ELK 实践及采坑记录

最新推荐文章于 2022-11-07 11:40:24 发布
最新推荐文章于 2022-11-07 11:40:24 发布
阅读量196 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dasdingo/article/details/104809897
版权

文章目录

ELK 实践

全局流程

选用了加入 Kafka 的 ELK 架构
server1
filebeat
server2
filebeat
kafka
kafka
logstash
es
kibana

服务端日志

服务端用的SpringBoot,日志使用了 slf4j + logback,用到了 MDC 输出一些 session 信息,pattern 基于 SpringBoot 默认 FILE_LOG_PATTERN 的基础上优化了文件名、行号及自定义 MDC ,具体配置如下:

%d{${LOG_DATEFORMAT_PATTERN:-yyyy-MM-dd HH:mm:ss.SSS}} ${LOG_LEVEL_PATTERN:-%5p} ${PID:- } --- [%t] %logger{40}\\(%F:%L\\) %X{CURRENT_USER:-system} %X{MOCK_USER:-self} : %m%n${LOG_EXCEPTION_CONVERSION_WORD:-%wEx}}

日志 Demo

2020-03-12 00:02:24.256  INFO 196145 --- [main] o.s.s.concurrent.ThreadPoolTaskExecutor(ExecutorConfigurationSupport.java:171) system self : Initializing ExecutorService 'applicationTaskExecutor'

filebeat

目标:文件输入,输出kafka

配置文件:

filebeat.inputs:
- type: log
  enabled: true
  tail_files: true
  paths:
    - /my/service/path/log/*-debug.log.*
    - /my/service/path/log/*-info.log.*
  # 这里为了解决 Slf4j 抛异常堆栈等多行日志的情况
  multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
  multiline.negate: true
  multiline.match: after
  
output.kafka:
  hosts: ["my-kafka.host1:9092", "my-kafka.host1:9092"]
  topic: 'my-kafka-topic'
  client_id: 'my-kafka-topic-XXXX'
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
  
#output.console:
#  pretty: true

调试的时候先开了 output.console,验证没问题之后才 output 到 kafka

输出数据 demo:

{
  "@metadata": {
    "beat": "filebeat",
    "type": "_doc",
    "version": "7.6.1"
  },
  "@timestamp": "2020-03-10T16:43:05.504Z",
  "input": {
    "type": "log"
  },
  "agent": {
    "ephemeral_id": "15f3cfd8-4c3f-4be2-b014-0da2480ace49",
    "hostname": "my-server.host1",
    "id": "ca1321c2-dde2-4465-91b7-474a067742e3",
    "type": "filebeat",
    "version": "7.6.1"
  },
  "ecs": {
    "version": "1.4.0"
  },
  "log": {
    "file": {
      "path": "/my/service/path/log/service-debug.log.2020-03-12"
    },
    "offset": 21897293
  },
  "host": {
    "name": "my-server.host1"
  },
  "message": "2020-03-12 00:02:24.256  INFO 196145 --- [main] o.s.s.concurrent.ThreadPoolTaskExecutor(ExecutorConfigurationSupport.java:171) system self : Initializing ExecutorService 'applicationTaskExecutor'"
}

logstash

配置文件:

input {
   kafka {
        bootstrap_servers => "my-kafka.host1:9092,my-kafka.host1:9092"
        client_id => "my-kafka-topic-XXXX"
        group_id => "my-kafka-topic-elk"
        auto_offset_reset => "latest" 
        consumer_threads => 1
        topics => ["my-kafka-topic"]  
    }
}

filter {
  # 这里需要先用 json 反序列化,从 kafka 里读到的 filebeat 的消息
  json{
    source => "message"
  }
  # 正则匹配 filter,强烈建议用 grok debugger 去调试
  grok {
    match => {
      "message" => "%{TIMESTAMP_ISO8601:log_time}\s+%{LOGLEVEL:log_level} %{NUMBER:log_pid} --- \[%{DATA:log_thread_name}\] %{DATA:log_class_name} %{DATA:log_current_user} %{DATA:log_mock_user} : %{GREEDYDATA:log_message}"
    }
  }
  # 类型转换,重命名一些字段、去掉一些字段
  mutate {
    rename => ["[host][name]", "hostname"]
    rename => ["[log][file][path]", "file_path"]
    rename => ["message", "raw_message"]
    remove_field => ["agent", "log", "input", "ecs", "version", "host", "@timestamp"]
  }
  # 时间类型的转换,用真正的日志时间,替代写入时间的 @timestamp 字段
  date {
    match => [ "log_time", "yyyy-MM-dd HH:mm:ss.SSS" ]
    target => "@timestamp"
  }
}

