ELK 分布式日志实战-6.4.0

最新推荐文章于 2024-11-11 16:34:31 发布
最新推荐文章于 2024-11-11 16:34:31 发布
阅读量261 收藏
点赞数
文章标签: 网络 大数据 运维
原文链接:http://www.cnblogs.com/zhaobin-diray/p/11549208.html
版权

一. ELK 分布式日志实战介绍

  此实战方案以 Elk 5.5.2 版本为准,分布式日志将以下图分布进行安装部署以及配置。

  当Elk需监控应用日志时,需在应用部署所在的服务器中,安装Filebeat日志采集工具,日志采集工具通过配置,采集本地日志文件,将日志消息传输到Kafka集群,

我们可部署日志中间服务器,安装Logstash日志采集工具,Logstash直接消费Kafka的日志消息,并将日志数据推送到Elasticsearch中,并且通过Kibana对日志数据进行展示。

 

二、ELK安装部署开始

  大家安装部署之前,可先参考官方文档进行部署。(官方参考文档地址可点击一下超链接)

  注:Elasticsearch 6.4.0 默认安装了x-pack 安全插件,该插件授权 30天试用。(如过期,则自行选择购买,或者破解,本方案不提供破解方案)

  Elasticsearch 6.4.0      Kibana 6.4.0     Logstash 6.4.0      Filebeat 6.4.0

 1、安装 Elasticsearch 

  1.1、下载安装Elasticsearch 6.4.0

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.0.tar.gz
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.0.tar.gz.sha512

# 当shasum命令不存在时,可执行命令安装 yum install perl-Digest-SHA
shasum -a 512 -c elasticsearch-6.4.0.tar.gz.sha512 
tar -xzf elasticsearch-6.4.0.tar.gz
cd elasticsearch-6.4.0/

2.1、配置Elasticsearch 集群

    2.1.1 配置服务器hosts

    由于模拟生产环境,提升计算能力,跨主机集群配置为优选

    #1.配置集群之前先配置每台节点主机hosts,下图以测试环境为例:

    配置 es-node1  es-node2 两台主机名称, es-node1为本机主机 ,如若增加主机节点,可配置es-node3 …,elasticsearch可配置上千节点作为集群服务节点

 

vi /etc/hosts

10.240.37.56  es-node1
10.240.37.57  es-node2
10.240.37.58  es-node3

2.1.2 配置Elasticsearch

   A.配置es-node1节点集群配置,如下配置 node.master:true 表示为主节点,node.data:true 表示主节点也作为数据节点

[root@10-240-37-56 elasticsearch-6.4.0]# grep ^[a-z] config/elasticsearch.yml 
cluster.name: my_es_cluster
node.name: es-node1
path.data: /data/elk/data/
path.logs: /data/elk/logs
network.host: 0.0.0.0
http.port: 9200
transport.tcp.port: 9300
discovery.zen.ping.unicast.hosts: ["10.240.37.56", "10.240.37.57"]
http.cors.enabled: true
http.cors.allow-origin: "*"
node.master: true
node.data: true

  B.配置es-node2节点集群配置

[root@10-240-37-57 elasticsearch-6.4.0]# grep ^[a-z] config/elasticsearch.yml 
cluster.name: my_es_cluster
node.name: es-node2
path.data: /data/elk/data
path.logs: /data/elk/logs
network.host: 0.0.0.0
transport.tcp.port: 9300
transport.tcp.compress: true
http.port: 9200
discovery.zen.ping.unicast.hosts: ["10.240.37.56", "10.240.37.57"]
http.cors.enabled: true 
http.cors.allow-origin: "*" 
node.master: false 
node.data: true

 C.配置es-node3节点集群配置

[root@10-240-37-58 elasticsearch-6.4.0]# grep ^[a-z] config/elasticsearch.yml 
cluster.name: my_es_cluster
node.name: es-node3
path.data: /data/elk/data
path.logs: /data/elk/logs
network.host: 0.0.0.0
transport.tcp.port: 9300
transport.tcp.compress: true
http.port: 9200
discovery.zen.ping.unicast.hosts: ["10.240.37.56", "10.240.37.57","10.240.37.58"]
http.cors.enabled: true 
http.cors.allow-origin: "*" 
node.master: false 
node.data: true

2.1.3 启动elasticsearch 

A.启动elasticsearch服务之前,需先配置es用户组和es用户(由于es安全因素)

[root@10-240-37-58 app]# groupadd es   #增加es组
[root@10-240-37-58 app]# useradd es -g es -p pwd  #增加es用户并附加到es组
[root@10-240-37-58 app]# chown -R es:es elasticsearch-6.4.0   #分配es目录访问权限
[root@10-240-37-58 app]#chown -R es:es /data/elk/
[root@10-240-37-58 app]# su es   #切换es用户
[es@10-240-37-58 app]$ ./elasticsearch-6.4.0/bin/elasticsearch &    启动命令

