日志分析系统 [ 1 ] --- Elastic Stack 单节点部署,集群部署

最新推荐文章于 2023-11-16 22:37:56 发布
最新推荐文章于 2023-11-16 22:37:56 发布
阅读量368 收藏
点赞数
分类专栏: 从零开始的日志分析系统 文章标签: elasticsearch centos 日志收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Houaki/article/details/111875783
版权

文章目录

小知识:
环境变量目录 /etc/profile
修改以后需要更新 source /etc/profile

Elastic Stack 单节点部署

框架结构
192.168.116.159 ela1
192.168.116.155 ela2
192.168.116.166 ela3

一、二进制压缩包方式下载和安装

不同的版本依赖不同版本的 Java
官方链接:https://www.elastic.co/cn/support/matrix#matrix_jvm

1.下载二进制压缩包

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.0-linux-x86_64.tar.gz

总结几点:

5.x 版本和更高的版本都可以使用 JDK 1.8
JDK 的版本不是越高越好,大部分都不支持 JDK 9 和 10
从6.5 版本开始支持 JDK11

2.解压安装

[root@ela1 ~]# ls
elasticsearch-7.10.0-linux-x86_64.tar.gz 
[root@ela1 ~]# tar -xf elasticsearch-7.10.0-linux-x86_64.tar.gz -C /usr/local/

目录结构介绍

目录配置文件描述
bin脚本文件,包括启动 elasticsearch,安装插件。运行统计数据等
configelasticsearch.yml集群配置文件,user,role based 相关配置
JDKJava 运行环境
datapath.data数据文件
libJava 类库
logspath.log日志文件
modules包含所有 ES 模块
plugins包含所有已安装插件

3.运行 修改节点权限

[root@ela1 ~]# useradd elastic
[root@ela1 ~]# chown -R elastic.elastic /usr/local/elasticsearch-7.10.0

4.切换用户并启动

[root@ela1 ~]# su - elastic
[elastic@ela1 root]$ /usr/local/elasticsearch-7.10.0/bin/elasticsearch
# 启动后会卡在那里不动,需要重新打开一个页面

# 或者后台运行 则不需要重新开页面
[elastic@ela1 root]$ /usr/local/elasticsearch-7.10.0/bin/elasticsearch -d

# or指定到文件放进程
[elastic@ela1 root]$ /usr/local/elasticsearch-7.10.0/bin/elasticsearch -d -p /tmp/elasticsearch.pid

注:如果误以 root 账户启动会生成文件 需要删掉才可继续执行

[root@ela1 ~]# ls -l /usr/local/elasticsearch-7.10.0/config/
总用量 40
-rw-rw---- 1 root root   199 12月 27 22:11 elasticsearch.keystore
[root@ela1 ~]# rm -rf /usr/local/elasticsearch-7.10.0/config/elasticearch.keystore

5.查看状态

[elastic@ela1 root]$ ss -ntal
State       Recv-Q Send-Q     Local Address:Port                    Peer Address:Port              
LISTEN      0      128                    *:22                                 *:*                  
LISTEN      0      128       [::ffff:127.0.0.1]:9200                            [::]:*                  
LISTEN      0      128       [::ffff:127.0.0.1]:9300                            [::]:*                  
LISTEN      0      128                 [::]:22                              [::]:* 
[elastic@ela1 root]$ curl http://localhost:9200/
{
  "name" : "Ela",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "o8iFoxkGRhWR7kyUIcpZxw",
  "version" : {
    "number" : "7.10.0",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "51e9d6f22758d0374a0f3f5c6e8f3a7997850f96",
    "build_date" : "2020-11-09T21:30:33.964949Z",
    "build_snapshot" : false,
    "lucene_version" : "8.7.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

到目前为止,已经成功了运行了一个节点的 Elasticsearch。

注意: 这里只是启动了一个节点,Elasticsearch 本身是支持集群的,集群至少三个节点。后面章节如何启动一个集群。

默认端口号是 :
9200 用于外部访问的监听端口,比如查看集群状态,向其传输数据,查询数据等
9300 用户集群中节点之间的互相通信,比如主节点的选举,集群节点信息的通告等。

二、集群部署

1.条件:

集群最少 3 个节点, 集群的每个节点都需要使用非 root 用户启动。
如果root启动会报错

2.节点上设置系统内核参数

设置内存映射

[root@ela1 ~]# sysctl -w vm.max_map_count=262144 > /etc/sysctl.conf
[root@ela1 ~]# sysctl -p
vm.max_map_count = 262144

