ELK搭建实时日志分析平台

最新推荐文章于 2024-06-20 22:05:11 发布
最新推荐文章于 2024-06-20 22:05:11 发布
阅读量263 收藏
点赞数
分类专栏: ELK Logstash kibana 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anli1990/article/details/107868241
版权
ELK 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
Logstash
1 篇文章 0 订阅
订阅专栏
kibana
1 篇文章 0 订阅
订阅专栏

话不多说 至于关于ELK的相关知识可以自行百度,这里只说如何搭建。阐述自己搭建的过程,有什么问题可以留言一起探讨。

ELK平台搭建

系统环境

System: CentOS Linux release 7.6.1810

ElasticSearch: elasticsearch-2.1.0

Logstash: logstash-2.1.1

Kibana: kibana-7.8.0

Java: jdk-8u212-linux-x64

注:我已经将压缩包传到百度网盘 链接: https://pan.baidu.com/s/1a6-EV9rD060B5g8jvEEYcg 提取码: mqvm 请自行下载

如果想自己下载 下载地址为:https://www.elastic.co/cn/downloads/  如下图:

1.首先配置ElasticSearch

上传elasticsearch-2.1.0.tar.gz到指定的目录下,执行tar -zxvf elasticsearch-2.1.0.tar.gz 进行解压,跳转到elasticsearch-2.1.0目录下面

安装Head插件(Optional):

./bin/plugin install mobz/elasticsearch-head

编辑es配置文件:vi config/elasticsearch.yml

修改以下配置项:

cluster.name=es_cluster

node.name=node0

path.data=/tmp/elasticsearch/data

path.logs=/tmp/elasticsearch/logs #当前hostname或IP,我这里是centos2

network.host=centos2

network.port=9200

配置完成之后,可以启动ES,但是在启动ES之前需要重新创建一个用户,并将此用户的权限赋予es文件件目录。(es不能用root用户启动,必须是非root用户)

[root@localhost /]# useradd elkuser
#elasticsearch 只能用非 root 启动
[root@localhost /]#  chown -R elkuser.elkuser ES目录

启动es:./bin/elasticsearch

可以看到,它跟其他的节点的传输端口为9300,接受HTTP请求的端口为9200。

使用ctrl+C停止。当然,也可以使用后台进程的方式启动ES:

./bin/elasticsearch &

然后可以打开页面localhost:9200,将会看到以下内容:

返回展示了配置的cluster_name和name,以及安装的ES的版本等信息。

刚刚安装的head插件,它是一个用浏览器跟ES集群交互的插件,可以查看集群状态、集群的doc内容、执行搜索和普通的Rest请求等。现在也可以使用它打开localhost:9200/_plugin/head页面来查看ES集群状态

Logstash

 

Logstash作为一个日志收集器,我们需要为它指定Input和Output(当然Input和Output可以为多个)。由于我们需要把Java代码中Log4j的日志输出到ElasticSearch中,因此这里的Input就是Log4j,而Output就是ElasticSearch。

配置Logstash:

tar -zxvf logstash-2.1.1.tar.gz

cd logstash-2.1.1

编写配置文件(名字和位置可以随意,这里我放在config目录下,取名为log4j_to_es.conf):

mkdir config

vi config/log4j_to_es.conf

输入以下内容:

input {
    log4j {
        host => "127.0.0.1"
        port => 4560
    }
}

output {
    stdout {
      codec => rubydebug
    }
    elasticsearch{
        hosts => ["localhost:9200"]
        index => "log4j-%{+YYYY.MM.dd}"
        document_type => "log4j_type"
    }
}

 

使用agent来启动它(使用-f指定配置文件):

./bin/logstash agent -f config/log4j_to_es.conf


到这里,我们已经可以使用Logstash来收集日志并保存到ES中了,下面来看看项目代码

Java项目

pom.xml,很简单,只用到了Log4j库:

<dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>
    <version>1.2.17</version>
</dependency>

log4j.properties,将Log4j的日志输出到SocketAppender,因为官网是这么说的:

log4j.rootLogger=INFO,console

# for package com.demo.elk, log would be sent to socket appender.
log4j.logger.com.demo.elk=DEBUG, socket

# appender socket
log4j.appender.socket=org.apache.log4j.net.SocketAppender
log4j.appender.socket.Port=4560
log4j.appender.socket.RemoteHost=127.0.0.1
log4j.appender.socket.layout=org.apache.log4j.PatternLayout
log4j.appender.socket.layout.ConversionPattern=%d [%-5p] [%l] %m%n
log4j.appender.socket.ReconnectionDelay=10000

