ELK日志分析系统企业实战（一）

一、概述

        ELK 是一个常用的开源日志管理解决方案，由三个组件组成：Elasticsearch、Logstash 和 Kibana。这个组合被广泛用于实时日志收集、分析和可视化。下面是每个组件的简要介绍：

1. Elasticsearch（ES）：它是一个分布式的实时搜索和分析引擎。ES 可以用于存储和索引大规模数据，并提供快速的搜索和分析能力。

2. Logstash：它是一个用于日志收集、处理和传输的工具。Logstash 可以从各种来源（如文件、数据库、消息队列等）收集日志数据，并对其进行过滤、转换和格式化，然后将其发送到 Elasticsearch 进行存储和分析。

3. Kibana：它是一个用于数据可视化的工具。Kibana 可以连接到 Elasticsearch，提供强大的查询和可视化功能，帮助用户以直观的方式探索和分析存储在 Elasticsearch 中的数据。

        其实，在实际的ELK系统中，还需要配置一个日志收集器，比如FileBeats等。安装在每台需要收集日志的服务器上，将日志发送给Logstash进行处理，所以Beats是一个“搬运工”，将你的日志搬运到日志收集服务器上。这篇博文暂时先不考虑这类组件。

二、Elasticsearch集群部署

1.环境准备

安装软件	IP 地址	系统版本	配置
Elasticsearch	192.168.188.145	centos 7.9 2009	2核4G
Elasticsearch	192.168.188.146	centos 7.9 2009	2核3G
Elasticsearch	192.168.188.157	centos 7.9 2009	2核3G

软件版本：elasticsearch-7.13.2.tar.gz
下载链接：elasticsearch-7.13.2-linux-x86_64.tar.gz

2、安装配置ES

​
[root@elk ~]# useradd es
[root@elk ~]# echo "******" | passwd --stdin "es"
[root@elk ~]# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.13.2-linux-x86_64.tar.gz
[root@elk ~]# tar zxvf elasticsearch-7.13.2.tar.gz -C /usr/local/ 
[root@elk ~]# vim /usr/local/es/config/elasticsearch.yml
cluster.name: bjbpe01-elk
cluster.initial_master_nodes: ["192.168.188.145","192.168.188.146","192.168.188.157"] # 单节点模式这里的地址只填写本机地址
node.name: elk01
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
transport.tcp.port: 9300
# 单节点模式下，将discovery开头的行注释
discovery.seed_hosts: ["192.168.188.146", "192.168.188.157"]
discovery.zen.minimum_master_nodes: 2
discovery.zen.ping_timeout: 150s
discovery.zen.fd.ping_retries: 10
client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: "*"

​

# 由于我们的笔记本性能有限，如果要使用单节点多实例的话，添加在原有配置中添加
node.max_local_storage_nodes:  这个配置限制了单节点上可以开启的ES存储实例的个数

cluster.name    集群名称，各节点配成相同的集群名称。
cluster.initial_master_nodes 集群ip，默认为空，如果为空则加入现有集群，第一次需配置
node.name       节点名称，各节点配置不同。
node.master     指示某个节点是否符合成为主节点的条件。
node.data       指示节点是否为数据节点。数据节点包含并管理索引的一部分。
path.data       数据存储目录。
path.logs       日志存储目录。
bootstrap.memory_lock       内存锁定，是否禁用交换，测试环境建议改为false。
bootstrap.system_call_filter    系统调用过滤器。
network.host    绑定节点IP。
http.port       rest api端口。
discovery.seed_hosts    提供其他 Elasticsearch 服务节点的单点广播发现功能，这里填写除了本机的其他ip
discovery.zen.minimum_master_nodes  集群中可工作的具有Master节点资格的最小数量，官方的推荐值是(N/2)+1，其中N是具有master资格的节点的数量。
discovery.zen.ping_timeout      节点在发现过程中的等待时间。
discovery.zen.fd.ping_retries        节点发现重试次数。
http.cors.enabled               是否允许跨源 REST 请求，用于允许head插件访问ES。
http.cors.allow-origin              允许的源地址。

 3.设置JVM堆大小

[root@elk ~]# sed -i 's/## -Xms4g/-Xms4g/' /usr/local/es/config/jvm.options  
[root@elk ~]# sed -i 's/## -Xmx4g/-Xmx4g/' /usr/local/es/config/jvm.options