还需要设置关于这个进程可以打开的文件描述符数量

[root@ela1 ~]# tail /etc/security/limits.conf
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4

# End of file

* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096

3.设置集群参数

编译配置文件 /usr/local/elasticsearch-7.10.0/config/elasticsearch.yml

# ela1 设置

cluster.name: elk
node.name: ela1
node.data: true
network.host: 0.0.0.0
http.port: 9200

discovery.seed_hosts:

   - 192.168.116.159
   - 192.168.116.155
   - 192.168.116.166
     cluster.initial_master_nodes: ["ela1", "ela2", "ela3"]

# ela2 设置

cluster.name: elk
node.name: ela2
node.data: true
network.host: 0.0.0.0
http.port: 9200

discovery.seed_hosts:

   - 192.168.116.159
   - 192.168.116.155
   - 192.168.116.166
     cluster.initial_master_nodes: ["ela1", "ela2", "ela3"]

# ela3设置

cluster.name: elk
node.name: ela3
node.data: true
network.host: 0.0.0.0
http.port: 9200

discovery.seed_hosts:

   - 192.168.116.159
   - 192.168.116.155
   - 192.168.116.166
     cluster.initial_master_nodes: ["ela1", "ela2", "ela3"]

discovery.seed_hosts: 的参数可以换成ela1 2 3 或者 ip 后面加 端口9300(因为默认为9300)
cluster.initial_master_nodes 的参数 都可以换成ip

参数说明

cluster.name 集群名称,各节点配成相同的集群名称。
node.name 节点名称,各节点配置不同。
node.data 指示节点是否为数据节点。数据节点包含并管理索引的一部分。
network.host 绑定节点IP。
http.port 监听端口。
path.data 数据存储目录。
path.logs 日志存储目录。
discovery.seed_hosts 指定集群成员,一般主动发现他们
cluster.initial_master_nodes 指定有资格成为 master 的节点
http.cors.enabled 用于允许head插件访问ES。
http.cors.allow-origin 允许的源地址。

注意:
当您为提供自定义设置时 network.host,Elasticsearch会假设您正在从开发模式过渡到生产模式,并将许多系统启动检查从警告升级到异常。
cluster.initial_master_nodes 中的节点名称需要和 node.name 的名称一致。

4 启动集群

在每个节点上启动 elasticsearch 进程

切换到普通用户 elastic

su - elastic

执行如下命令

cd /usr/local/elasticsearch-7.10.0

./bin/elasticsearch -d -p /tmp/elasticsearch.pid

-d 后台运行
-p 指定一个文件,用于存放进程的 pid

5 日志

[elastic@ela1 ~]$ cat /usr/local/elasticsearch-7.10.0/logs/elk.log 
[2020-12-28T02:35:50,116][INFO ][o.e.n.Node               ] [ela1] version[7.10.0], pid[10362], build[default/tar/51e9d6f22758d0374a0f3f5c6e8f3a7997850f96/2020-11-09T21:30:33.964949Z], OS[Linux/3.10.0-1127.19.1.el7.x86_64/amd64], JVM[AdoptOpenJDK/OpenJDK 64-Bit Server VM/15.0.1/15.0.1+9]
[2020-12-28T02:35:50,121][INFO ][o.e.n.Node               ] [ela1] JVM home [/usr/local/elasticsearch-7.10.0/jdk], using bundled JDK [true]

6 查看集群健康状态

[elastic@ela1 ~]$ curl -X GET "localhost:9200/_cat/health?v"
epoch      timestamp cluster status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1609141145 07:39:05  elk     green           1         1      0   0    0    0        0             0                  -                100.0%

7 查看集群节点信息

[elastic@ela1 ~]$ curl -X GET "localhost:9200/_cat/nodes?v"
ip              heap.percent ram.percent cpu load_1m load_5m load_15m node.role  master name
192.168.116.155           15          99   6    0.44    0.33     0.46 cdhilmrstw *      ela2
192.168.116.166           13          96   8    0.67    0.89     0.85 cdhilmrstw -      ela3
192.168.116.159           18          97  10    0.25    0.19     0.27 cdhilmrstw -      ela1