#output {
#  stdout {
#    codec => rubydebug
##    codec => json_lines
#  }
#}

output {
  elasticsearch {
    hosts => ["http://my-es.host:9299"]
    index => "my-index-elk_%{+YYYY-MM-dd}" # logstash 可以根据数据模板自动创建或者更新 es 的mapping
    user => "test_user"
    password => "test_user"
    document_type => "_doc" # 这里因为用的 es6,各版本的默认值不一样,最新的 es8 这个字段已经 deprecated 了
  }
}

调试的时候先开了 output.stdout,验证没问题之后才 output 到 es

不加任何 filter 时的输出 Demo(即filebeat输出到kafka,再由kafka输入到logstash的原始格式:

{
    "@timestamp" => 2020-03-11T11:02:24.128Z,
      "@version" => "1",
       "message" => "{\"@timestamp\":\"2020-03-12T00:02:24.256Z\",\"@metadata\":{\"beat\":\"filebeat\",\"type\":\"_doc\",\"version\":\"7.6.1\"},\"input\":{\"type\":\"log\"},\"ecs\":{\"version\":\"1.4.0\"},\"host\":{\"name\":\"my-service.host1\"},\"agent\":{\"type\":\"filebeat\",\"ephemeral_id\":\"85042605-dfef-41d0-96e0-9810b1de1716\",\"hostname\":\"my-service.host1\",\"id\":\"ca1321c2-dde2-4465-91b7-474a067742e3\",\"version\":\"7.6.1\"},\"log\":{\"offset\":179604,\"file\":{\"path\":\"/my/service/path/log/service-debug.log.2020-03-12\"}},\"message\":\"2020-03-12 00:02:24.256  INFO 196145 --- [main] o.s.s.concurrent.ThreadPoolTaskExecutor(ExecutorConfigurationSupport.java:171) system self : Initializing ExecutorService 'applicationTaskExecutor'\"}"
}

加了上面配置的所有 filter 之后的输出Demo:(除非很熟悉配置,否则别妄想一次配成功)

{
             "log_pid" => "196288",
          "@timestamp" => 2020-03-11T11:02:24.256Z,
            "@version" => "1",
      "log_class_name" => "c.b.s.s.c.u.helper.AsyncDetectHelper(FileLog.java:47)",
         "raw_message" => "2020-03-12 00:02:24.256  INFO 196145 --- [main] o.s.s.concurrent.ThreadPoolTaskExecutor(ExecutorConfigurationSupport.java:171) system self : Initializing ExecutorService 'applicationTaskExecutor'",
       "log_mock_user" => "self",
     "log_thread_name" => "ServerDetect-thread",
            "log_time" => "2020-03-12 00:02:24.256",
           "log_level" => "INFO",
            "hostname" => "my-service.host1",
           "file_path" => "/my/service/path/service-info.log.2020-03-12",
         "log_message" => "Initializing ExecutorService 'applicationTaskExecutor'",
    "log_current_user" => "system"
}

es

mapping配置:

POST http://my-es.host/my-elk/_doc/_mapping

{
    "_doc": {
        "properties": {
            "log_time": {
                "type": "date",
                "format": "yyyy-MM-dd HH:mm:ss.SSS"
            },
            "log_level": {
                "type": "keyword"
            },
            "log_pid": {
            	"type": "integer"
            },
            "log_class_name": {
            	"type": "text"
            },
            "log_current_user": {
            	"type": "keyword"
            },
            "log_mock_user": {
            	"type": "keyword"
            },
            "log_message": {
                "type": "text"
            },
            "hostname": {
            	"type": "text"
            },
            "file_path": {
            	"type": "text"
            },
            "raw_massage": {
            	"type": "text"
            },
            "@timestamp": {
            	"type": "date",
                "format": "date_optional_time"
            }
        }
    }
}

kibana

management -> elasticsearch -> index management 里查下索引是不是自动建好了
management -> kibana -> index patterns 创建一个 pattern,配置索引前缀规则、时间字段
management -> kibana -> Advance Settings -> Timezone for date formatting 恢复成默认的 browser,我这刚打开是 UTC,这个如果不改,搜索日志时,时间戳会显示为 UTC 时间

