ELK使用问题记录

最新推荐文章于 2024-07-18 21:01:57 发布
最新推荐文章于 2024-07-18 21:01:57 发布
阅读量203 收藏
点赞数 1
分类专栏: ELK 文章标签: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinyuxiaoqiang/article/details/74351919
版权

1.环境介绍:

使用的logstash(分别部署在两个服务器上收集日志)+redis+logstash+elasticsearch+kibana。

安装的java8 。logstash版本2.2.4-1   redis版本v=2.8.3   logstash版本2.2.4-1   elasticsearch2.4.5  kibana   4.4.2


A+B(部署的logstash)每个小时都有日志通过到特定目录,压缩包文件。通过编写python脚本每个小时对日志进行过滤处理成可以识别的状态放到logstash可以识别的目录。logstash识别新数据后,传到redis服务器。

详细的配置说明详见http://udn.yyuap.com/doc/logstash-best-practice-cn/input/stdin.html

/etc/logstash/conf.d/logstash.conf


安装 Logstash:

Logstash 软件包和 Elasticsearch 的在同一个版本库,之前我们已经添加了这个公共密钥。所以,直接创建 Lostash 的资源列表:

1
echo  'deb http://packages.elastic.co/logstash/2.2/debian stable main'  sudo  tee  /etc/apt/sources .list.d /logstash-2 .2.x.list

更新 apt 包数据源并安装:

1
2
sudo  apt-get update
sudo  apt-get  install  logstash

配置logstash

input {
   file {
		type => "click"     #给日志定一个类型
		path => "/srv/om-data-backup/click_log_hour_analyse/*.log"     #日志每小时都处理后放到这里
		start_position => "beginning" #从文件开始处读写
   }
#		stdin {}  #可以从标准输入读数据
}

filter {
    #执行ruby程序,下面例子是将日期转化为字符串赋予daytag
    ruby {
		code => "event['daytag'] = event.timestamp.time.localtime.strftime('%Y-%m-%d')"
    }

    #定义数据的格式
    grok {
		match => { "message" => "%{DATA:PlayName}\&%{DATA:Action}\&%{DATA:UserID}\&%{DATA:VideoID}\&%{IP:AccessIP}\&%{DATA:TimeStamp}\&%{DATA:Protocol}\&%{DATA:Suffix}\&%{DATA:AccessUrl}\&%{DATA:TerminalType}\&%{GREEDYDATA:UserAgent}"}
	}

    date {
        match => [ "TimeStamp" , "dd/MMM/yyyy:HH:mm:ss"]  ##将上边message中匹配的时间字符串转换成时间戳类型的数值,使得时间戳为日志的访问时间。
    }

    geoip {
        source => "AccessIP"
#        fields => ["continent_code", "country_name", "city_name","real_region_name", "country_code2", "country_code3", "ip", "latitude", "longitude", "location", "timezone"]
        fields => ["country_name", "city_name","real_region_name", "ip", "latitude", "longitude", "location"]
    } ##增加上边message中匹配的访问IP的地址查询功能。获取来访地址的位置信息。
}

output {
#   stdout{codec=>rubydebug}
#    elasticsearch {
#        hosts => ["localhost:9200"]
##        protocol => "http"
#    	sniffing => true
#    	manage_template => false
#        index => "logstash-%{type}-%{+YYYY.MM.dd}"
#        document_type => "%{type}"
##        workers => 5
##        template_overwrite => true
#    }
    redis{
        host => '10.12.70.122:6379'  #redis服务器ip和端口
        data_type => 'list'  #列表方式存入redis,logstash取的时候也是这个类型。
#        key => 'logstash-%{type}-%{+YYYY.MM.dd}'
        key => 'logstash:redis'   ##redis中存储的方式。redis-cli 输入keys *  可以看到。
    }
}


C(部署redis服务) 安装并配置redis,设置redis端口6379 。启动方式redis-server  /path/to/config/file

redis有个安全问题需要注意。默认是不需要任何权限就可以登录。所以,启动redis需要做安全设置。

我的方法是添加iptables策略。

先允许,再全部拒绝,可以达到只允许某些IP访问某个端口目的。

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT 
iptables -A OUTPUT -d 127.0.0.1 -p tcp --sport 6379 -j ACCEPT 

