ELK日志监控分析系统

最新推荐文章于 2024-09-18 17:46:57 发布
最新推荐文章于 2024-09-18 17:46:57 发布
阅读量1.1k 收藏 5
点赞数
文章标签: elk elasticsearch 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LK1024zzZ/article/details/129463835
版权

1、什么是 ELK Stack?

那么,ELK 到底是什么呢? “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。

Elastic Stack 是 ELK Stack 的更新换代产品。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LyMVuef2-1678518175643)(null)]

Elasticsearch:这个开源的分布式搜索引擎基于 JSON 开发而来,具有 RESTful 风格。它使用简单,可缩放规模,十分灵活,因此受到用户的热烈好评,而且如大家所知,围绕这一产品还形成了一家专门致力于搜索的公司。

**Logstash和Kibana:**Elasticsearch 的核心是搜索引擎,所以用户开始将其用于日志用例,并希望能够轻松地对日志进行采集和可视化。有鉴于此,我们引入了强大的采集管道 Logstash 和灵活的可视化工具 Kibana。

**Beats:**我们向 ELK Stack 中加入了一系列轻量型的单一功能数据采集器,并把它们叫做 Beats。

img

官网:https://www.elastic.co/cn/what-is/elk-stack

2、ELK常见的几种架构体系

2.1、Elasticsearch + Logstash + Kibana

img

此架构由Logstash分布于各个节点上搜集相关日志、数据,并经过分析、过滤后发送给远端服务器上的Elasticsearch进行存储。Elasticsearch将数据以分片的形式压缩存储并提供多种API供用户查询,操作。用户亦可以更直观的通过配置Kibana Web方便的对日志查询,并根据数据生成报表。

这是最简单的一种ELK架构方式。优点是搭建简单,易于上手。缺点是Logstash耗资源较大,运行占用CPU和内存高。另外没有消息队列缓存,存在数据丢失隐患。

2.2、Elasticsearch + Logstash + Filebeat + Kibana

img

与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,用来部署在客户端,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,此种架构将收集端logstash替换为beats,更灵活,消耗资源更少,扩展性更强。同时可配置Logstash 和Elasticsearch 集群用于支持大集群系统的运维日志数据监控和查询。但是这种架构有一个缺点,没有消息队列缓存,当logstash出现故障,会造成日志的丢失。

2.3、Elasticsearch + Logstash + Filebeat + Redis(Kafka)+ Kibana

img

logstash节点和elasticsearch节点可以根据日志量伸缩节点数量, filebeat部署在每台需要收集日志的服务器上。

此种架构引入了消息队列机制,位于各个节点上的beats先将数据/日志传递给消息队列(kafka、redis、rabbitMQ等),logstash从消息队列取数据进行过滤、分析后将数据传递给Elasticsearch存储。最后由Kibana将日志和数据呈现给用户。因为引入了Kafka(或者Redis),所以即使远端Logstash server因故障停止运行,数据将会先被存储下来,从而避免数据丢失。

工作流程:Filebeat采集—>发到kafka—> logstash处理从kafka缓存的数据进行分析—> 输出到es—> 显示在kibana

这种模式特点:这种架构适合于日志规模比较庞大的情况。但由于 Logstash 日志解析节点和 Elasticsearch 的负荷比较重,可将他们配置为集群模式,以分担负荷。引入消息队列,均衡了网络传输,从而降低了网络闭塞,尤其是丢失数据的可能性。

3、Docker部署ELK日志监控分析系统

3.1、下载需要的镜像

docker pull elasticsearch:7.17.7
docker pull logstash:7.17.7
docker pull kibana:7.17.7

3.2、下载docker-compose命令

下载dokcer-compose

curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

给dokcer-compose权限

sudo chmod +x /usr/local/bin/docker-compose

3.3、编写配置文件

# 系统下创建目录架构
opt
    elk
        elasticsearch
            data #必须拥是777权限
            elasticsearch.yml
        kibana
            kibana.yml
        logstash
            pipeline
            logstash.conf
            logstash.yml
        docker-compose.yml

touch -p /opt/elk/docker-compose.yml
mkdir -p /opt/elk/elasticsearch/data
touch -p /opt/elk/elasticsearch/elasticsearch.yml
sudo chmod 777 /opt/elk/elasticsearch/data
touch -p /opt/elk/kibana/kibana.yml
touch -p /opt/elk/logstash/pipeline/logstash.conf
touch -p /opt/elk/logstash/logstash.yml

