rhel6.5-elk(elasticsearch、logstash、kibana)

最新推荐文章于 2021-05-01 03:45:34 发布
最新推荐文章于 2021-05-01 03:45:34 发布
阅读量477 收藏 1
点赞数 1
文章标签: ELK redis+ELK .sincedb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZZL95415/article/details/80808664
版权

一.ELK

        ELK提供了整套日志的解决方案,并且都是开源软件,之间互相配合使用,完美衔接,高效的满足了很多日志分析场合的应用。ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana,新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给LogstashElasticsearch 是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful 风格接口,多数据源,自动搜索负载等。Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。Kibana 也是一个开源和免费的工具,它 Kibana 可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。

二.ElasticSearch的分布式部署(es采用2.3版本

172.25.78.1
masternode
172.25.78.2
datanode
172.25.78.3
datanode

1.在每个节点部署ElasticSearch(需要java环境,在这里直接安装java的rpm包)



2.提前在每个节点做本地解析


3.masternode的配置/etc/elasticsearch/elasticsearch.yml        ##配置elasticsearch

(1)定义elasticsearch分布式集群名称、节点主机名、主机的身份

(2)日志以及数据目录默认


(3)锁定物理内存地址,防止elasticsearch内存被交换出去,也就是避免es使用swap交换分区

确保ES_HEAP_SIZE参数设置为系统可用内存的一半左右,当系统进行内存交换的时候,es的性能很差(如果内存不够就不要开启,否则服务无法启动)


(4)为es设置ip绑定


(5)当启动节点时,通过这个主机名列表进行节点发现,组建集群

4.启动es服务解决日志报错(/var/log/elasticsearch/my-elk.log)


vim /etc/security/limits.conf      ##编辑es的限制信息

5.datanode的配置(与masternode的node配置不同,开启数据存储,关闭master)


6.es的默认端口9200

7.本地安装head 插件,它是一个用浏览器跟 ES 集群交互的插件,可以查看集群状态、集群的 doc 内容、

执行搜索和普通的 Rest 请求。

查询es安装的插件

8.通过IP:9200/_plugin/head访问ES 集群状态

绿色正常、红色集群故障、黄色部分节点恢复

点击节点的info查看信息,也可以关闭节点,操作比较灵活

9.请求测试

三.Logstash的部署(Logstash把获取的日志发送到es所在主机)

Logstash的日志收集发送的过程:数据源输入,过滤后输出到指定的位置(redis,es等)


1.rpm包安装

2.Logstash收集日志发送到es

(1)标准输入输出

(2)以键值对形式显示

(3)日志由Logstash收集后显示在终端的同时也发送到es上以web页面呈现

由于日志太多,删除日志,用命令进行测试

-f指定配置文件开启Logstash服务

在web页面查看日志

3.每次读取日志都会在用户家目录生成.since文件(Logstash收集的日志来源以及读取到什么位置,如果要重新读取日志并发送到es,需要删除此文件)

读取日志的节点号与.since文件相同


4.把其他节点的日志同步到master节点

(1)在server2指定日志接受方的IP:514,并重启rsyslog服务

(2)编辑Logstash配置文件

(3)-f指定配置文件开启服务,同时java会伪装514端口去接受server2的日志


(4)在server2进行logger测试,server1成功接受到server2的日志


(5)es成功接受日志,web页面也成功显示

5.过滤出有多行的一条日志

(1)Logstash配置文件

(2)日志成功过滤

(3)web页面显示

6.过滤httpd日志

(1)server3安装Logstash和httpd,进行日志过滤

httpd的截取的部分日志


(2)Logstash过滤httpd的日至并发送到sever1的es,httpd的Logstash配置文件如下:

Logstash自带了过滤模块在以下路径:


(3)server1上面的es成功获取到日志

四.Kibana的部署(Elasticsearch+Logstash+Kibana的结合使用,Kibana部署于server1)

Logstash把收集到的日志信息进行过滤发送到Elasticsearch,Elasticsearch把日志发送到Kibana用web页面来呈现日志详细信息

1.配置Kibana主机/opt/kibana/config/kibana.yml

指定Kibana接收的es信息主机IP以及端口

创建Kibana的索引

2.Kibana默认开启5601端口

3.Kibana的使用

(1)创建索引的内容(也就是Kibana要监控的es上面哪个日志,Kibana会自动去请求es)

下面监控的是apache的日志

(2)设置要监控的选项(柱状图、饼状图等,下面是访问量和IP主机的柱状图)


(3)把要实时查看的信息添加到仪表盘上(总访问量、故障联系人、访问峰值、访问量最高的三个IP)


五.用redis做ELK的加速访问

数据流:Logstash-->redis-->Logstash-->Elasticsearch-->Kibana

172.25.78.1(server1)
Elasticsearch、Kibana、Logstash
172.25.78.2(server2)
redis
172.25.78.3(server3)
Logstash