允许本地访问,可以通过redis-cli进行测试。

iptables -A INPUT -s 1.1.1.1 -p tcp --dport 6379 -j ACCEPT
iptables -A OUTPUT -d 1.1.1.1 -p tcp --sport 6379 -j ACCEPT

允许某个特定的IP 1.1.1.1访问 6379端口。

还可以同样的方式添加其他IP访问6379端口。

iptables -A INPUT -s 0.0.0.0/0 -ptcp --dport 6379 -j DROP

这样拒绝掉了其他端口访问6379端口。


D(部署logstash+elasticsearch+kibana)

安装java 8:

Elasticsearch 和 Logstash 需要 Java,所以我们需要安装。Elasticsearch 需要安装最新的 Oracle Java 8。

添加 Oracle JavaPPA 到 apt并安装:

add-apt-repository -y ppa:webupd8team/java
apt-get update
apt-get -y install oracle-java8-installer

安装 Elasticsearch:

Elasticsearch 可以用包管理器通过添加 Elasticsearch的包源列表进行安装。
用下面的命令来导入 Elasticsearch 公共 GPG 密钥到 apt: 
wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
创建 Elasticsearch 资源列表: 
echo "deb http://packages.elastic.co/elasticsearch/2.x/debian stable main" | sudo tee -a /etc/apt/sources.list.d/elasticsearch-2.x.list
更新 apt 包数据库并安装elasticsearch: 
sudo apt-get update
sudo apt-get -y install elasticsearch
安装完毕后进行配置: 
vim /etc/elasticsearch/elasticsearch.yml
path.data: /srv/     # 分析后数据存放位置
network.host:  # localhost 或者IP 
http.port: 9200  # 启用的端口
启动elasticsearch: 
service elasticsearch restart
# 启动过程会校验java环境和/etc/default/elasticsearch里面的设置。
# 日志目录/var/log/elasticsearch/elasticsearch.log

安装 Kibana:

Kibana 可以用包管理器通过添加 Elastic 的包源列表进行安装。
创建 Kibana 资源列表: 
echo "deb http://packages.elastic.co/kibana/4.4/debian stable main" | sudo tee -a /etc/apt/sources.list.d/kibana-4.4.x.list
更新 apt 包数据源并安装: 
sudo apt-get update
sudo apt-get -y install kibana
修改配置文件: 
vim /opt/kibana/config/kibana.yml
server.port: 5601  # 端口
server.host: "localhost"  # 监听IP
elasticsearch.url: "http://localhost:9200" # elasticsearch 端口。
启动kibana: 
service kibana start
# 启动过程会校验/etc/default/kibana里面的参数。
# 日志位置 /var/log/kibana/kibana.stdout