8 出现的问题及解决办法

1.如果本机有多个ip地址 需要指定监听ip地址 不能写0.0.0.0 ,否则会出错
或者只留一个ip地址 就没错了

2.报错503 没有发现master,无法返回信息
查看自己 没有发现错误

[root@prod ~]# curl  http://localhost:9200/
{
  "name" : "prod",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "nYkwCL9YQEinaJk2dstK0w",
  "version" : {
    "number" : "7.10.0",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "51e9d6f22758d0374a0f3f5c6e8f3a7997850f96",
    "build_date" : "2020-11-09T21:30:33.964949Z",
    "build_snapshot" : false,
    "lucene_version" : "8.7.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

但是

[root@prod ~]#http://localhost:9200/_cat/nodes?pretty

{   "error" : {     "root_cause" : [       {         "type" : "master_not_discovered_exception",         "reason" : null       }     ],     "type" : "master_not_discovered_exception",     "reason" : null   },   "status" : 503 }

解决

#删除默认配置文件之前的配置信息

rm -rf  /var/log/elasticsearch/*
rm -rf  /var/lib/elasticsearch/* #尤其是这个下面的nodes文件

3.集群问题 查看节点信息只能看到自己 (自己是自己的master)

# 找到进程
[elastic@ela1 ~]$  cd /usr/local/elasticsearch-7.10.0/
[elastic@ela1 elasticsearch-7.10.0]$ jdk/bin/jps
8244 Jps
7526 Elasticsearch

# 杀死进程
[elastic@ela1 elasticsearch-7.10.0]$ kill -9 7526

# 删除零时文件 
[elastic@ela1 elasticsearch-7.10.0]$ rm -rf /tmp/elasticsearch-*

# 删除数据目录中的所有文件 生产环境不要随便删除
[elastic@ela1 elasticsearch-7.10.0]$ rm -rf data/*

# 删除 keystore 文件
[elastic@ela1 elasticsearch-7.10.0]$ rm -rf config/elasticsearch.keystore

# 重新启动进程
[elastic@ela1 elasticsearch-7.10.0]$ ./bin/elasticsearch -d -p /tmp/elk.pid

9 关闭 Elasticsearch 进程

pkill -F /tmp/elasticsearch.pid

10 重要的集群参数

10.1 设置堆内存大小

Elasticsearch将通过在 jvm.options中指定Xms(最小堆大小 )和 Xmx(最大堆大小)的大小来设置 整个堆 。这两个设置必须彼此相等。

这些设置的值取决于服务器上可用的RAM数量:
设置Xmx和Xms 的大小应该不超过你物理内存的50%。
而且最大不能超过32G

[root@ela1 ~]# vim /usr/local/elasticsearch-7.10.0/config/jvm.options
-Xms1g
-Xmx1g
10.2 设置JVM堆转储路径

默认情况下,Elasticsearch将JVM配置为将内存不足异常上的堆转储到默认数据目录。
在RPM和 Debian软件包中,数据目录为 /var/lib/elasticsearch
使用二进制文件部署时,该data目录位于Elasticsearch安装目录的根目录下。
如果该路径不适合于接收堆转储,应该通过在 jvm.options 中设置条目 XX:HeapDumpPath=... 来改变此值。

[root@ela1 ~]# vim /usr/local/elasticsearch-7.10.0/config/jvm.options
-XX:HeapDumpPath=data
10.3设置 GC日志记录

默认情况下,Elasticsearch启用垃圾收集(GC)日志。
它们在 jvm.options中配置,并输出到和 Elasticsearch 日志相同的默认目录下。默认配置每64 MB轮换一次日志,最多可消耗2 GB磁盘空间。

# JDK 9+ GC logging
[root@ela1 ~]# vim /usr/local/elasticsearch-7.10.0/config/jvm.options
9-:-Xlog:gc*,gc+age=trace,safepoint:file=logs/gc.log:utctime,pid,tags:filecount=32,filesize=64m

修改默认值
这里的示例是关闭默认的日志配置参数
并将日志输出到 /opt/my-app/gc.log

这里通过创建$ES_HOME/config/jvm.options.d/gc.options 子配置文件的方式设置新的 gc 日志输出参数

# 关闭所有以前的日志配置
-Xlog:disable

# Default settings from JEP 158, but with `utctime` instead of `uptime` to match the next line
-Xlog:all=warning:stderr:utctime,level,tags

# Enable GC logging to a custom location with a variety of options
-Xlog:gc*,gc+age=trace,safepoint:file=/opt/my-app/gc.log:utctime,pid,tags:filecount=32,filesize=64m
10.4 设置临时目录