elasticsearch.yml内容如下

## Default Elasticsearch configuration from Elasticsearch base image.
### https://github.com/elastic/elasticsearch/blob/master/distribution/docker/src/docker/config/elasticsearch.yml
cluster.name: "docker-cluster"
network.host: 0.0.0.0
### X-Pack settings
### see https://www.elastic.co/guide/en/elasticsearch/reference/current/setup-xpack.html
xpack.license.self_generated.type: trial
xpack.security.enabled: true
xpack.monitoring.collection.enabled: true

kibana.yml内容如下

## Default Kibana configuration from Kibana base image.
### https://github.com/elastic/kibana/blob/master/src/dev/build/tasks/os_packages/docker_generator/templates/kibana_yml.template.js
server.name: kibana
server.host: 0.0.0.0
i18n.locale: "zh-CN"
elasticsearch.hosts: [ "http://192.168.56.103:9200" ]
monitoring.ui.container.elasticsearch.enabled: true
### X-Pack security credentials
elasticsearch.username: elastic
elasticsearch.password: elk123456

logstash.yml内容如下

## Default Logstash configuration from Logstash base image.
### https://github.com/elastic/logstash/blob/master/docker/data/logstash/config/logstash-full.yml
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://192.168.56.103:9200" ]
### X-Pack security credentials
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: elastic
xpack.monitoring.elasticsearch.password: elk123456

logstash.conf内容如下

input {
        tcp {
                port => 5000
        }
}
filter {}
### Add your filters / logstash plugins configuration here
output {
        elasticsearch {
                hosts => "192.168.56.103:9200"
                user => "elastic"
                password => "elk123456"
### 日志索引名称
                index => "elk"
        }
}

docker-compose.yml内容如下

version: "2.2"
services:
  ###配置elasticsearch
  es:
    image: elasticsearch:7.8.0
    container_name: elasticsearch 
    ports:
      - "9200:9200"
      - "9300:9300"
    environment:
      discovery.type: single-node
      ###es的密码
      ELASTIC_PASSWORD: elk123456
      ES_JAVA_OPTS: "-Xmx256m -Xms256m"
    volumes:
       # 这里注意一下 如果你想吧docker中es的数据 映射出来 你本地的 /opt/elk/elasticsearch/data 必须拥有 777权限
      - /opt/elk/elasticsearch/data:/usr/share/elasticsearch/data
      - /opt/elk/elasticsearch/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
    network_mode: host
  ###配置Logstash
  ls:
    image: logstash:7.8.0
    container_name: logstash
    ports:
      - "5000:5000/tcp"
      - "5000:5000/udp"
      - "9600:9600"
    network_mode: host
    environment:
      discovery.type: single-node
      ES_JAVA_OPTS: "-Xmx256m -Xms256m"
    volumes:
    ###将本机目录/opt/elk/logstash/pipeline下的文件映射到docker容器里面
      - /opt/elk/logstash/pipeline:/usr/share/logstash/pipeline
      - /opt/elk/logstash/logstash.yml:/usr/share/logstash/config/logstash.yml
    depends_on:
      - es       
  ###配置Kibana
  kb:
    image: kibana:7.8.0
    container_name: kibana
    ports:
      - "5601:5601"
    volumes:
      ###将本机目录/opt/elk/kibana/kibana.yml下的文件映射到docker容器里面
      - /opt/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml
    network_mode: host
    depends_on:
      - es

discovery.type:表示这是单机启动

ES_JAVA_OPTS:配置该容器占用主机的内存等等

network_mode:设置docker容器的网络模式

depends_on:指必须后面的服务启动以后 这个才启动

3.4、部署完成启动

cd /opt/elk
docker-compose up

img

3.5、访问kibana(记得打开个工具端口)

http://192.168.56.103:5601/
用户名:elastic
密码:elk123456

img

4、Springboot集成Logstash

在pom文件中添加以下依赖 让springboot的日志集成logstash

<dependency>
    <groupId>net.logstash.logback</groupId>
    <artifactId>logstash-logback-encoder</artifactId>
    <version>7.2</version>
</dependency>

