

            }

          }

        }                                  

      ]

    }

  },

  "aggs": {

    "group_by_clientip": {

      "terms": {

        "field": "client-ip",

        "order": {

          "_count": "desc"

        },

        "min_doc_count": %d

      },

      "aggs": {

        "group_by_servername": {

          "terms": {

            "field": "servername",

            "size": 2,

            "order": {

              "_count": "desc"

            }

          }

        }

      }

    }

  }

}

参考文章:

https://cloud.tencent.com/developer/article/1006124

https://www.jianshu.com/p/9b872a41d5bb

FLy_鹏程万里
关注
在CentOS release 6.5 (Final) 安装ELK(Elasticsearch+Logstash+Kibana)
sunjianbin008的博客
04-22 301
一个朋友总催着我把ELK的安装文档整理出来给他,但是本人自我感觉有的时候比较懒,所以就一直没有整理,这不今天是周末,我就抽空整理了一下ELK安装及测试过程,网上ELK安装的文档有很多,本人也是结合网上加上自己亲自动手安装整理的下面的安装步骤,如果整理的有哪里不对的地方,很乐意听各位大神的指点,目前只是单机器安装,没有做集群,等有空在整理集群的安装步骤吧,我相信大家都知道什么是ELK,但是还是简单介...
centos 6.5配置mysql5.5
07-21
在 CentOS 6.5 上安装并配置 MySQL 5.5 是一项常见的任务,尤其是对于那些希望在服务器环境中部署稳定、可靠的数据库服务的系统管理员来说。本文将详细介绍如何在 CentOS 6.5 系统上安装 MySQL 5.5,并进行必要的...
centos6.5下安装配置ELK收集nginx日志
weixin_34138139的博客
12-02 129
Elasticsearch 是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash 是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用(如,搜索)kibana 也是一个开源和免费的工具,他Kibana可以为 Logstash 和 ElasticSear...
Centos6下搭建ELK
weixin_30273175的博客
02-27 107
网上关于ELk的搭建有很多,下面是我搭建的过程,记录下来。 一、概念 ELK由三个部分组成。 logstash: 分析和收集日志,logstash有agent和indexer两个角色. elasticsearch: 搜索功能。 kibana: 提供Web功能。 二、搭建ElasticSearch 2.1 基本环境搭建 关闭防火墙或者放...
centos6上搭建ELK平台
小小郭
09-14 1847
概述ELK是 elasticsearch + logstash + kibana 的简称。这套组合类似于MVC模型,其中logstash是controller层,数据首先传给它,它负责将数据进行过滤和格式化;elasticsearch是model层,负责数据的存储,建立搜索索引;kibana是view层,负责数据的展示。 所以使用中会涉及到以下几个知识 O(∩_∩)O~ elasticsearc
centos6.5下的elk部署
weixin_34138377的博客
08-11 131
1、介绍 elk是实时日志分析平台,主要是为开发和运维人员提供实时的日志分析,方便人员更好的了解系统状态和代码问题。2、elk中的e(elasticsearch):(2.1)先安装依赖包,官方文档说明使用java1.8yum -y install java-1.8.0-openjdk安装elasticsearch:tar zvxf elasticsearch-1.7.0....
centos6.5下Nginx简单安装教程
09-30
在Linux系统中,CentOS 6.5是一个广泛使用的版本,而Nginx是一个高性能的Web服务器和反向代理服务器,常用于网站部署和负载均衡。这篇教程将详细介绍如何在CentOS 6.5上安装Nginx。 首先,我们需要配置Nginx的官方...
centos6.5通过yum安装nginx
09-15
本文将详细介绍如何通过YUM包管理器在CentOS 6.5上安装Nginx以及进行基本的配置。 首先,我们需要确保系统的更新是最新的,可以通过执行以下命令来更新系统: ```bash yum update ``` 在尝试安装Nginx时,可能会...