默认情况下,Elasticsearch使用启动脚本在系统临时目录下立即创建的私有临时目录。这个零时目录通常在系统的 /tmp 目录下。

在某些Linux发行版中,如果最近未访问过 /tmp 下的文件和目录,则系统实用程序将从中清除文件和目录,此行为可能会导致在运行Elasticsearch时删除私有临时目录。如果 Elasticsearch 随后使用了该目录,则删除私有临时目录会导致问题。

如果您使用 .deb.rpm 软件包安装的Elasticsearch并运行在 systemd 下,则定期清理将排除Elasticsearch使用的私有临时目录。

如果使用 .tar.gz 包部署的集群,那应该考虑给每个集群中的节点创建专用的临时目录,该目录应设置权限,以便只有运行Elasticsearch的用户(此文中是:elastic)才能访问它。
然后,在启动Elasticsearch之前,将环境变量 $ES_TMPDIR 设置为该目录。

以下步骤在每个节点上执行

1 切换为 root 用户

su - root

2 创建目录并改变属主和属组

mkdir /opt/ela

chown elastic:elastic  /opt/ela/

3 切换为普通用户 elastic, 并声明环境变量

su - stastic

4 声明环境变量

export ES_TMPDIR=/opt/ela

5 重新启动 Elasticsearch

./bin/elasticsearch -d -p /opt/ela/elasticsearch.pid
Nekoosu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elastic Stack ELK日志分析平台介绍及使用
程序员光剑
08-04 1464
18年,Elasticsearch、Logstash、Kibana(ELK)以及Apache Kafka等开源技术在数据处理和日志分析领域广受关注。作为一款开源分布式搜索和分析引擎,Elastic Stack 无疑是最热门的企业级日志解决方案之一。基于它的ELK组件架构可以快速搭建日志分析平台,支持复杂日志检索、提取、分析功能,具备强大的可视化能力,还可以通过RESTful API接口调用或Python客户端进行扩展。ELK是ELK Stack中的最后一环,用于将日志信息实时地收集、存储、分析并呈现给用户。
es集群启动后会提示如下错误:
weixin_44038496的博客
01-17 2181
{ "error" : { "root_cause" : [ { "type" : "master_not_discovered_exception", "reason" : null } ], "type" : "master_not_discovered_exception", "reason" : null }, "status" : 503 }
节点ELK日志分析平台部署指导
大江东去
07-29 226
(一)服务器信息概览: 操作系统CentOS Linux release 7.6.1810 (Core) 服务器配置推荐:8vCPU 16G100G Elasticsearch版本:7.8.0(目前的最新版) Kibana版本:7.8.0 Logstash版本:7.8.0 (二)简要说明 ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器 Beats。 Elasticsearch :分布式搜索引擎。 具有高可伸缩
ELK日志分析系统安装,节点(一)
weixin_33912445的博客
09-20 214
ELK日志分析系统安装,节点(一)(CentOS 6.5)一、简介1、核心组成ELK由Elasticsearch、Logstash和Kibana三部分组件组成;Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash是一个完全开源的工具,它可以对你的...
ElasticStack日志分析平台-ES 集群、Kibana与Kafka
最新发布
weixin_61428407的博客
11-16 2371
ElasticStack日志分析平台-ES 集群、Kibana与Kafka
部署ELK日志分析系统ElasticSearch集群
obsessiveY的博客
04-09 632
部署ELK日志分析系统ElasticSearch集群 一.没有ELK会出现什么问题? 1.通常服务器产生的日志信息都存储在计算机本地,当使用多服务器做集群时,日志也会被分散存储到不同的服务器上,分别去查阅这些日志信息,不但繁琐而且效率低下。 2.最好的办法就是将所有日志集中存储到一台服务器上统一管理和查阅,这就是集中化的日志管理方式。 3.集中化日志管理之后,另外一件比较麻烦的事情就是日志的统计...
elasticserch报错{“error“:{“root_cause“:[{“type“:“master_not_discovered_exception“,“reason“:null}],“sta
ksfbvv的博客
05-09 865
elasticsearch 报错处理
elasticstack部署完全版
09-19
通过以上步骤,我们可以成功地部署一套基于Elasticsearch 6.2.3版本的ElasticStack集群,并通过Kafka实现高可用性,极大地提高了系统的稳定性和可靠性。在实际部署过程中,还需要根据具体的业务需求和硬件资源情况对...
Elastic:使用Kafka部署Elastic Stack
01-20
1. **Elasticsearch** 需要在配置文件`elasticsearch.yml`中设置`network.host`为本地IP地址,以允许远程访问,并添加`discovery.type: single-node`声明为节点集群。重启服务后,通过访问IP:9200确认Elastic...
