在 ELK 栈部署成功后如何使用:从入门到实践20240814

最新推荐文章于 2024-09-14 23:05:59 发布
最新推荐文章于 2024-09-14 23:05:59 发布
阅读量775 收藏 8
点赞数 18
文章标签: elk chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Narutolxy/article/details/141184638
版权

使用 ELK 栈实现日志收集与分析:从零开始的详细教程

在上一篇文章中,我们成功部署了 ELK 栈,并通过 Filebeat 从应用服务器收集日志数据。现在,我们将深入一步,模拟一个完整的日志收集与分析过程,详细展示如何使用 ELK 栈收集和可视化日志数据,并列出一些常见问题及其解决方法。

环境和场景仿真

假设你有一台 Java 应用服务器,日志保存在 /var/log/app/app.log 中。我们将使用 Filebeat 将这些日志发送到 ELK 栈进行分析。

日志文件仿真

我们可以在应用服务器上创建一个简单的日志文件,模拟一个运行中的 Java 应用程序的日志:

  1. 创建日志文件夹和文件

    sudo mkdir -p /var/log/app/
sudo touch /var/log/app/app.log

  2. 模拟日志内容

    我们使用以下命令向日志文件中写入一些模拟日志:

    sudo sh -c 'echo "2024-08-15 10:00:00 INFO Starting the application..." >> /var/log/app/app.log'
sudo sh -c 'echo "2024-08-15 10:01:00 ERROR Failed to connect to database." >> /var/log/app/app.log'
sudo sh -c 'echo "2024-08-15 10:02:00 INFO Application is running smoothly." >> /var/log/app/app.log'
sudo sh -c 'echo "2024-08-15 10:03:00 WARN Low disk space on server." >> /var/log/app/app.log'

    现在,我们的 /var/log/app/app.log 文件中已经有了几条模拟日志。

配置和启动 Filebeat

  1. 编辑 Filebeat 配置

    在应用服务器上编辑 /etc/filebeat/filebeat.yml,配置 Filebeat 读取上述日志文件并发送到 Logstash:

    sudo vi /etc/filebeat/filebeat.yml

    配置内容如下:

    filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/app/app.log  # 指定日志文件路径
  fields:
    application: "my-java-app"
    environment: "production"

output.logstash:
  hosts: ["<Logstash_Server_IP>:5044"]  # 替换为日志归集服务端的 IP 地址

  2. 启动并测试 Filebeat

    启动 Filebeat,并测试配置是否正确:

    sudo filebeat test config
sudo systemctl start filebeat
sudo systemctl enable filebeat

    确保 Filebeat 正常运行,并开始将日志发送到日志归集服务端的 Logstash。

在 Logstash 上处理日志

  1. 配置 Logstash 解析和处理日志

    在日志归集服务端上编辑或创建 /etc/logstash/conf.d/filebeat-input.conf

    sudo vi /etc/logstash/conf.d/filebeat-input.conf

    配置内容如下:

    input {
  beats {
    port => 5044
  }
}

filter {
  if [fields][application] == "my-java-app" {
    grok {
      match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:log.level} %{GREEDYDATA:message}" }
    }
    date {
      match => [ "timestamp", "ISO8601" ]
    }
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "app-logs-%{[fields][application]}-%{+YYYY.MM.dd}"
  }
}

  2. 启动并监控 Logstash

    启动 Logstash,并检查日志文件,确认是否有错误:

    sudo systemctl restart logstash
sudo systemctl enable logstash
sudo tail -f /var/log/logstash/logstash-plain.log

在 Kibana 中查看和分析日志

  1. 创建索引模式

    在 Kibana 中,点击“管理” (Management),然后选择“索引模式”(Index Patterns):

    • 点击“创建索引模式”。
    • 输入 app-logs-* 作为索引模式的名称,然后点击“下一步”。
    • 选择时间字段 @timestamp,然后点击“创建索引模式”。

  2. 使用 Discover 查看日志

    在 Kibana 中,点击“发现”(Discover):

    • 选择 app-logs-* 索引模式。
    • 你现在应该能够看到模拟的日志数据,并可以通过搜索框过滤日志,比如输入 "ERROR" 来查看所有错误日志。

创建可视化和仪表板

  1. 创建一个简单的日志级别柱状图

    在 Kibana 中,点击“可视化”(Visualize):

    • 选择“垂直柱状图”。
    • 选择 app-logs-* 作为数据源。
    • 在“X 轴”上选择时间字段 @timestamp,在“Y 轴”上选择计数(Count)。
    • 在“分割系列”中按日志级别(log.level)进行分组。

  2. 创建仪表板

    在 Kibana 中,点击“仪表板”(Dashboard):