1.server2安装redis(redis的详细安装在之前的博客)

2.server3收集httpd的日志以列表的形式发送到server2上面的redis

3.server1把server2上面redis缓存的httpd日志发送到server1的Elasticsearch,不用

4.查看server2上面redis的日志已经与172.25.78.3建立连接

5.Elasticsearch已经成功收到server3上的httpd的日志信息(有apache:redis的日志)

6.查看apache:redis的日志信息(根据日志的名称,类型等来查看日志,比如要查看httpd的4XX状态码的报错,可以直接过滤出来4XX报错)

7.在测试的时候可以把日志信息打印到终端,这样也能及时发现是那个部分的错误,当时我做的时候日志始终发送不到es上,后来发现是server3之前的家目录下的.sincedb文件没有删除,以为之前已经读取了httpd的日志不再重复读取。

ZZL95415
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos6.5搭建ELK
wangshui898的专栏
03-14 435
安装JDK #wget http://172.18.71.12:83/2Q2W261090F59DD53D8C9740EB6430C46EB03192EE29_unknown_229A95874D39CC9F5FE38A6EA9A2A49C92CE7A07_9/download.oracle.com/otn-pub/java/jdk/8u162-b12/0da788060d494f5095bf86...
ELK Centos Redhat yum 安装
weixin_34414196的博客
08-22 69
cat >/etc/yum.repos.d/es.repo<<eof[elasticsearch-6.x]name=Elasticsearch repository for 6.x packagesbaseurl=https://artifacts.elastic.co/packages/6.x/yumgpgcheck=1gpgkey=https://artifacts.elas...
搭建ELK日志分析平台(下)—— 搭建kibanalogstash服务器
weixin_34099526的博客
03-04 277
笔记内容:搭建ELK日志分析平台——搭建kibanalogstash服务器笔记日期:2018-03-03 27.6 安装kibana 27.7 安装logstash 27.8 配置logstash 27.9 kibana上查看日志 27.10 收集nginx日志 27.11 使用beats采集日志 本文是上一篇 搭建ELK日志分析平台(上)—— ELK介绍及搭建 Elasticsearch ...
linux搭建elk日志分析系统,redhat下使用ELK套件搭建日志分析和监控平台
weixin_42511507的博客
05-01 354
ELK套件(ELK stack)是指ElasticSearchLogstashKibana三件套。这三个软件可以组成一套日志分析和监控工具。官方下载地址:测试环境:redhat6.5所需软件:JDK1.7.0,LogstashElasticSearchKibana首先我们先了解一下上面三个套件的功能:ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力...
目前最新的6.5.4 ELK日志收集全家桶 搭建 步骤:
成熟的小孩的博客
12-29 3823
全家桶 官网:https://www.elastic.co/cn/downloads/kibana 流程图: 1.1 安装环境搭建 本文中介绍的ELK平台搭建需要用到如下六种程序,出于兼容性考虑,程序附上版本号。 JDK 1.8 1.2. elasticsearch安装与配置 1.2.1. ES 基本环境搭建 解压文件 elasticsearch-6.5.4.tar.gz tar -zx...
ansible-elk:Ansible剧本,用于设置ELKEFK堆栈和客户端
01-31
在本项目"ansible-elk"中,Ansible 被用来构建和配置ELKElasticsearch, Logstash, Kibana)堆栈,以及可能的Fluentd日志收集器,这是一套广泛使用的日志管理和分析解决方案。 **Elasticsearch** Elasticsearch 是...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
为了更好地分析和可视化 WAZUH-OSSEC 的数据,我们可以集成 ELK (Elasticsearch, Logstash, Kibana) 堆栈。首先,安装这些组件: ```bash sudo subscription-manager repos --enable "rhel-8-for-x86_64-appstream-...
ELK学习视频.zip
07-05
ELKElasticsearch, Logstash, Kibana)栈是一种流行的数据收集、存储、分析和可视化解决方案,常用于日志管理和实时分析。这个"ELK学习视频.zip"压缩包包含了一系列教程,帮助用户从零开始搭建和配置一个完整的ELK...
elasticsearch-7.16.2-linux-x86_64.tar.gz.7z
12-23
10. **弹性 Stack(ELK Stack)**:Elasticsearch 通常与 LogstashKibana 配合使用,形成 ELK Stack,其中 Logstash 负责收集、处理和转发日志,Kibana 则用于可视化和分析 Elasticsearch 中的数据。 **Linux-...
RHEL8 /CentOS8 上建立多节点 Elastic stack 集群的方法
