ELK分布式日志收集

已于 2022-02-14 12:06:58 修改
阅读量604 收藏
点赞数
分类专栏: springcloud 文章标签: 分布式 elk elasticsearch
于 2021-10-25 09:51:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GliangJu/article/details/120946487
版权

一、环境部署

es 要求Linux 的 参数 vm.max_map_count 至少为 262144,目录需要赋权限: chmod -R 777 search

新建docker-compose.yml

version: '3.1'
services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.6.2
    container_name: elasticsearch
    restart: always
    volumes:
      - ./search/es/esdata:/usr/share/elasticsearch/data
      #- ./search/config/es01/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
      - ./search/es/logs/elasticsearch:/usr/share/elasticsearch/logs
      - ./search/es/plugins/analysis-ik:/usr/share/elasticsearch/plugins/analysis-ik
    environment:
      - discovery.type=single-node
      - "ES_JAVA_OPTS=-Xms4g -Xmx4g"
      - TZ=Asia/Shanghai
    ports:
      - "9200:9200"
      - "9300:9300"
    networks:
      - elk

  kibana:
    image: docker.elastic.co/kibana/kibana:7.6.2
    links:
      - elasticsearch
    environment:
      ELASTICSEARCH_HOSTS: http://elasticsearch:9200
    volumes:
      - ./kibana_config/:/usr/local/kibana/config/
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch 
    networks:
      - elk
    container_name: kibana
    restart: always

  logstash:
    image: docker.elastic.co/logstash/logstash:7.6.2
    links:
      - elasticsearch
    command: logstash -f /etc/logstash/config/logstash.conf  #logstash 启动时使用的配置文件
    volumes:
      - ./search/logstash/config/logstash.conf:/etc/logstash/config/logstash.conf  #logstash 配文件位置
      - ./search/logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml  #logstash 配文件位置
     # - ./search/logstash/log/pv.log:/logs/pv.log #挂载要读取日志文件
    depends_on:
      - elasticsearch  #后于elasticsearch启动
    ports:
      - "4560:4560"
      # - "8065:8065"
      # - "9600:9600"
    networks:
      - elk 
    container_name: logstash

networks:
  elk:

新建./search/es/plugins/analysis-ik安装ik分词器

https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v7.6.2/elasticsearch-analysis-ik-7.6.2.zip

新建./search/logstash/config/logstash.conf

input {
	tcp {
		mode => "server"
		port => 4560
		codec => json #json格式读取
	}
}
filter {
	json{
		source => "message"
		remove_field => ["host","port","message","@version"] #去掉不要的字段
  }
}

output {
	elasticsearch {
		action => "index"
		hosts  => "172.18.42.142:9200"
		index  => "test_log"
	}
}

新建./search/logstash/config/logstash.yml

http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: ["http://172.0.0.1:9200"] #设置es地址

二、与项目整合

springboot微服务的pom文件添加

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-elasticsearch</artifactId>
</dependency>
<dependency>
    <groupId>net.logstash.logback</groupId>
    <artifactId>logstash-logback-encoder</artifactId>
    <version>6.6</version>
</dependency>

resources/application.yml加入

spring:
    elasticsearch:
        rest:
          uris: http://172.0.0.1:9200 #es地址

resources/logback.xml

<?xml version="1.0" encoding="UTF-8"?>
<!--该日志将日志级别不同的log信息保存到不同的文件中-->
<configuration>
	<include resource="org/springframework/boot/logging/logback/defaults.xml" />

<!--	<springProperty scope="context" name="destination" source="net.logstash.server.hosts"  />-->
	<springProperty scope="context" name="springAppName" source="spring.application.name"  />

	<!-- 控制台输出	-->
	<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
		<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
			<level>INFO</level>
		</filter>
		<!-- 日志输出编码 -->
		<encoder class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
			<providers class="net.logstash.logback.composite.loggingevent.LoggingEventJsonProviders">
				<pattern>
					<pattern>
						{
						"date":"%date{\"yyyy-MM-dd HH:mm:ss.SSS\",UTC}",
						"level":"%level",
						"msg":"%msg"
						}
					</pattern>
				</pattern>
			</providers>
		</encoder>
	</appender>

	<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
		<destination>172.0.0.1:4560</destination>
		<encoder charset="UTF-8"
				 class="net.logstash.logback.encoder.LogstashEncoder">
		</encoder>
	</appender>

	<!--异步日志-->
	<appender name="async" class="ch.qos.logback.classic.AsyncAppender">
		<!--指定摸个具体的 appender-->
		<appender-ref ref="LOGSTASH" />
	</appender>

	<root level="INFO">
<!--		<appender-ref ref="LOGSTASH" />-->
		<appender-ref ref="CONSOLE" />
	</root>

	<!-- 自定义 logger 对象
	name="com.demo.weblog" 设置传入logstash的日志
	additivity="false" 自定义 logger 对象是否继承 rootlogger
	-->
	<logger name="com.demo.weblog" level="info" additivity="false">
	    <appender-ref ref="async" />
	</logger>