    • 点击“创建仪表板”。
    • 将你创建的可视化添加到仪表板中,并保存。

常见问题及解决方法

1. Filebeat 无法连接到 Logstash

问题:Filebeat 日志中显示无法连接到 Logstash。

解决方法

  • 检查 Logstash 是否在监听端口 5044:
    sudo netstat -plnt | grep 5044
  • 确保防火墙没有阻止 5044 端口:
    sudo firewall-cmd --add-port=5044/tcp --permanent
sudo firewall-cmd --reload
2. Kibana 中没有显示日志

问题:在 Kibana 的 Discover 中看不到任何日志。

解决方法

  • 检查 Elasticsearch 中是否有索引:
    curl -X GET "localhost:9200/_cat/indices?v"
  • 确保 Logstash 正确地将数据发送到 Elasticsearch,检查 Logstash 日志是否有错误:
    sudo tail -f /var/log/logstash/logstash-plain.log
3. Elasticsearch 索引状态为红色

问题:Elasticsearch 的索引状态为红色,可能是因为主节点故障或磁盘空间不足。

解决方法

  • 检查 Elasticsearch 集群状态:
    curl -X GET "localhost:9200/_cluster/health?pretty"
  • 检查磁盘空间:
    df -h
  • 如有需要,清理旧索引或增加磁盘空间。

进阶操作

1. 定期清理旧日志

使用 Elasticsearch 的索引生命周期管理(ILM)功能自动删除旧日志:

  • 在 Kibana 中,进入“管理”(Management) > “索引生命周期管理”(Index Lifecycle Management)。
  • 配置一个新的生命周期策略,将旧索引自动删除或转移到冷存储。
2. 设置告警规则

在 Kibana 中设置告警规则:

  • 进入“告警和动作”(Alerting),创建新的日志阈值告警规则。
  • 配置当错误日志超过某个阈值时发送邮件通知。

总结

通过这个详细的仿真过程,你已经掌握了从日志文件的生成、收集到可视化和分析的完整流程。这篇教程详细展示了如何使用 ELK 栈处理实际的日志数据,并提供了常见问题的解决方案。