CentOS6.5系统简单安装与配置Nginx服务器的方法
09-15
本篇文章将详细讲解如何在CentOS 6.5系统上安装和配置Nginx服务器,这对于搭建Web服务或者作为反向代理服务器至关重要。 首先,我们需要确保系统已经安装了必要的依赖包。在安装Nginx之前,需要先安装g++、gcc、...
centos6 - elk基础入门搭建
weixin_33827731的博客
07-28 81
[root@host-192-168-53-108~]#rm-rf/etc/yum.repos.d/* [root@host-192-168-53-108~]#wget-O/etc/yum.repos.d/CentOS-Base.repohttp://mirrors.aliyun.com/repo/Centos-6.repo [root@host-192-1...
centos6.5安装ELK
y_y_y_k_k_k_k的专栏
05-25 904
一:简介 ELK由Elasticsearch、Logstash和Kibana三部分组件组成; Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行收集、分析,并将其存储供以后使用 kibana 是一
centos6下搭建ELK-6.5.3
sujin的博客
01-10 746
安装准备 内存最少4G    jdk环境1.8 关闭防火墙与内核机制 service iptables stop &amp;&amp; setenforce 0 1. 配置java环境1.8 vim /etc/profile #set java export JAVA_HOME=/usr/local/jdk1.8.0_162 export PATH=$JAVA_HOME/bin:...
centos7--ELK服务监控nginx日志
weixin_44952149的博客
03-30 422
一、部署nginx,以及创建索引 1、导入nginx包,安装nginx依赖以及部署,并启动nginx服务 2 关闭防火墙以及selinux 2、进入配置路径并编写正则的过滤文件 3、编写管道配置文件以及模块配置 修改完成后重新启动logstash systemctlrestartlogstash 4、使用ab压测命令增加一些日志 ...
Centos6 下安装 ELK6.4.1
weixin_34315189的博客
09-30 111
资源路径JAVAhttp://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html ELKhttps://www.elastic.co/ 安装目录:/usr/local/elasticsearch/usr/local/logstash/usr/local/kibana 服务端安装 一、JDK安装1、...
centos6搭建elk
weixin_34124577的博客
11-21 87
ELK由Elasticsearch、Logstash和Kibana三部分组件组成; Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行收集、分析,并将其存储供以后使用 kibana...
CentOS6 搭建ELK套件搭建日志分析和监控平台
weixin_34112208的博客
08-29 114
ELK套件(ELK stack)是指ElasticSearch、Logstash和Kibana三件套。这三个软件可以组成一套日志分析和监控工具。环境准备为了正常使用HTTP服务等,需要关闭防火墙:#serviceiptablesstop或者可以不关闭防火墙,但是要在iptables中打开相关的端口:#vim/etc/sysconfig/iptables -AI...
centos6.0安装ELK5.2(elasticsearch安装)
weixin_34218579的博客
03-07 141
实验环境:CentOS6.8版本安装ELK5.2,5.0开始之后的版本多了很多环境的校验,比如jdk,max-files等等。此次实验我所使用的安装包全都是rpm包。实验开始前先修改一些内核参数防止后期报错:#vim /etc/security/limits.conf*softnofile65536 *hardnofile65536#vim /etc/sysct...
[elk]-centos6.4 安装elk (elasticsearch logstash kibana)
爷来辣的博客
08-13 703
Centos6.4 安装elk (elasticsearch logstash kibana) elasticsearch 安装elasticsearch 以及插件head 采用二进制文件安装elasticsearch6.3.2 下载elasticsearch-6.3.2.tar.gz到/usr/local cd /usr/local tar -zxvf e...
CentOS 6.5上配置MySQL 5.5的详细教程
在 CentOS 6.5 系统上安装和配置 MySQL 5.5 是一个常见的需求,因为 MySQL 是一款广泛使用的开源关系型数据库管理系统。以下步骤将指导您如何通过 RPM 包管理器安装 Remi 的额外存储库,以便获取最新版本的 MySQL,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值