剩下的就是搜索日志了

遇到的一些坑

版本不匹配

直接说结论吧:

  1. 尽量将 ELK 三个组件的版本统一(人家本来就是一套东西,想想也知道要用同一个版本),Logstash 如果和 es 版本不匹配,曾出现过 output 到 es 时,报 http 406 的错误
  2. 由于logstash读写kafka 都是用的插件,所以插件的版本一定要和kafka兼容,否则报过认证错误

logstash

logstash 坑还是比较多的,grok规则(推荐grok debugger)、时间规则,都需要字节去看下官方文档,遇到问题可以先扫一眼StackOverFlow、CSDN什么的,问题不是完全一样或者没法马上找到答案的,马上Google搜下关键字,找到对应的官方文档,别浪费时间在别人的问题上

logstash创建es索引的时候还有个坑,是根据UTC时间来计算的,所以会有8小时时差,而且人家作者说了,就这么设计的,不需要改,可以参考这篇讨论,中间有一段中英文切换,场面一度十分混乱

es

es 主要遇到创建mapping的api的坑,比如URL的层次和body中json的层次如果对应不上,会报各种莫名其妙的错误

kibana

kibana没啥问题,就是时区一定要改,不然没法看

zhoutianju
关注
elk日志系统部署及实践
09-29
Elasticsearch是一个基于Apache Lucene构建的实分布式搜索和分析引擎,支持全文搜索、结构化搜索及分析等多种功能。其采用Java编写,并以文档为处理核心,具备高可用性和易扩展性,支持集群、分片和复制机制。...
filebeat output kafka配置参数
qq522044637的博客
07-09 7100
目录 配置Kafka output Example configuration 兼容性 配置选项 enable host version username password sasl.mechanism topic topics key partition client_id worker codec metadata max_retries bulk_max_size bulk_flush_frequency timeout broket_timeout
Kibana的8小差异
黑卡米的专栏
06-29 2208
问题 使用LocalDateTime.now() 写入间,在使用Kibana根据间筛选数据,会发现通过间筛选不出数据来,如果将筛选间都延长8小则可以显示。 分析 我的理解,全世界一共分24个区,大家都想要以8点位早晨,可有些国家8点就是黑夜不能定义为早晨,那只能将国家位置不同在间点上做偏移。 中国在东八区,相比于中区多了8个小,所以筛选的候,kibana自动减去8个小。而实际情况我们不希望它自动做什么处理,我选择是多少你就按照多少来筛选。 解决 进入Stack Management
最新ELK集群 => Kafka实现高吞吐量ELK日志分析系统
weixin_56903457的博客
08-23 528
Kafka消息队列 简介:Apache的顶级开源项目,是一个分布式(partition),多副本(replica),基于zookeerper(集群管理者) 协调的分布式消息队列,最大特性高吞吐量、实处理大量数据满足各种场景需求,解决延、处理性能....问题。 原理:数据缓冲队列,同提高服务的可扩展性,来面对大量的访问请求及压力 特性: 高吞吐量 => kafka每秒处理万级别的消息 可扩展性 => kafka支持集群(热扩展)、数据的持久化(副本) 可靠性
解决kibana间筛选数据不对的问题
最新发布
Hi文的博客
11-07 1593
解决kibana间筛选数据不对的问题
FileBeat: error loading config file: yaml: did not find expected key
weixin_42476127的博客
12-30 8297
在运行./filebeat报出error错误: Exiting: error loading config file: yaml: line 197: did not find expected key 发现是格式错误,空格多了,去除点多余的空格 #============================== Kafka Output =============================== output.kafka: # initial brokers for reading cluster
ELK入门及集群搭建快速实践1
08-08
ELK(Elasticsearch, Logstash, Kibana)是一个流行的日志管理和分析解决方案,尤其适合处理大量分散的日志数据。ELK栈的每个组件都有特定的职责: 1. Elasticsearch:作为ELK的核心,Elasticsearch是一个分布式、...
架构师日志平台ELKStack实践视频.zip
02-12
目录 1.elk简介、ES安装.flv 2.es集群.flv 3-logstash快速入门.flv 4-logstash收集系统日志-file.flv 5-logstash收集java日志-codec.flv 6-kibana介绍.flv ...12-kibana实践.flv 13-elk上线流程.flv
ELK——ElasticStack日志分析平台
611 - 菜鸟运维逆袭架构师之路
07-17 1996