如果你在使用过程中遇到问题或有进一步的问题,欢迎随时与我联系!希望这篇教程能为你的系统管理工作带来帮助。

Narutolxy
关注
Spring Boot在微服务架构中的应用:从入门实践
biegouyinwo的博客
04-07 820
通过采用Spring Boot微服务架构,我们成功构建了一个在线旅游预订平台,并实现了高可用、高并发和高性能的需求。在实现过程中,我们也掌握了更多的开源框架和技术,并且了解了更多的微服务架构设计原则和实践经验。
ELK5.6 入门
12-11
此外,还需要关闭SELinux、防火墙,设置主机名、配置时间同步服务器,安装EPEL源,以及提高文件描述符的数量,以满足ELK运行时对资源的需求。 ELK的安装主要分为几个部分:安装Java开发包(JDK)、Elasticsearch...
深入学习Nginx:从入门实践
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
03-17 2万+
Nginx的功能远不止于此,还包括SSL/TLS加密传输、限速控制、重写规则、防盗链设置等诸多高级特性。理解并熟练运用Nginx的各项配置和技术,将极大提升您的Web服务架构水平。不断实践与探索,结合业务需求灵活调整Nginx配置,才是持续优化服务性能的关键所在。
Elastic Stack(ELK)从入门实践
果子哥丶的博客
10-19 2216
ElasticStack 是一系列开源产品的合集,包括 Elasticsearch、Kibana、Logstash 以及 Beats 等,能够安全可靠地获取任何来源、任何格式的数据,并且能够实时地对数据进行搜索、分析和可视化。Logstash主要是⽤来⽇志的搜集、分析、过滤⽇志的⼯具。 Kibana是⼀个优秀的前端⽇志展示框架。 Kafka数据缓冲队列。 Filebeat⾪属于Beats,轻量级数据收集引擎。
ELK实践(一):基础入门
weixin_34302561的博客
12-02 153
虽然用了ELK很久了,但一直苦于没有自己尝试搭建过,所以想抽时间尝试尝试。原本打算按照教程 《ELK集中式日志平台之二 — 部署》(作者:樊浩柏科学院) 进行测试的,没想到一路出了很多坑,所以又按照自己成功搭建的流程写了本文。 《ELK集中式日志平台之二 — 部署》一文参考价值非常大,图文并茂,大家可以在学习过程中参考参考。作者一上来就安装ELK插件,实际可以按需选择安装,但作为初学者,无疑增加了...
牛逼!Java 从入门到精通,超全汇总版
热门推荐
程序员cxuan的个人主页
05-06 7万+
文章目录Java 基础Head First JavaJava 核心技术卷一Java 编程思想设计模式Head First 设计模式图解设计模式设计模式重学 Java 设计模式Java 进阶Java 并发编程实战Java 并发编程艺术Java 并发编程之美图解Java多线程设计模式JVM深入理解 Java 虚拟机Java 虚拟机规范HotSpot 实战自己动手写 Java 虚拟机MySQLMySQL 基础教程SQL 基础教程深入浅出 MySQLMySQL 必知必会SQL 必知必会高性能 MySQLMySQL
Nginx配置文件全解:从入门到设计
five-five
07-06 1131
Nginx的配置文件是一个强大而灵活的工具,掌握它可以让你构建高性能、安全和可扩展的Web应用架构。本指南涵盖了从基础到高级的多个方面,但Nginx的功能远不止于此。持续学习和实践是成为Nginx配置专家的关键。希望这个全面的指南能帮助你更好地理解和使用Nginx配置文件。如果你有任何问题或需要进一步的说明,请随时询问!
探索DevOps实战:从入门到精通的云项目库
gitblog_00039的博客
06-05 269
探索DevOps实战:从入门到精通的云项目库 ???????? 项目地址:https://gitcode.com/NotHarshhaa/DevOps-Projects 在这个瞬息万变的技术时代,掌握DevOps已经成为了软件工程师和系统管理员的核心竞争力。由ProDevOpsGuy创建的【Real-World DevOps/Cloud Projects For Learning】仓库提供了一系列精心设计的D...
Java学习之路:从入门到精通,掌握编程的妙技
纪大侠博客
02-20 736
前不久看到小伙伴发的Java学习内容,很多都是过时不再使用的技术了。**特别是jsp这个是十年前都不在使用的技术了**,像学习这种过时技术唯一的作用就是浪费时间,对于技术提升没用任何帮助。这边分享下工作中Java使用到的技术,笔者这边也不是大厂出身。对于下面介绍的内容仅是笔者工作中用到,仅供参考。
ELK项目(好客租房系统)前台后代码、文档及Dubbo快速入门.zip
10-20
通过实践这个项目,开发者不仅可以掌握ELK部署使用,还可以了解Dubbo在实际项目中的应用,这对于提升个人技能和团队协作效率至关重要。同时,对于想要了解租房系统业务逻辑的开发者,项目代码也是一个很好的学习...
ELK高级搜索_ElasticStack技术视频教程
04-18
Logstash从内部如何采集数据到指定地方来展现它数据采集的功能。Kibana则从数据绘图展现数据可视化的功能。 1.2 课程优势 - 基于最新的elk7.3版本讲解。最新api。包含sql功能。 - 理论和实际代码相辅相成。理论结合...
SpringBoot3整合ELK实现日志可视化
zhuge_long的专栏
09-12 642
Elasticsearch、Logstash、Kibana,组合起来可以搭建线上日志系统ELK中各个服务的作用Elasticsearch:用于存储收集到的日志信息;Logstash:用于收集日志,SpringBoot应用整合了Logstash以后会把日志发送给Logstash,Logstash再把日志转发给Elasticsearch;Kibana:通过Web端的可视化界面来查看日志。
ELK预警方案:API+XXLJob
AngelCryToo的专栏
09-11 472
【代码】ELK预警方案:API+XXLJob。
Docker日志管理之Filebeat+ELK日志管理
TBF610218的博客
09-13 619
创建kibana子目录(在elk项目目录下创建)启动Filebeat+ELK日志收集环境。在elk项目下创建Filebeat目录。创建Elasticsearch子目录。在elk项目下创建Logstash。启动nginx作为日志输入源。
ELK在Linux服务器下使用docker快速部署(超详细)
m0_70208894的博客
09-13 1198
ELK在Linux服务器下使用docker快速部署
【Docker部署ELK】(7.15)
大西瓜的博客
09-12 407
【代码】【Docker部署ELK】(7.15)
进程优先级和环境变量
最新发布
大学生一枚
09-14 1051
命令行中启动的程序,都会变成进程,其实都是bash的子进程,父进程的数据,默认对于子进程是能看到并访问的,但是子进程的后续修改,对于父进程是看不到的,系统中的很多配置,在我们登录linux系统的时候,就已经被加载到bash进程中(内存),最开始的环境变量在配置文件中,然后被加载到bash中,nice的调整是有限制的,修改范围位[-20,19],而且每次调整优先级,PRI的值都是从80开始的,避免修改叠加。cpu资源分配的先后顺序,就是指进程的优先级,linux中进程的优先级数字越小,优先级越高;
安装node 报错需要:glibc >= 2.28
gs80140的专栏
09-12 628
错误:软件包:2:nodejs-18.20.4-1nodesource.x86_64 (nodesource-nodejs)错误:软件包:2:nodejs-18.20.4-1nodesource.x86_64 (nodesource-nodejs)错误:软件包:2:nodejs-18.20.4-1nodesource.x86_64 (nodesource-nodejs)错误:软件包:2:nodejs-18.20.4-1nodesource.x86_64 (nodesource-nodejs)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Narutolxy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值