jinyuxiaoqiang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK简介及其配置和常规用法
king_weng的博客
06-02 2148
0、前提 Java环境 注:运行ELK需要有对应的java环境,此处要注意的时候如果ELK的版本不是很高,那么jdk的版本也不宜过高 1、ELK简介 ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。 (1)Elasticsearch: 是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可扩展的分布式系统。它构建于Apache Lucene...
ELK安装过程中常见的问题
king_weng的博客
06-02 1930
一、elasticsearch 1、OpenJDK 64-Bit Server VM warning: Option UseConcMarkSweepGC was deprecated in version 9.0 and will likely be removed in a future release. 解决: 关闭虚拟机并将处理器的的“每个处理器的内核数量”改为2。 2、main ERROR Could not register mbeans java.security.Acc.
ELK常见部署架构以及出现的问题及解决方案
YIYIYI
08-12 1488
ELK常见部署架构以及出现的问题及解决方案
ELK搭建以及使用教程(多pipiline)
weixin_38405770的博客
11-05 1361
ELK搭建
日志之ELK使用讲解
最新发布
上善若泪
07-18 1248
ELK是一个开源的实时日志分析平台,它主要由Elasticsearch、Logstash 和 Kibana三部分组成。在ELK中,三大组件的大概工作流程如下图所示,由Logstash从各个服务中采集日志并存放至中,然后再由Kiabana从中查询日志并展示给终端用户。
ELK基础配置和使用
h123_58的博客
02-03 3185
ELK基础配置和使用
ELK安装及使用(一)
nandao158的博客
09-29 1097
今天开始分享ELK分布式日志管理系统: 1、下载elasticsearch-7.9.0 解压: 到bin目录下双击elasticsearch.bat 启动成功,访问 :http://127.0.0.1:9200/ 2、下载解压安装kibana-7.9.0-windows-x86_64 到kibana-7.9.0-windows-x86_64\config 目录下打开并修改 kibana.yml 文件:配置连接es 启动kibana 点击 bin目录下的kibana.b...
elk 问题故障处理实录
鱼的博客
08-12 6854
1.问题描述 elk节点宕机 重启节点 及logstash后报错信息 报错信息资料描述: Elasticsearch索引只读 今天添加索引时发现kibana添加索引不生效,页面也没有报错,没有创建成功只是一闪而过。 另外发现各项目日志与当前时间差异很大,filebeat一直报错io timeout 具体报错如下: filebeat无法给logstash传输数。 ip使用x代替 logstash/async.go:235 Failed to publish events caused by: read
Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法
08-28
Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法 Spring Boot 是一个基于 Java 的框架,用于构建可靠的、可维护的、灵活的 web 应用程序。在日志记录方面,Spring Boot 默认使用 logback 记录日志,...
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
【StirngBoot+ELK+Kafka记录日志】是一种高效、实时的日志收集、分析和展示解决方案,尤其适用于大型分布式系统。该系统通过整合SpringBoot应用的日志记录、Kafka的消息中间件、ELK(Elasticsearch、Logstash、Kibana...
基于Django和ELK日志记录系统的设计源码
04-16
本源码项目是基于Django和ELK日志记录系统的设计,包含28个文件,主要使用Python编程语言。该项目使用elasticsearch、kibna和logstash来记录Django日志,旨在帮助开发者更高效地监控和管理Django应用的日志。通过该...
ELK使用教程
07-22
### ELK使用教程 #### Logstash 入门与配置详解 **Logstash** 是 ELK (Elasticsearch, Logstash, Kibana) 堆栈中的数据收集和处理组件。它负责收集日志文件和其他数据源的数据,并将这些数据进行格式化、过滤和...
ELK学习记录
06-23
### ELK学习记录 #### ELK配置及使用步骤详解 ELK栈,即Elasticsearch、Logstash与Kibana的组合,是当前业界广泛采用的日志管理和数据分析平台。本篇将围绕Logstash这一核心组件进行深入探讨,涵盖其基本配置、...
ELK 使用指南 1】ELK + Filebeat 分布式日志管理平台部署
这是博客的简介的简介
10-14 5578
ELK详解(组件和工作原理);ELK部署;ELFK部署
ELK日志管理系统图示全过程详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-09 9513
概要 我们常说的ELK日志收集系统,完整的应该称为:ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,它们都是开源软件,目前称为:Elastic Stack,其是ELK Stack 在 5.0 版本加入 Beats 套件后的新称呼。新增得FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集..................
ELK介绍使用
packge的博客
03-08 1394
提示:以下是本篇文章正文内容,下面案例可供参考ELK就是由来组成的,这三个技术就是我们常说的ELK技术栈,这是一种很典型的MVC思想,模型持久层,视图层和控制层。Logstash担任控制层的角色,负责搜集和过滤数据。担任数据持久层的角色,负责储存数据。Kibana担任视图层角色,拥有各种维度的查询和分析,并使用图形化的界面展示存放在Elasticsearch中的数据。Elaticsearch,简称为es, es是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;
ELK搭建及基础使用(docker版)
weixin_49566876的博客
03-23 1435
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求● ElasticSearch(日志存储和搜索):是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值