elk 的一些实践

最新推荐文章于 2024-07-06 18:44:59 发布
最新推荐文章于 2024-07-06 18:44:59 发布
阅读量5.8k 收藏 1
点赞数
分类专栏: elk 文章标签: elk logstash elasticsearch redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aca_jingru/article/details/47149915
版权

elk 的一些实践

0. 序

最近干的一个事,
搞了一个elk ,用于日志分析,日志由20台web 服务器同时产生,7天产生了108,555,691 条记录,1分钟大概2w 条数据,高峰大概是这个的2到4倍。

架构演化,架构不是设计出来的,而且演化出来的。

最开始是都在一台2核2g的机器上面的,包括elasticsearch,logstash,kibana.

之后是加了个redis 做broken。redis 遇到的问题是内核参数方面的,会引起elasticsearch的故障。

随着数据量的增大,2核2G的机器已经满足不了日志的压力了。这个时候就选择升级成4核4G。

后来发现还是比较作急,因为分析的东西比较多了,比如说geoip agent 的device 等等。然后再买一台4核4G的,将elasticsearch和kibana迁到新机器上。这样腾出来的cpu和内存资源就可以让logstash多开了。

下面分开将各个组件的注意点

1. redis

非常重要,做消息队列。

  1. redis要设置内核参数 vm.overcommit_memory = 1
  2. 禁用transparent_hugepage 这个内核特性 echo never > /sys/kernel/mm/transparent_hugepage/enabled
  3. 一定要做监控,监控那个队列,我是设置超过10w队列就报警。
  4. 还有一个要注意的是占用内存,内存占用可能会非常大,2g,3g都是有可能的。
  5. 绑定端口不要绑公网ip,会有安全问题。

2. logstash

消耗cpu的大户,云主机的话配置一定要在4核以上,这东西可以多开,占用内存一般在500m左右,主要一般我们调试时候开了

stdout { codec => rubydebug }

的,但是正式运行时候一定要将其关闭,对性能影响挺大的。

3. elasticsearch

重中之重,这东西是核心。本身可以通过rest api来操作,但是不是很方便,还好有插件! 推荐2个

  1. marvel
  2. head

谁用谁知道。这2个插件网上稍微搜下就行。

一开始是用单节点的,之后搞成集群了,elasticsearch会自动将数据同步到新节点上,使每份数据存在在2个节点上,这个时间elasticsarch的状态会变成green 。

但是多节点运行,但是集群运行有个问题,就会大大的影响logstash的插入效率。后来取消了。

安装head插件:

elasticsearch/bin/plugin -install mobz/elasticsearch-head
open http://localhost:9200/_plugin/head/

查看elasticsearch状态:

curl 10.173.xx.xx:9200//_cluster/health?pretty
{
  "cluster_name" : "elasticsearch",
  "status" : "yellow",
  "timed_out" : false,
  "number_of_nodes" : 2,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 53,
  "active_shards" : 53,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 53,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0
}
过去的我
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
漫谈ELK在大数据运维中的应用
happytofly的博客
02-05 2086
圈子里关于大数据、云计算相关文章和讨论是越来越多,愈演愈烈。行业内企业也争前恐后,群雄逐鹿。而在大数据时代的运维挑站问题也就日渐突出,任重而道远了。本文旨在针对复杂的大数据运维系统推荐一把利器,达到抛砖引玉的效果,如果文中出现任何纰漏和错误的地方,恳请指正,欢迎讨论,希望大家不吝赐教。众所周知,大数据平台组件是很复杂的。笔者之前接触的一个大数据平台解决方案,仅平台组件就达20多个,这还没有加上物联...
elk监控交换机端口指定状态日志
友人A的博客
09-26 3242
背景:某公司的交换机都配置了端口安全,即端口绑定MAC地址,限制非法用户接入公网网络。在日常维护的时候合法用户如果更换了PC设备,也会无法接入网络。这时候就要找PC接在交换机哪个端口,重新绑定MAC。但是如果网络设备很多的情况就需要一一去查看交换机日志,这是很浪费时间和效率。
Terraform-Kubernetes-Jenkins-Flask-Elk-Provisioning-and-Monitoring-
03-05
项目概况 这是一个利用Terraform-Kubernetes-Jenkins-Docker-Flask-Elk开发,集成,部署,供应和监视云基础架构的完整项目 步骤1 安装GitCLI安装Jenkins安装Docker安装Kubernetes安装Terraform安装Flask安装Docker Compose安装elasticsearch Kibana 第2步-安装Java sudo apt更新&& sudo apt升级sudo apt-get install openjdk-8-jdk检查安装的Java版本 java -version设置JAVA_HOME: 编辑.bashrc并在末尾添加这些行 导出JAVA_HOME = / usr导出PATH = $ JAVA_HOME / bin:$ PATH 步骤3-安装Jenkins wget -q -O- | sudo apt键添
ELK 企业级日志分析系统
最新发布
Decp_的博客
07-06 1067
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
CentOS7零基础部署ELK(7.2.0)集群步骤并监控日志告警
08-30
本人完全从Linux零基础一步步摸索总结出来的部署步骤。 ELK大致工作流程:Filebeat → RedisLogstashElasticsearch → Kibana,Elastalert定时查询Elasticsearch保存的数据,当数据符合设定的规则时触发告警,发送 短信、微信、邮件通知。 ELK相关软件的版本都是7.2.0,Redis是5.0.4版本,Elastalert是0.1.39(需安装Python2),CentOS7.3。
架构师日志平台ELKStack实践视频.zip
02-12
目录 1.elk简介、ES安装.flv 2.es集群.flv 3-logstash快速入门.flv 4-logstash收集系统日志-file.flv 5-logstash收集java日志-codec.flv 6-kibana介绍.flv ...12-kibana实践.flv 13-elk上线流程.flv
elk日志系统部署及实践
09-29
elk 日志系统部署及实践
ElasticStack(ELK)从入门到实践.pdf
06-11
elkstack的基础入门详解
ELK芒果日志系统实践.pdf
03-13
elk日志方案难点总计以及平台参数性能优化设置。包括 kafaka参数性能调优、es数据库参数优化、linux参数优化
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+Kibana(ELK)是一套开源的日志管理方案,分析网站的访问情况时我们一般会借助Google/百度/CNZZ等方式嵌入JS做数据统计,但是当网站访问异常或者被攻击时我们需要在后台分析如Nginx的具体...
ELK原理与介绍
aiduo4911的博客
12-13 2200
为什么用到ELK: 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署的架构,...
Logstash性能调优
热门推荐
it_lihongmin的博客
03-28 2万+
性能调节 一、性能故障排除 Logstash建议在修改配置项以提高性能的时候,每次只修改一个配置项并观察其性能和资源消耗(cpu、io、内存)。性能检查项包括: 1、检查input和output设备 日志存储的速度和它所连接的服务的速度一样快。日志存储只能像输入和输出目的地一样快速地消耗和生成数据! 1、检查...
elk 监控报警
木木的博客
05-21 2848
使用logstash output 模块 mail{}.判断message关键字.output {    if "ERROR" in [message] {        email {            to => "xxxx@xxxx"            from => "xxxx@xxxx"            address => "smtp.xxxx"    ...
ELK实践-Logstash
07-16 271
ELK版本6.7 安装 略[参考地址](https://www.elastic.co/guide/en/logstash/6.7/installing-logstash.html) Stashing Your First Event cd logstash-6.7.1 #-e参数启用直接参数 bin/logstash -e 'input { stdin { } } output { stdout...
线上应用故障排查之二:高内存占用
经验不在于年限,在于积累---专注互联网软件开发
05-10 3836
前一篇介绍了线上应用故障排查之一:高CPU占用,这篇主要分析高内存占用故障的排查。 搞Java开发的,经常会碰到下面两种异常: 1、java.lang.OutOfMemoryError: PermGen space 2、java.lang.OutOfMemoryError: Java heap space 要详细解释这两种异常,需要简单重提下Java内存模型。 (友情提示:本博文章欢...
通过Sentinl插件实现ELK日志系统的错误信息报警
向心行者
07-28 1746
1、目标   通过安装配置Sentinal插件,实现当错误日志中出现“error”字符串时,就发送报警信息,并发送到钉钉的工作群中。让运维人员可以快速去排查系统问题,方便问题发现,提高系统用户体验。这里只是简单实现了出现“error”字符就报警,可以配置复杂的条件,实现更高级的报警条件。 2、准备工作 1、 钉钉机器人配置 参考《自定义机器人webhook》,这里使用了markdown类型的消息格式。 配置好机器人后,主要使用webhook链接,进行消息推送,所以需要保存下来该链接及其相关信息。 2、
elk定时清理日志
weixin_33856370的博客
04-16 2022
#!/bin/bash shijian=`date +%Y.%m.%d -d "5 days ago"` #echo $shijian curl -XDELETE "10.88.88.93:9200/ph130iis-zdphlog-${shijian}" 转载于:https://www.cnblogs.com/liqing1009/p/8858025.html
日志采集方式 SNMP TRAP 和 Syslog 的区别
CTO=开发管理+架构+技术专栏
04-07 1万+
摘要: 日志文件能够详细记录系统每天发生的各种各样的事件,对网络安全起着非常的重要作用。网络中心有大量安全 设备,将所有的安全设备逐个查看是非常费时费力的。另外,由于安全设备的缓存器以先进先出的队列模式处理日志记录,保存时间不长的记录将被刷新,一些重要 的日志记录有可... 日志文件能够详细记录系统每天发生的各种各样的事件,对网络安全起着非常的重要作用。网络中心有大量安全 设备,将所
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值