</configuration>

es的整合

# domain/WebLog
@Data
@Document(indexName = "test_log",shards = 1,replicas = 1)
public class WebLog {

    @Id
    private String id;

    @Field(type = FieldType.Integer)
    private Integer port;

    @Field(type = FieldType.Text)
    private String message;

    @Field(name = "@version",type = FieldType.Keyword)
    private String version;

    @Field(name = "@timestamp", type = FieldType.Date,format = DateFormat.date_time)
    private Date timestamp;

    @Field(type = FieldType.Keyword)
    private String host;

    private LogMessage lm;
}

# repository/TestRepository
public interface TestRepository extends ElasticsearchRepository<WebLog,String> {
}

# controller/WebLogController
@Api(tags = "es信息接口")
@RestController
public class WebLogController {
    @Autowired
    private TestRepository testRepository;
    
    @ApiOperation(value = "test详情")
    @GetMapping("/testfindById/{id}")
    public R<Optional<WebLog>> testfindById(@PathVariable String id) {
        return R.ok(testRepository.findById(id));
    }
}

三、esAPI用法

pom.xml配置

<properties>
    <java.version>1.8</java.version>
    <elasticsearch.version>7.6.2</elasticsearch.version>
</properties>
<dependency>
   <groupId>org.elasticsearch.client</groupId>
   <artifactId>elasticsearch-rest-high-level-client</artifactId>
   <version>${elasticsearch.version}</version>
</dependency>

测试代码

public static void main(String[] args) throws IOException {
        RestHighLevelClient client = new RestHighLevelClient(
                RestClient.builder(
                        new HttpHost("172.0.0.1", 9200, "http")));

        SearchSourceBuilder sourceBuilder = new SearchSourceBuilder();
        TermQueryBuilder termQueryBuilder  = QueryBuilders.termQuery("serviceName", "11111");
        sourceBuilder.query(termQueryBuilder);//精确
//        sourceBuilder.from(0);
        sourceBuilder.size(1);
//        sourceBuilder.collapse(new CollapseBuilder("serviceName.keyword"));
//        QueryBuilders.rangeQuery("requestTime").gte("2021-10-27T15:38:00").lte("2021-10-27T15:39:00");
//        sourceBuilder.query(QueryBuilders.matchAllQuery());
//        AggregationBuilder aggregationBuilder = AggregationBuilders.dateHistogram("by_time").field("requestTime").fixedInterval(DateHistogramInterval.hours(5));
//        SumAggregationBuilder aggregation =
//                AggregationBuilders
//                        .sum("timeConsuming")
//                        .field("timeConsuming");
//        aggregationBuilder.subAggregation(aggregation);
//        sourceBuilder.aggregation(aggregationBuilder);
        // 2.创建并设置SearchRequest对象
        // 设置request要搜索的索引和类型
        SearchRequest searchRequest = new SearchRequest("test_log");
        // 设置SearchSourceBuilder查询属性
        sourceBuilder.timeout(new TimeValue(60, TimeUnit.SECONDS));
        searchRequest.source(sourceBuilder);


        // 3.查询
        SearchResponse searchResponse = client.search(searchRequest, RequestOptions.DEFAULT);
        log.info(JSON.toJSONString(searchResponse.getHits(), true));
        System.out.println("==============================");
        for (SearchHit documentFields : searchResponse.getHits().getHits()){
            System.out.println(documentFields.getSourceAsMap().get("status"));
        }

        client.close();