  

  C.第一次启动将遇到问题

  ERROR: [2] bootstrap checks failed

  [1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

  
#切换到root用户修改
vi /etc/security/limits.conf

#在最后面追加
es hard nofile 65536
es soft nofile 65536

#修改后重新登录es账号,使用命令查看上面设置是否成功,结果为65536则成功
ulimit -Hn
 

  [2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

  
#切换到root用户
vi /etc/sysctl.conf

#在最后追加
vm.max_map_count=262144

#使用 sysctl -p 查看修改结果
sysctl -p
 

   [3]、system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

原因:
这是在因为Centos6不支持SecComp,而ES5.2.0默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动。
解决:
在elasticsearch.yml中配置bootstrap.system_call_filter为false,注意要在Memory下面:
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

 实例配置:

[root@10-240-37-58 bin]# grep ^[a-z] ../config/elasticsearch.yml 
cluster.name: my_es_cluster
node.name: es-node3
path.data: /data/elk/data
path.logs: /data/elk/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 0.0.0.0
transport.tcp.port: 9300
transport.tcp.compress: true
http.port: 9200
discovery.zen.ping.unicast.hosts: ["10.240.37.56", "10.240.37.57","10.240.37.58"]
http.cors.enabled: true 
http.cors.allow-origin: "*" 
node.master: false 
node.data: true

  

D.解决以上问题,则先启动 数据节点,最后启动主节点

cd /data/ops/app/elasticsearch-6.4.0
./bin/elasticsearch

F.当所有节点启动成功后,在主节点服务器执行以下curl命令,如下图所示,标识Elasticsearch集群启动成功。

[root@10-240-37-56 ~]# curl http://10.240.37.56:9200/_nodes/process?pretty
{
  "_nodes" : {
    "total" : 3,
    "successful" : 3,
    "failed" : 0
  },

 

 2、安装 Kibana

  2.1 下载安装Kibana

 

wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.0-linux-x86_64.tar.gz
tar -xzf kibana-6.4.0-linux-x86_64.tar.gz 
mv kibana-6.4.0-linux-x86_64/ kibana-6.4.0 
cd kibana-6.4.0/

2.2 配置kibana

vim config/kibana.yml
server.host: "10.240.37.56"

2.3 启动kibana

/data/ops/app/kibana-6.4.0-linux-x86_64/bin/kibana &

2.4 访问kibana,如下图所示,表示启动成功

http://10.240.37.56:5601/app/kibana

 

 

  3、安装 Logstash 与 Filebeat

 3.1 下载安装Logstash和Filebeat

# Logstash
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.0.tar.gz
tar -xzf logstash-6.4.0.tar.gz
cd logstash-6.4.0



# Filebeat
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.4.0-linux-x86_64.tar.gz
tar -xzf filebeat-6.4.0-linux-x86_64.tar.gz
mv filebeat-6.4.0-linux-x86_64 filebeat-6.4.0
cd filebeat-6.4.0

  

3.2 配置Logstash、Filebeat 最新版引入module的概念,具体查看官方文档

  官方参考地址:https://www.elastic.co/guide/en/logstash/6.4/advanced-pipeline.html

 

# Logstash-test.yml
cd logstash-6.4.0
vi logstash_test.conf

input{
  file {
    path => "/var/log/vsftpd.log"
    type => "ftp-log-226"
    start_position => "beginning"
    stat_interval => "2"
  }
}


output{
  if [type] == "ftp-log-226" {
    elasticsearch {
      hosts => ["10.240.37.56:9200"]
      index => "ftp-meizi-%{+YYYY.MM.dd}"
    }
  }
}

  

 

3.3 启动Logstash、Filebeat 

#后台启动 filebeat
nohup ./filebeat -c ./filebeat.yml &

#启动Logstash
nohup ./bin/logstash -f logstash-test.conf &

  