resources下添加logbacklogstash集成的文件

img

logback-spring.xml配置如下

<?xml version="1.0" encoding="UTF-8" ?>
<configuration>
<!--配置logstash 发送日志数据的地址 -->
<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>192.168.56.103:5000</destination>
<!--自己定义logstash的encoder-->
<encoder>
<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n </pattern>
<charset>UTF-8</charset>
</encoder>
</appender>
<!--springboot的日志 -->
<include resource="org/springframework/boot/logging/logback/base.xml" />
<!--日志的打印级别 -->
<root level="INFO">
<appender-ref ref="LOGSTASH" />
<appender-ref ref="CONSOLE" />
</root>
</configuration>

application.properties配置如下

logging.config= classpath:logback-spring.xml
For-LK
关注
基于ELK搭建网站实时日志监控平台
weixin_40055163的博客
10-25 2671
基于ELK搭建网站实时日志监控平台 1 为什么要用到ELK 早在传统的单体应用时代,查看日志大都通过SSH客户端登服务器去看,使用较多的命令就是 less 或者 tail。如果服务部署了好几台,就要分别登录到这几台机器上看,等到了分布式和微服务架构流行时代,一个从APP或H5发起的请求除了需要登陆服务器去排查日志,往往还会经过MQ和RPC调用远程到了别的主机继续处理,开发人员定位问题可能还需要根据TraceID或者业务唯一主键去跟踪服务的链路日志,基于传统SSH方式登陆主机查看日志的方式就像图中排查线路的工
ELK日志分析监控平台
热门推荐
派大星的不眠博客
02-21 1万+
日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。 如果管理的服务器或者程序比较少的情况我们还可以逐一登录到各个服务器去查看、分析。但如果服务器或者程序的数量比较多了之后这种方法就显得力不从心。基于此,一些集中式的日志系统也就应用而生。目前比较有名成熟的有,Splunk(商业)、FaceBook 的Scribe、Apache的Chukwa Cloudera的Fluentd、还有ELK等等。
如何用ELK搭建TB级微服务海量日志监控系统
weixin_47067712的博客
06-11 538
本文主要介绍怎么使用 ELK Stack 帮助我们打造一个支撑起日产 TB 级的日志监控系统。很多细节知识,一篇文章是不够的,本文主要介绍了核心知识点。 在企业级的微服务环境中,跑着成百上千个服务都算是比较小的规模了。在生产环境上,日志扮演着很重要的角色,排查异常需要日志,性能优化需要日志,业务排查需要业务等等。然而在生产上跑着成百上千个服务,每个服务都只会简单的本地化存储,当需要日志协助排查问题时,很难找到日志所在的节点。也很难挖掘业务日志的数据价值。那么将日志统一输出到一个地方集中管理,然后将日志处理化
ELK 企业级日志分析系统
最新发布
2201_75549363的博客
09-18 1736
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ELK是的缩写,这三个工具组合在一起,用于数据收集、存储、搜索和可视化分析。:核心搜索和分析引擎,负责存储数据并提供快速的全文搜索和分析功能。Logstash:数据收集和处理管道,能够从各种来源(如日志文件、数据库)收集数据,并进行过滤和转换,然后将其发送到Elasticsearch。Kibana。
ELK前端日志分析监控系统
eclipse_xu
11-28 1万+
前端日志与后端日志不同,具有很强的自定义特性,不像后端的接口日志、服务器日志格式比较固定,大部分成熟的后端框架都有非常完善的日志系统,借助一些分析框架,就可以实现日志监控分析,这也是运维工作的一部分。什么是ELKELK在服务器运维界应该是运用的非常成熟了,很多成熟的大型项目都使用ELK来作为前端日志监控分析的工具。那么首先,我们来了解下什么是ELKELK实际上是三个工具的集合: E:Elas
ELK日志实时监控
wzpny的博客
07-02 1568
ELK是三个开源软件的缩写,分别表示:它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent)Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。
监控系统日志可视化监控体系ELK搭建
互联网小阿祥
11-20 2502
日志可视化监控体系ELK搭建
Centos7下搭建ELK日志分析系统
11-02