    }

四、es问题修复

1,text转keyword

PUT /test_log/_mapping?include_type_name=false
{
  "properties": {
    "type": { 
      "ignore_above": 10, //大于10个字符将不进行索引,即无法检索
      "type":     "keyword"
    }
  }
}
GliangJu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1123
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
分布式ELK日志采集系统
T_karine的博客
12-12 1012
1
分布式日志收集ELK
王小白来了
10-27 1719
ELK简介: ELK=Elasticsearch+ Logstash + Kibana,是同一家公司开发的3个开源工具,可组合起来搭建海量日志分析平台,目前很多公司都在使用这种方式搭建日志分析平台进行大数据分析。 参考:初识ES数据库 Logstash介绍: Logstash是一个完全开源的工具,它可以对你的日志进行收集、过滤、分析,支持大量的数据获取方法,并将其存储供以后使用(如搜索)。说到...
ELK分布式日志收集搭建和使用
z_ssyy的博客
12-09 1355
Kibana是一个基于浏览器页面的Elasticsearch前端展示工具,也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。支持系统日志,webserver日志,错误日志,应用日志,总之包括所有可以抛出来的日志类型。在传统项目中,如果在生产环境中,有多台不同的服务器集群,如果生产环境需要通过日志定位项目的Bug的话,需要在每台节点上使用传统的命令方式查询,这样效率非常底下。
ELK分布式日志系统分享
qq_16082733的博客
06-07 359
ELK, 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。主要负责将日志索引并存储起来,方便业务方检索查询。Logstash主要是用来日志的搜集、分析、过滤日志的工具。
【Springcloud】elk分布式日志
weixin_44823875的博客
09-08 898
(1)什么是分布式日志分布式应用中,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。所以我们使用集中化的日志管理,分布式日志就是对大规模日志数据进行采集、追踪、处理。(2)为什么要使用分布式日志一般我们需要进行日志分析场景:直接在日志文件中grep、awk就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。
基于Docker搭建 ELK分布式日志管理解决方案
学海无涯
03-02 2724
使用ElasticSearch+LogStash+Kibana搭建分布式日志集中管理的解决方案。省事省力。有以下几大好处 1、帮助快速分析与调试程序bug; 2、检查系统是否健康; 3、业务层面能做日志大数据过滤分析; 4、遇到错误时第一时间报警,尤其生产环境特别好用。
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
实现功能 1.可视化展示日志 2.根据日记等级,日志内容,时间匹配日志 ...3.最后kibana将elasticsearch收集日志进行展示 下面详细讲解搭建过程,分成部分 一.环境准备 二 .SpringBoot+logback配置 三.ELK环境搭建 四.
快速搭建ELK日志分析系统
01-27
ELKElasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
java7源码-elk-stack:Elasticlogstashkibana分布式日志收集分析,可视化展示
06-04
ELK,也就是Elasticsearch、Logstash、Kibana三者的结合,是一套开源的分布式日志管理方案. Elasticsearch:负责日志存储、检索和分析 LogStash:负责日志收集、处理 Kibana:负责日志的可视化 方案: 2. 环境搭建...
通过elk收集微服务模块日志.doc
09-27
作为代理安装在服务器上,filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发给ElasticSearch或logstash进行索引。 2.Logstash:Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,...
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+Kibana(ELK)是一套开源的日志管理方案,分析网站的访问情况时我们...Logstash:负责日志收集,处理和储存Elasticsearch:负责日志检索和分析Kibana:负责日志的可视化ELK(Elasticsearch+
文章解读与仿真程序复现思路——电力系统自动化EI\CSCD\北大核心《基于优先指数的配电网分布式储能序次规划》
最新发布
LIANG674027206的博客
05-29 658
提出一种基于优先指数的分布式储能序次规划方法,以指导储能的优化配置和有序接入,解决电网规划过程中实际网架结构不明确和DESS功能复合性强但规划场景单一的问题。电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.论文与完整源程序_电网论文源程序的博客-CSDN博客。
LAMP集群分布式实验报告
2301_79868845的博客
05-29 1323
LAMP架构(Linux、Apache、MySQL、PHP)自1998年提出以来,经过长时间的发展和完善,已经成为非常成熟和稳定的Web开发平台。4.市场需求:随着互联网的普及和Web应用的不断增多,对于高性能、高可靠性和可扩展性的Web平台的需求也在不断增加。通过深入研究和实验,可以推动分布式系统技术的发展和应用,为Web应用提供更加强大和稳定的支持。//如果不是config.inc.php,而是config.sample.inc.php,就将文件改成config.inc.php。
聊聊几种常见的分布式Session解决方案
weixin_45254062的博客
05-26 255
highlight: xcode theme: vuepress 问题引入:什么是分布式Session? 分布式 Session 是指在多台服务器之间共享和管理用户的会话数据,使得用户的会话状态能够在不同的服务器上保持一致。这样,无论用户的请求被路由到哪台服务器,都能够访问到相同的会话信息,从而保证用户体验的一致性。 回顾一下单机服务的 HttpSession 的存储: 在传统的 J...
【云原生 | 59】Docker中通过docker-compose部署ELK
小鹏linux的博客
05-29 1228
各个组件的作用如下: Filebeat:采集文件等日志数据; LogStash:过滤日志数据; Elastic Search:存储、索引日志; Kibana:用户界面;
Elasticsearch 8.1官网文档梳理 - 十三、Search your data(数据搜索)
Wolf_xujie的博客
05-26 582
代表处理该请求所耗费的毫秒数。从节点收到查询后开始,到返回客户端之前,包括在线程池中等待、在集群中执行分布式搜索和收集、排序所有结果所花费的时间。这里有两个比较有用的参数需要注意一下。这强调一下 Response 中的。
Git版本控制
Zorazjj的博客
05-28 912
Git是免费的、开源的,最初Git是为辅助Linux内核开发的,来替代BitKeeper!
ELK收集分析syslog
09-01
ELKElasticsearch, Logstash, Kibana)是一个流行的开源日志管理平台,可以用于收集、分析和可视化各种类型的日志数据,包括syslog。 首先,你需要设置Logstash来收集syslog数据,并将其发送到Elasticsearch进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值