ELK日志分析系统

最新推荐文章于 2020-11-18 11:20:08 发布
最新推荐文章于 2020-11-18 11:20:08 发布
阅读量129 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daxiongbaobei/article/details/108716293
版权

ELK日志分析系统

一、ELK日志分析系统简介

日志服务器
提高安全性
集中存放日志
缺陷
对日志的分析困难
ELK日志分析系统
Elasticsearch
Logstash
Kibana
日志处理步骤
将日志进行集中化管理
将日志格式化(Logstash)并输出到Elasticsearch
对格式化后的数据进行索引和存储(Elasticsearch)
前端数据的展示(Kibana)

二、Elasticsearch介绍

Elasticsearch的概述
提供了一个分布式多用户能力的全文搜索引擎
Elasticsearch核心概念
接近实时
集群
节点
索引
索引(库)—>类型(表)—>文档(记录)
分片和副本

三、Logstash介绍

Logstash介绍
一款强大的数据处理工具
可实现数据传输、格式处理、格式化输出
数据输入、数据加工(如过滤,改写等)以及数据输出
Logstash主要组件
Shipper
Indexer
Broker
Search and Storage
Web Interface

四、Kibana介绍

Kibana介绍
一个针对ELasticsearch的开源分析及可视化平台
搜索、查看存储在Elasticsearch索引中的数据
通过各种图表进行高级数据分析及展示
Kibana主要功能
Elasticsearch无缝之集成
整合数据,复杂数据分析
让更多团队成员受益
接口灵活,分享更容易
配置简单,可视化多数据源
简单数据导出

五、部署elk日志分析系统

项目需求分析:
需要两台服务器分别作为elasticsearch服务端和elasticsearch负载端【这台上面要部署logstash服务】
服务端IP地址是:192.168.60.80
负载端IP地址是:192.168.60.90
在部署这个项目的时候会用到主机名,容易忽略

【1】elasticsearch部署
(1)修改服务端和负载端的主机名
hostnamectl set-hostname node1
hostnamectl set-hostname node2
(2)添加本地解析并关闭防火防护【//以下配置服务端和负载端配置一样】
vim /etc/hosts     
192.168.60.80 node1
192.168.60.90 node2

systemctl stop firewalld
setenforce 0
(3)安装elasticsearch-5.5.0软件【这个需要上传软件包】并加载
rpm -ivh elasticsearch-5.5.0.rpm
systemctl daemon-reload
systemctl enable elasticsearch
(4)修改elasticsearch配置文件
cp /etc/elasticsearch/elasticsearch.yml  /etc/elasticsearch/elasticsearch.yml.bak 
vim /etc/elasticsearch/elasticsearch.yml
17:cluster.name: my-elk-cluster
23:node.name: node1 | node2【在负载端中使用的主机名是node2】
33:path.data: /data/elk_data    【数据文件路径需要手动创建】
37:path.logs: /var/log/elasticsearch  【日志文件存放路径】
43:bootstrap.memory_lock: false   【不在启动的时候锁定内存】
55:network.host: 0.0.0.0                  【任意网段服务】
59:http.port: 9200
68:discovery.zen.ping.unicast.hosts: ["node1", "node2"]    【集群通过单播发现】
(5)创建数据存放路径、修改属主属组和启动
mkdir -p /data/elk_data
chown elasticsearch:elasticsearch /data/elk_data
systemctl start elasticsearch【多启动几次】
netstat -natp | grep 9200
(6)编译安装node软件包
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1
yum install -y gcc gcc-c++
./configure
make -j3  【时间较长】
make install
(7)安装phantomjs
yum install -y bzip2【最小化没由bzip2】
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src
cp /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin/phantomjs /usr/local/bin
(8)安装elasticsearch_head
tar zxvf elasticsearch-head.tar.gz -C /usr/local/src
cd /usr/local/src/elasticsearch-head/
npm install
vim /etc/elasticsearch/elasticsearch.yml
http.cors.enabled: true
http.cors.allow-origin: "*"
npm run start &【注意启动时候的路径是/usr/local/src/elasticsearch-head/,因为启动时候需要package.json】
netstat -natp | grep 9100
systemctl restart elasticsearch【等待一会时间】
netstat -natp | grep 9200
(9)在浏览器上面访问192.168.60.80:9100就会出现node节点界面
(10)添加数据
先在索引界面中添加新索引index-demon
curl -XPUT '192.168.60.80:9200/index-demon/test/1?pretty&pretty' -H 'content-Type:application/json' -d '{"user":"zhangsan"}'
再次刷新查看
【2】logstash部署
systemctl stop firewalld
setenforce 0
yum install -y httpd
systemctl start httpd
yum install -y java
java -version
rpm -ivh logstash-5.5.1.rpm
ln -s /usr/share/logstash/bin/logstash /usr/local/bin
/usr/share/logstash/bin/system-install /etc/logstash/startup.options systemd【最小化没有自动加载安装systemd管理程序】
/bin/systemctl start logstash.service
cd /etc/logstash/conf.d
vim apache-log.conf
input {
  file{
    path => "/var/log/httpd/access_log"
    type => "access"
    start_position => "beginning"
  }
  file{
    path => "/var/log/httpd/error_log"
    type => "error"
    start_position => "beginning"
  }
}

output {
 if [type] == "access" {
  elasticsearch{
    hosts => ["192.168.60.80:9200"]
    index => "apache_access-%{+YYYY.MM.dd}"
  }
 }
 if [type] == "error" {
  elasticsearch{
    hosts => ["192.168.60.80:9200"]
    index => "apache_error-%{+YYYY.MM.dd}"
  }
 }