# appender console
log4j.appender.console=org.apache.log4j.ConsoleAppender
log4j.appender.console.target=System.out
log4j.appender.console.layout=org.apache.log4j.PatternLayout
log4j.appender.console.layout.ConversionPattern=%d [%-5p] [%l] %m%n

 注意:这里的端口号需要跟Logstash监听的端口号一致,这里是4567。

 

public class Application {
  private static final Logger LOGGER = Logger.getLogger(Application.class);
  public static void main(String[] args) throws Exception {
    for (int i = 0; i < 10; i++) {
      LOGGER.info("Info log [" + i + "].");
      Thread.sleep(500L);
    } 
  }
}

用Head插件查看ES状态和内容

运行Application.java,先看看console的输出(当然,这个输出只是为了做验证,不输出到console也可以的):

再来看看ES的head页面:

切换到Browser标签:

到此,logstatsh和es整合已经成功。

Kibana

配置Kibana:

tar -zxvf kibana-4.3.0-linux-x86.tar.gz

cd kibana-4.3.0-linux-x86

vi config/kibana.yml

 

修改以下几项(由于是单机版的,因此host的值也可以使用localhost来代替,这里仅仅作为演示):

server.port: 5601

server.host: "0.0.0.0"

elasticsearch.url: "http://127.0.0.1:9200"

kibana.index: “.kibana”

启动kibana:

./bin/kibana

用浏览器打开该地址:

 

为了后续使用Kibana,需要配置至少一个Index名字或者Pattern,它用于在分析时确定ES中的Index。这里我输入之前配置的Index名字applog,Kibana会自动加载该Index下doc的field,并自动选择合适的field用于图标中的时间字段:

 

点击Create后,可以看到左侧增加了配置的Index名字 

接下来切换到Discover标签上,注意右上角是查询的时间范围,如果没有查找到数据,那么你就可能需要调整这个时间范围了,这里我选择Today:

 接下来就能看到ES中的数据了:

执行搜索看看呢:

 

点击右边的保存按钮,保存该查询为search_all_logs。接下来去Visualize页面,点击新建一个柱状图(Vertical Bar Chart),然后选择刚刚保存的查询search_all_logs,之后,Kibana将生成类似于下图的柱状图(只有10条日志,而且是在同一时间段的,比较丑,但足可以说明问题了:)  ):

 

你可以在左边设置图形的各项参数,点击Apply Changes按钮,右边的图形将被更新。同理,其他类型的图形都可以实时更新。

点击右边的保存,保存此图,命名为search_all_logs_visual。接下来切换到Dashboard页面:

 

单击新建按钮,选择刚刚保存的search_all_logs_visual图形,面板上将展示该图:

 

如果有较多数据,我们可以根据业务需求和关注点在Dashboard页面添加多个图表:柱形图,折线图,地图,饼图等等。当然,我们可以设置更新频率,让图表自动更新:

 

如果设置的时间间隔够短,就很趋近于实时分析了。

到这里,ELK平台部署和基本的测试已完成。

 