【Centos7下搭建ELK日志分析系统ELK栈是日志管理和分析的强大工具,由Elasticsearch、Logstash、Kibana三个组件组成。Elasticsearch是一个分布式的实时搜索和分析引擎,用于存储、分析和检索大量数据。Logstash...
采用ELK搭建日志分析系统.docx
10-13
在搭建ELK日志分析系统时,以下是一些关键步骤: 1. 安装Elasticsearch并确保其在9200端口上监听。可以使用`ps -ef | grep elasticsearch`命令检查进程状态,或通过浏览器访问`http://localhost:9200`验证服务是否...
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
ELK 日志监控平台(一)- 快速搭建
AHAO的博客
05-18 7533
ELKElasticsearch, Logstash, Kibana)是一个目前主流的开源日志监控平台Elasticsearch:是一个开源的分布式搜索和分析引擎,可以用于全文检索、结构化检索和分析,它构建在Lucene搜索引擎库之上,是当前使用较为广泛的开源搜索引擎之一。Logstash:一个用于收集、处理和转发日志数据的数据处理管道。
【详解】 ELK (ElasticStack) 实现日志监控
weixin_47255175的博客
05-10 1万+
目录 ElasticStack 介绍: Demo 实现 说在前面 案例实现流程图 创建Spring Boot 项目 项目部署、运行 Logstash配置 FileBeat配置 ES配置 Kibana配置 最终效果 前言 关于日志监控日志管理,对于任何一个成型的系统来说都是必不可少的,之前使用Commons-IO实现过日志监控功能,实践告诉我们这个过程很繁琐,当然,并不是难实现的意思。最终是数据存在MongoDB,可是实际应用中一般没人选择这种方式。但听说ElasticS..
ELK日志监控平台
weixin_34381666的博客
05-30 364
elk 开源日志分析平台介绍 1 介绍 elasticsearch 是一个开源分布式搜索引擎,它的特点是:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动负载等特性logstash:是一个完全开源的工具,他可以对日志进行收集,过滤,并将其存储供以后使用kibana:是一个开源和免费的工具,它可以为logstash和elasticsearch 提供日志...
ELK 搭建 TB 级海量日志监控系统,这个太强了!
方志朋的博客
01-22 678
欢迎关注方志朋的博客,回复”666“获面试宝典作者:非洲羚羊来源:cnblogs.com/dengbangpang/p/12961593.html本文主要介绍怎么使用 ELK Stack ...
ELK 日志监控平台环境搭建及使用说明_elk日志监控平台
2401_84765537的博客
05-15 873
解压之后,进入logstash目录,创建”conf”目录,编写配置文件。下面以收集分析nginx access 日志为例。配置文件分为三个部分:input,filter,output。三部分文件写,也可写一块此处的正则表达式要和nginx的日志格式相对应,否则会匹配失败,无法将nginx日志离散取值。选项”-f”是logstahsh的配置文件,如果有多个配置文件,也可以是一个目录。%{NUMBER:status:int} 将status字段设为整型,
ELK搭建(五):linux系统日志监控平台搭建
55555的博客
04-07 2097
0. 引言 现在的生产系统多使用linux系统,在实际生产过程中我们除了需要监控一些业务日志之外,有时也需要监控linux系统本身的日志,来帮助我们进行一些排错和判断。那么这一期,我们就针对linux系统日志监控平台的搭建来进行讲解 与往期一样,我们针对实际搭建教程更多是快速搭建为主,不做过多的原理性讲解,这一类讲解我们放到后期单独开几期博客来探讨。 1. 下载 首先针对elasticsearch,kibana的下载安装不再累述,还不知道的同学可以看看之前的博客。 ELK搭建(一):实现分布式微服务日志监控
elk日志监控平台搭建
a199101212的博客
09-05 217
elk日志监控平台搭建 版本:6.1.3 jdk 安装(略) kibana 安装 tar xvzf kibana-6.1.3-linux-x86_64.tar.gz 启动 : ./bin/kibana 验证: http://localhost:5601 后台启动: ./bin/kibana & exit退出 elasticsearch 安装 tar xvzf elasticsearch-6.1.3.tar.gz 修改配置文件 vim elasticsearch.yml ne
ELK Stack 日志分析监控平台
PennJ的专栏
01-21 1995
ELK Stack最近因工作需要部署一个日志分析监控平台, 最后选型ELK Stack: elasticsearch-2.1.1 logstash-2.1.1 kibana-4.3.1 redis-3.0.6
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值