01-10
Elastic stack 俗称 ELK stack,是一组包括 ElasticsearchLogstashKibana 在内的开源产品。Elastic Stack 由 Elastic 公司开发和维护。使用 Elastic stack,可以将系统日志发送到 Logstash,它是一个数据收集...
CentOS6.5 ELK搭建最新版(6.3.1)使用filebeat
Atlan_blog
07-22 4181
ELK原理与介绍 为什么用到ELK: 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署...
Linux下安装 ELK6日志分析系统教程
热门推荐
yaodunlin的博客
03-19 1万+
安装前的准备: CentOS7操作系统 jdk1.8(elasticsearch-6.6.2、logstash-6.6.2需要jdk1.8环境的支持) 去官网下载ELKelasticsearch-6.6.2、logstash-6.6.2、kibana-6.6.2) 地址:https://www.elastic.co/downloads 。这里 ...
RedHat7 部署ELK日志分析系统
dieman0446的博客
10-18 189
一、ELK的组成二、工作流程三、环境准备四、正式安装 一、ELK的组成 ELKElasticSearchLogstashKibana三部分组成,每一部分的功能及特点如下图所示: 二、工作流程 在需要收集日志的所有服务上部署logstash,作为logstash agent(logstash shipper)用于监控并过滤收集日志, 将过滤后的内容...
CentOS 6.5搭建ELK环境ElasticSearch+Kibana+Logstash
Lee_Natuo的博客
01-11 5847
CentOS 6.5搭建ELK环境 ELK工作流程 多个独立的Agent(Shipper)负责收集不同来源的数据,一个中心Agent(Indexer)负责汇总和分析数据,在中心Agent前的Broker(使用Redis实现)作为缓冲区,中心Agent后的ElasticSearch用于存储和搜索数据,前端的Kibana提供丰富的图表展示。 Shipper表示日志收集,使用L
ELK5.x->6.x升级踩坑记录
forknows的专栏
06-11 941
背景 基于docker搭建的ELK系统,filebeat负责收集传到redis中。镜像升级从5.x-&amp;gt;6.x,升级之后发现原来在kibana建立的索引全都失效了。最后在排查的过程中,发现filebeat的一个字段document_type被废弃,导致logstash的grok在过滤的过程中不能进行动态的添加index,以至于index在kibana中失效。 解决办法 把原来filebe...
CentOS6.5搭建ELK套件搭建日志分析和监控平台
李轮清的博客
04-01 5435
1 概述 ELK套件(ELK stack)是指ElasticSearchLogstashKibana三件套。这三个软件可以组成一套日志分析和监控工具。 2 环境准备 2.1 防火墙配置 为了正常使用HTTP服务等,需要关闭防火墙: [plain] view plain copy   # service iptable
es更新licence
junqilong的博客
03-01 1732
文章转载自:https://blog.csdn.net/wu2700222/article/details/85107414 目录 一、编译生成jar包和license更新 1.1开启试用版 1.2 进入/usr/local目录(根据自己喜好选择,创建的文件后期会删除) 1.3 分别编译两个文件 1.4 覆盖之前的jar文件 1.5 修改elasticsearch.yml配置文件 ...
ELK6.2最简化部署
timwuq的博客
07-03 665
ELK(1)
ElasticSearch安装教程(redhat6.5+ES6.7.0)
Javap 指令集
03-28 848
1、JDK的安装 ES的运行依赖于JDK,所以必须先安装它,但是本教程主要是讲解ES的安装,所以JDK的安装在此省掉。但是需要在这里说明的是ES6之后的版本不能低于DK1.8,所以必须确保jdk1.8以上版本,否则后面会报JDK版本错误。 2、解压安装包 tar -zxvf ./elasticsearch-6.7.0.tar.gz 3、启动ES 进入ES安装目录 cd elas...
centos-6.5-x86_64-bin-dvd1to2
最新发布
05-12
CentOS-6.5-x86_64-bin-dvd1to2是CentOS操作系统的安装介质,它由两张DVD光盘组成。这款操作系统是基于Red Hat Enterprise Linux(RHEL)的源码编译而来,具有与RHEL相同的稳定性和可靠性。CentOS-6.5-x86_64-bin-dvd1to2良好地支持x86_64架构的计算机硬件,并提供服务器和桌面版本,可以满足不同用户的需求。 这款操作系统的主要特点是具有高度的安全性、稳定性和可靠性,并且开放源代码。CentOS-6.5-x86_64-bin-dvd1to2安装容易,同时它也支持在线更新和软件包管理,可以提高操作系统的使用效率。此外,它还提供了广泛的软件库,可以满足不同用户的需求,包括Web服务器、数据库、邮件服务器、文件服务器等等。 总之,CentOS-6.5-x86_64-bin-dvd1to2是一款功能强大的操作系统,它在稳定性和可靠性等方面都具有良好的表现,并且具有广泛的软件库和易于安装的特点。对于那些寻求一个安全、稳定、高效和灵活的操作系统来运行其服务器或桌面计算机,CentOS-6.5-x86_64-bin-dvd1to2是一个不错的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值