转载于:https://www.cnblogs.com/zhaobin-diray/p/11549208.html

afd2828
关注
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1251
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
搭建ELK分布式日志解决方案 + Springboot + logback 输出日志ELK
weixin_43276938的博客
05-12 1716
介绍 ELK是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。 Elasticsearch 是一个搜索和分析引擎。 Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。 Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。 克隆一台虚拟机 从之前装好jdk的centos虚拟机快照克隆一台专门搭建elk环境
kibana6.4.0.zip
06-18
Kibana 是一个为 Logstash 和 ElasticSearch 提供的日志分析的 Web 接口。可使用它对日志进行高效的搜索、可视化、分析等各种操作。
Elastic Stack (ELK) 实战篇:实现分布式系统日志收集与统计分析
语雀同名:犬豪 yuque.com/qhao
11-02 2085
Elastic Stack(ELK) ElasticSearch + Logstash + Kibana 一、分布式带来的变革 1. 多个节点 分布式系统的特点:SOA,微服务架构,大规模集群网络 试想一下: 假设集群网络只有 100 台服务器。采用人肉运维的方式,处理服务器各种异常。 运维人员:每一台服务器打一个记号,Excel 记录下每一台机器运行特点,如果某一台服务器出现问题,运维人员直接定位机器,查询日志,修复问题。 如果是10000 台 服务器怎么办?那么如何收集海量服务器节点上的日志,进行分析
kibana_6.4.0
11-06
 Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。   设置Kibana非常简单。无需编码或者额外的基础架构,几分钟内就可以完成Kibana安装并启动Elasticsearch索引监测。
kibana-6.4.0 for windows
12-21
kibana-6.4.0 for windows
LINUX搭建ELK6.4.0)日志分析系统----Logstash+Kibana篇
kumara_00的博客
09-18 577
安装logstash 下载安装包: 下载地址:https://www.elastic.co/downloads/logstash 解压安装包 tar -xzvf logstash-6.4.0.tar.gz Logstash详细介绍转载博客: https://blog.csdn.net/iguyue/article/details/77006201 在bin目录下新增配置...
kibana-6.4.0-linux-x86_64.tar.gz
08-26
首先,我们关注的是标题中的“kibana-6.4.0-linux-x86_64.tar.gz”,这是一个针对Linux 64位系统的Kibana 6.4.0的归档文件。该版本支持多种功能,包括日志分析、实时监控、数据可视化等,适用于各种业务场景。下载...
ELK分布式日志解决方案.docx
10-26
ELK 分布式日志解决方案 ELK 分布式日志解决方案是一种基于 Elasticsearch、Logstash、Kibana 三款产品的日志框架解决方案。该解决方案可以在项目中作为日志框架使用,用于收集、存储和可视化日志数据。 一、ELK ...
第六十一章:部署ELK分布式日志分析平台1
08-08
【第六十一章:部署ELK分布式日志分析平台1】 ELK分布式日志分析平台是针对大规模业务环境下的日志管理需求而设计的一种解决方案。随着业务的发展,服务器数量增多,日志数据量激增,传统的日志管理和问题排查方式...
filebeat-6.4.0
12-15
filebeat-6.4.0 压缩包下载,为官方的资源包,更多资源
filebeat6.4.2
12-19
elk基础组件,用于收集日志用的。 用法:文件上传到服务器,解压修改配置文件即可 用法:文件上传到服务器,解压修改配置文件即可
FileBeat6.4 快速上手
weixin_34208283的博客
08-30 339
简介: Filebeat 是一款轻量级的日志传输工具,它有输入和输出两端,通常是从日志文件中读取数据,输出到 Logstash 或 Elasticsearch 。其作用是收集业务服务器的日志,输出到一个日志系统便于集中管理。 官网: https://www.elastic.co/cn/products/beats/filebeat 安装 系统环境:Centos6.x 软件版本:filebeat-6...
Kibana下载和安装
热门推荐
Angus的博客
08-22 1万+
下载地址:https://www.elastic.co/cn/downloads/kibana MacOS 二进制文件下载:链接
centos7 安装Kibana-6.4.0
zyplxl的专栏
09-11 2316
本文使用的是官网的tar.gz格式压缩包进行安装的 1) 去产品官网下载https://www.elastic.co/downloads/kibana 对应的tar.gz的压缩包 2)  tar -xzvf kibana-6.4.0-linux-x86_64.tar.gz 并剪切到/opt/supp_app目录下 3) 解压后的目录结构如下 4) 进入到config目录下,进行kiba...
Docker安装ES6.4.0、head、kibana
hengjun6968的博客
09-16 536
安装ES6.4.0 1.拉取镜像 docker pull elasticsearch:6.4.0 2.运行容器 docker run -d --name es -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:6.4.0 3.跨域修改 docker exec -it es /bin/bash # 显示文件 ls 结果如下: LICENSE.txt README.textile config lib
分布式日志收集框架Flume概述 及 实战案例I
equinux的专栏
05-14 665
Apache Flume    Flume is a distributed(分布式), reliable(高可靠的), and available(高可用的) service for efficiently collecting(收集), ,aggregating(聚合,存在哪里?磁盘/内存?), and moving(移动) large amounts of log data.    It h...
组合模式(Composite Pattern)
u010190940的博客
09-20 1236
待完善
字节序(Byte Order)
最新发布
weixin_50993868的博客
11-11 180
字节序与平台字节序转换字节序(Byte Order)是指数据在内存中存储时字节的排列顺序。由于不同的计算机体系结构可能采用不同的字节序,因此理解字节序非常重要,特别是在处理多平台数据传输或存储时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值