ElasticStack部署手册【E~+L+K+B】6.2.3
05-21
ElasticStack是由Elasticsearch、Logstash、Kibana和Beats四个组件组成的开源工具集合,广泛用于日志管理和数据分析。本手册将详细介绍如何在Linux环境下,特别是基于Red Hat Enterprise Linux Server 6.1和CentOS ...
ELK日志分析平台(一)----elasticsearch
uikotygiug的博客
01-03 816
1.介绍 ElasticSearch是一个分布式,高性能、高可用、可伸缩、RESTful 风格的搜索和数据分析引擎。通常作为Elastic Stack的核心来使用,Elastic Stack大致是如下这样组成的: ES是一个近实时(NRT)的搜索引擎,一般从添加数据到能被搜索到只有很少的延迟(大约是1s),而查询数据是实时的。一般我们可以把ES配合logstash,kibana来做日志分析系统,或者是搜索方面的系统功能,比如在网上商城系统里实现搜索商品的功能也会用到ES。 - El..
es error master_not_discovered_exception 503
qq_15138049的博客
12-03 817
k8s es [root@k8s-node-01 elk-01]# kubectl get pod -n flink NAME READY STATUS RESTARTS AGE es-cluster-master-6644f585cf-ds9lf 1/1 Running 0 7s es-cluster-master-6644f585cf
ElasticSerach Url报错503
qq_43233213的博客
01-29 1504
ElasticSerach Url报错503删除默认目录的文件 删除默认目录的文件 查了很多资料,再看自己的没毛病 配置文件: cluster.name: hang node.name: node-1 node.master: true transport.host: 192.168.44.192 transport.tcp.port: 9300 path.data: /var/lib/elast...
Elasticsearch启动报错master_not_discovered_exception
Wang__dream的博客
11-21 9520
第一次安装,启动后提示 解决办法 将elasticsearch.yml 中这个注释放开 node.name: node-1
ES集群
weixin_30684743的博客
03-26 310
1. ElasticSerach集群安装 修改配置文件elasticserach.yml [elk@localhost config]$ vi elasticsearch.yml # ---------------------------------- Cluster ----------------------------------- # Use a descri...
ElasticSearch入门(一)节点初体验
Heartsuit的博客
02-20 1288
背景 What:ElasticSearch 是一个分布式、RESTful风格的搜索和数据分析引擎。以下简称ES。 Features: 具有近实时的全文检索能力、极其方便的横向扩展能力,怎么理解呢?可以简理解为快、有弹性。 Why: 我们知道要在传统的RDBMS中做搜索,尤其是全文搜索时,我们的选择基本就是LIKE,这在数据量大时,性能急剧下降;ES作为MySQL等关系型数据库的LIK...
CentOS6安装机版elasticsearch集群版的过程中遇到的错误
Lu_Xiao_Yue的博客
12-01 5721
在修改elasticSearch的配置文件后,启动es,报错 1、错误一 max virtual memory areas vm.max_map_count [65530] likely too low, increase to at least [262144] max file descriptors [4096] for elasticsearch process likely to...
linux部署出错:discovered: en_US.utf8解决
俊俊的小熊饼干的博客
12-04 1786
在执行python前先export LANG=en_US.utf8
Elasticse报错-org.elasticsearch.discovery.MasterNotDiscoveredException: null
热门推荐
Destiny的博客
05-30 1万+
Issue [2019-05-28T23:16:19,548][WARN ][r.suppressed ] [elasticsearch-01] path: /_cat/health, params: {pretty=, v=} org.elasticsearch.discovery.MasterNotDiscoveredException: null at org.el...
RHEL8/CentOS8多节点Elastic Stack集群部署教程
在 RHEL8/CentOS8 上建立多节点 Elastic Stack 集群是 IT 管理者的一项关键任务,它...通过以上步骤,读者将能够成功在 RHEL8/CentOS8 环境下搭建一个多节点Elastic Stack 集群,实现对系统日志的有效管理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值