会飞的涵涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK搭建
H_YANG__的博客
09-18 812
Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用(1)#给日志目录可读权限chmod o+r /var/log/messages #让 Logstash 可以读取日志修改 Logstash 配置文件,让其收集系统日志/var/log/messages,并将其输出到 elasticsearch 中。input {file{path =>"/var/log/messages" #指定要收集的日志的位置。
ELK实时日志分析平台(一)
热门推荐
菜鸟sisi
07-17 2万+
闲来无事,最近感觉现在企业招聘信息中要求会elk,作为小白的我当然也要紧跟技术界的潮流了【虽然跟的有点晚了哈@_@】 本文章是借鉴网上一篇文章并结合我自己实践过程写下的,文章最后会贴出借鉴文章的链接~ 系统: 注:我这里为测试和实验方便,ELK整套都装在同一台虚拟机中了,生产环境的话,可以分开搭建在不同的服务器上,只要能互相联通。 虚拟机中防火墙以及selinux都已关闭! 相关部署...
ELK 环境搭建
默存
09-28 6865
ELK 其实是 Elasticsearch、Logstash和Kibana三个产品的首字母缩写,这三款都是开源产品。
基于Docker搭建ELKElasticsearch、Logstash、Kibana)日志框架
最新发布
lucky_fd的博客
06-20 1225
随着企业业务的不断增长,日志管理成为了系统运维中不可或缺的一部分。ELKElasticsearch、Logstash、Kibana)作为一套开源的日志管理系统,以其高效、灵活、可扩展的特性,成为了众多企业的首选。本文将详细介绍如何搭建一套完整的ELK日志管理系统。
ELK搭建完整步骤
qq_45882426的博客
11-09 1725
ELK其实是Elasticsearch,Logstash 和 Kibana三个产品的首字母缩写,这三款都是开源产品。ElasticSearch(简称ES),是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。Logstash,是一个数据收集引擎,主要用于进行数据收集、解析,并将数据发送给ES。支持的数据源包括本地文件、ElasticSearch、MySQL、Kafka等等。Kibana,为 Elasticsearch 提供了分析和 Web 可视化界面,并生成各种维度表格、图形。
ELK搭建和使用
YIYIYI
08-11 4288
ELK搭建和使用
ELK搭建日志分析系统
iOLO的博客
03-06 2316
记录ELK搭建过程和遇到的问题, 所有下载链接都在官方下载地址 建议服务器配置高一些,例如2HG ES安装 下载后上传到对应的服务器位置 解压 : tar -xzvf file.tar.gz 配置磁盘,当磁盘大于95%,就只能读取,不能写入 cluster.routing.allocation.disk.threshold_enabled: false 解压后,进入对应目录,启动,因为e...
手把手教你通过 ELK 搭建实时日志分析平台
06-09
ELKElasticsearch、 Logstash 和 Kibana 这三个软件集合的简称,ELK 搭建实时日志分析平台视频教程,本次课程,青云QingCloud 工程师彭科、东升将会从技术角度来分享如果搭建 ELK 实时日志分析平台
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+Kibana(ELK)是一套开源的日志管理方案,分析网站的访问情况时我们一般会借助Google/百度/CNZZ等方式嵌入JS做数据统计,但是当网站访问异常或者被攻击时我们需要在后台分析如Nginx的具体...
ELK日志分析平台搭建全过程
02-24
当生产环境有很多服务器、很多业务模块的日志需要每时每刻查看时系统:centos6.5JDK:1.8Elasticsearch-5.0.0Logstash-5.0.0kibana-5.0.01、安装JDK下载JDK:...将安装包拷贝至安装服务器/usr/local目录[root@localhost...
ELk日志分析系统搭建
@chenk的博客
05-17 5697
一、什么是ELKELKElasticsearch + Logstash + Kibana 这种架构的简写. ​ 这是一种日志分析平台的架构. 如果没有ELK这样的日志分析平台,我们同样可以使用shell三剑客(grep、sed、awk)来分析日志。 这种方式略显原始而简陋,虽然也能应对大多数的场景,但是当日志量变大,分析频繁的时候,仅靠人工shell 的方式来查看分析日志,就很不方便。 尤其适当使用者,对于shell不是很擅长的情况下,一个操作简单,配置方便的日志分析平台,就显得很有必要了。
ELK搜索高级
1663988740
08-05 3071
ELK搜索高级课程 1. 课程简介 1.1 课程内容 ​ ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体,分别取其首字母组成ELKELK是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 ​ 本课程分别对三个组件进行详细介绍,尤其是Elasticsearch,因为它是ELK的核心。Elasticsearch会对底层的文档、索引、搜索、聚
ELK集群搭建流程(实践可用)
7B_Geek的博客
09-06 1011
ELK 是一个由三个开源软件工具组成的数据处理和可视化平台,包括 Elasticsearch、Logstash 和 Kibana。这些工具都是由 Elastic 公司创建和维护的。Elasticsearch 是一个分布式的搜索和分析引擎,可以将大量数据存储在一个或多个节点上,支持实时搜索、分析和聚合,提供高性能的全文搜索、复杂查询和分析能力。Logstash 是一个数据采集和处理工具,可以将来自各种数据源的日志数据收集、转换、过滤和存储到 Elasticsearch 中,从而实现对数据的集中管理和分析。
ELK日志平台elasticsearch+logstash+kibana)搭建
用来当笔记本
12-13 2054
为了实现分布式日志数据统一收集,实现集中式查询和管理 故障排查 安全信息和事件管理本文仅仅简单介绍了ELK的安装,而ELK其他强大的功能需要继续学习。
实战elk搭建
weixin_48687824的博客
04-02 1万+
一、ELK分析 对于ELK,主要是分为Elastic Search、Logstash和Kibana三部分:其中Logstash作为日志的汇聚,可以通过input、filter、output三部分,把日志收集、过滤、输出到Elastic Search中(也可以输出到文件或其他载体);Elastic Search作为开源的分布式引擎,提供了搜集、分析、存储数据的功能,采用的是restful接口的风格;Kibana则是作为Elastic Search分析数据的页面展示,可以进行对日志的分析、汇总...
elk搭建
ApexPredator的博客
06-21 766
elk搭建
ELK实时日志分析平台:环境搭建与组件详解
本文档详述了ELK实时日志分析平台搭建与配置,包括Elasticsearch、Logstash、Kibana和Filebeat这四个核心组件。ELK组合提供了日志收集、分析和可视化的全面解决方案,广泛应用于日志管理和监控。 Elasticsearch ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值