}
 logstash -f apache-log.conf   加载配置文件

【3】kibana部署
systemctl stop firewalld
setenforce 0
rpm -ivh kibana-5.5.1-x86_64.rpm
cp /etc/kibana/kibana.yml /etc/kibana/kibana.yml.bak
vim /etc/kibana/kibana.yml
2:server.port: 5601
7:server.host: "0.0.0.0"
21:elasticsearch.url: "http://192.168.60.80:9200"
30:kibana.index: ".kibana"

systemctl start kibana.service 
netstat -natp | grep 5601

【4】在浏览器上面访问192.168.60.80:9100会出现负载均衡节点界面和Apache日志索引
访问192.168.60.60:5601会出现kibana日志分析展示界面

【5】补充知识
(1)logstash命令的使用
-f      通过这个选项可以指定logstash的配置文件
-e     后面跟着字符串,该字符串可以被当做logstash的配置【默认使用stdin作为输入,stdout作为输出】
-t     测试配置文件是否正确,然后退出
(2)标准的输入输出
logstash -e 'input { stdin{} } output { stdout{} }'
####连接成功会出现successfully,下面就要直接输入#######
www.baidu.com   
(3)使用rubydebug显示详细输出,codec是一种解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
####连接成功会出现successfully,下面就要直接输入#######
www.baidu.com   
######唯一的区别是展示出现的结构不同#########
(4)使用logstash将信息写入elasticsearch中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.60.80:9200"] } }'
####连接成功会出现successfully,下面就要直接输入#######
www.baidu.com
www.kgc.com
www.tast.com   
########在浏览器上面输入192.168.60.80:9100查看索引信息#######
daxiongbaobei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
强大的ELK日志分析系统
guguai7的博客
08-16 4361
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
ELK企业级日志分析系统概述及部署
王大雏的博客
07-20 687
ELK企业级日志分析系统概述及部署一、ELK日志分析系统概述1、ELK简介2、为什么要使用ELK?3、完整日志系统基本特征4、ELK的工作原理5、ELK日志处理步骤二、Elasticsearch概述1、Elasticsearch特性三、LogStash概述1、LogStash主要组件四、Kibana概述1、Kibana主要功能五、部署ELK实验需求环境配置配置基础环境(一)ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)1.环境准备2.部署 Elasticsearch 软件
超详细部署ELK日志分析系统!每一步骤都有记录!ELK的详细使用!
qq_41786285的博客
11-18 3783
一、ELK简介 日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 日志是一个非常庞大的数据,并且常常被分散在不同的设备上,这样排查问题的时候找日志就非常繁琐困难。 这时,一个专门处理日志的系统就非常必要,这里介绍其中的一种,ELK日志分析系统(ELasticsearch+Logstash+Kiba
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。...它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
ELK日志分析系统搭建
05-01
ELK(Elasticsearch、Logstash和Kibana) 日志分析 系统搭建
Centos7下搭建ELK日志分析系统
11-02
【Centos7下搭建ELK日志分析系统ELK栈是日志管理和分析的强大工具,由Elasticsearch、Logstash、Kibana三个组件组成。Elasticsearch是一个分布式的实时搜索和分析引擎,用于存储、分析和检索大量数据。Logstash...
ELK日志分析系统.pptx
01-04
ELK Stack 日志分析系统 ELK Stack 是一个开源的日志分析系统,由 Elasticsearch、Logstash 和 Kibana 三个组件组成。该系统能够实时地收集、存储和分析日志数据,并提供可视化的查询和分析功能。 ELK Stack 的...
ELK日志分析系统.pdf
最新发布
11-11
ELK 日志分析系统 ELK(日志分析系统)是一种开源的实时日志分析平台,由Elasticsearch、Logstash和Kibana三个开源工具组成。该平台能够解决传统日志统计和分析方式中的种种问题,提供了集中化的日志管理和实时的...
ELK日志分析系统 超详细!!理论+实操讲解!!
热门推荐
weixin_49022211的博客
11-13 1万+
文章目录一、ELK日志分析系统简介1.1日志处理的步骤1.2 ELK日志分析系统三部分1.3日志服务器(一般)二、Elasticsearch介绍2.1 Elasticsearch概述2.2 Elasticsearch的概念2.3 为什么要采用分片2.4 开启分片副本的主要原因三:Logstash介绍3.1 Logstash概述3.2 Logstash主要组件四:Kibana介绍4.1 Kibana概述4.2 Kibana主要功能五:实操 一、ELK日志分析系统简介 1.1日志处理的步骤 1.将APP s
ELK日志分析系统详解:构建与应用步骤
ELK日志分析系统是一种流行的解决方案,用于集中管理和分析企业日志数据,它由Elasticsearch、Logstash和Kibana三个开源工具组成。这个系统在IT行业中被广泛应用于监控、故障排查和性能优化。 1. **ELK平台架构** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值