ELK+Kafka构建高并发分布式日志收集系统集群前言kafkakafka特性kafka与ELK相关术语ELK+kafka实战Elasticsearch集群安装配置 前言 kafka 高吞吐量的分布式发布订阅消息系统 kafka特性 通过磁盘数据结构提供消息的持久化,这种结构对于即使数以TB的消息存储也能够保持长间的稳定性能。 高吞吐量︰即使是非常普通的硬件Kafka也可以支持每秒数百万的消息。 支持通过Kafka服务器和消费机集群来分区消息。 kafka与ELK 业务层可以直接写入到kafka
【日期、区、间】本地间转UTC间详解
热门推荐
m0_45406092的博客
04-03 1万+
/** * 把间转化为utc间格式 * * @param localTime * @return */ public static Date translatetoUtc(long localTime, TimeZone localZone) { Calendar cal = Calendar.getInstanc...
elastic date区问题解决办法
weixin_30919919的博客
03-28 650
之前介绍filter date插件就谈到区问题,但是没有说明白。最近在使用range查询间范围内的数据出现了数据量不一致的情况。特地了解了下ELK Stack中关于区的问题。 问题: 使用kibana discovery界面搜索,数据量一致。使用curl 搜索少了数据。 再说间问题前,简单了解下UTC: UTC(Universal Time Coordinated) 叫做世界统一...
filebeat里如何指定kafka的分区
JenKin的博客
06-24 3458
文章目录什么是filebeat安装filebeat配置文件解读输出日志到kafka如何输出到不同的主题如何输出到指定的分区如何获取真实的分区如何解决hash冲突 什么是filebeat Filebeat是本地文件的日志数据采集器,是使用golang语言编写的,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格
filebeat.yml配置文件详细说明
SirLZF的博客
02-07 9935
官方配置说明:https://www.elastic.co/guide/en/beats/filebeat/current/configuring-howto-filebeat.html Configure inputs Configure the output configure inputs 参数...
ELK分布式日志收集
GliangJu的博客
10-25 624
一、环境部署 es 要求Linux 的 参数 vm.max_map_count 至少为 262144,目录需要赋权限: chmod -R 777 search 新建docker-compose.yml version: '3.1' services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.6.2 container_name: elasticsearch restart:
处理K8S中日志收集filebeat报异常
运维打怪晋级之路
04-01 1893
处理K8S中日志收集filebeat报异常 错误信息 INFO producer/broker/51 maximum request accumulated, waiting for space 解决办法 1、修改filebeat的配置文件添加如下: topic: '%{[fields][log_type]}' partition.round_robin: reachable_only: false required_acks: 1 .
DateFormat 与 TimeZone
一只想跳舞的老鼠
06-29 914
DateFormat 是日期/间格式化子类的抽象类,它的实现类提供了很多种日期格式化的方法对日期解析和格式化。 TimeZone 表示区偏移量,接受区ID,例如:Asia/Shanghai或者GMT+8,根据区ID获取区偏移量 DateFormat提供一个方法,setTimeZone(TimeZone zone),接受区偏移量作为传入参数,为DateFormat日历设置区,默...
ElasticStack 6.5安装文档
lee5474264的博客
12-21 455
1.Elastic Stack简介 Elastic Stack 是一系列开源产品的合集,包括Elasticsearch、Logstash 、Kibana、Beats等等。 1.1 Elasticsearch Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索...
kibana monitor间显示问题
GcyNewStart的专栏
04-29 709
Kibana区问题 默认的kibana monitor在显示候不会兼容浏览器的区,造成监控信息查看不到,需要主动加8个小才能找到当前的日志,所以需要主动设置一下 在timezone for date formating中设置区为 Asia/Shanghai即可 ...
提升高吞吐ELK实践:携程吴晓刚的策略与优化
高吞吐ELK实践是携程旅行网的吴晓刚在2015年10月25日分享的主题,关注于如何在大规模的ES(Elasticsearch)集群中实现高效的数据处理和监控。ES集群由30个节点组成,主要关注监控系统的性能优化和吞吐量提升。 系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值