注意： 确保堆内存最小值（Xms）与最大值（Xmx）的大小相同，防止程序在运行时改变堆内存大小。 如果系统内存足够大，将堆内存最大和最小值设置为31G，因为有一个32G性能瓶颈问题。 堆内存大小不要超过系统内存的50%

4. 创建ES数据及日志存储目录

[root@elk ~]# mkdir -p /data/elasticsearch/{data,logs}

5.修改安装目录及存储目录权限

[root@elk ~]# chown -R es.es /data/elasticsearch
[root@elk ~]# chown -R es.es /usr/local/es

 6.系统优化

[root@elk ~]# vim /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 4096
* hard nproc 4096
[root@elk ~]# echo "vm.max_map_count=262144" >> /etc/sysctl.conf 
[root@elk ~]# sysctl -p
[root@elk ~]# su - es -c "cd /usr/local/es && nohup bin/elasticsearch &"

报错处理：

memory locking requested for elasticsearch process but memory is not locked
elasticsearch.yml文件
bootstrap.memory_lock : false
/etc/sysctl.conf文件
vm.swappiness=0

错误:
max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

意思是elasticsearch用户拥有的客串建文件描述的权限太低，知道需要65536个

解决：

切换到root用户下面，

vim   /etc/security/limits.conf

在最后添加
* hard nofile 65536
* hard nofile 65536
重新启动elasticsearch，还是无效？
必须重新登录启动elasticsearch的账户才可以，例如我的账户名是elasticsearch，退出重新登录。
另外*也可以换为启动elasticsearch的账户也可以，* 代表所有，其实比较不合适

启动还会遇到另外一个问题，就是
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
意思是：elasticsearch用户拥有的内存权限太小了，至少需要262114。这个比较简单，也不需要重启，直接执行
sysctl -w vm.max_map_count=262144
就可以了

7.安装配置head监控插件

在一台es上部署：

1）安装node

[root@elk ~]# wget https://npm.taobao.org/mirrors/node/latest-v10.x/node-v10.0.0-linux-x64.tar.gz
[root@elk ~]# tar -zxf node-v10.0.0-linux-x64.tar.gz –C /usr/local
[root@elk ~]# echo "
NODE_HOME=/usr/local/node-v10.0.0-linux-x64
PATH=\$NODE_HOME/bin:\$PATH
export NODE_HOME PATH
" >>/etc/profile
[root@elk ~]# source /etc/profile
[root@elk ~]# node --version   #检查node版本号

2）下载head插件

[root@elk ~]# wget https://github.com/mobz/elasticsearch-head/archive/master.zip
[root@elk ~]# unzip –d /usr/local elasticsearch-head-master.zip

3）安装grunt

[root@elk ~]# cd /usr/local/elasticsearch-head-master
[root@elk ~]# npm install -g grunt-cli
[root@elk ~]# grunt -version  #检查grunt版本号

4）修改head源码

[root@elk ~]#vi /usr/local/elasticsearch-head-master/Gruntfile.js +95

[root@elk ~]# vim /usr/local/elasticsearch-head-master/_site/app.js +4373
 

5）下载head必要的文件

[root@elk ~]# wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
[root@elk ~]# yum -y install bzip2
[root@elk ~]# mkdir /tmp/phantomjs
[root@elk ~]# mv phantomjs-2.1.1-linux-x86_64.tar.bz2 /tmp/phantomjs/
[root@elk ~]# chmod 777 /tmp/phantomjs -R

6）运行head

[root@elk ~]# cd /usr/local/elasticsearch-head-master/
[root@elk ~]# npm install 
[root@elk ~]# nohup grunt server &
[root@elk ~]# ss -tnlp

npm install 执行错误解析：
npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! phantomjs-prebuilt@2.1.16 install: `node install.js`
npm ERR! Exit status 1
npm ERR! 
npm ERR! Failed at the phantomjs-prebuilt@2.1.16 install script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.

npm ERR! A complete log of this run can be found in:
npm ERR!     /root/.npm/_logs/2021-04-21T09_49_34_207Z-debug.log

解决：
npm install phantomjs-prebuilt@2.1.16 --ignore-scripts  # 具体的版本按照上述报错修改

7）测试

访问http://192.168.188.1:9100