ELK+kafka+filebeats日志采集部署

最新推荐文章于 2024-09-19 17:30:06 发布
最新推荐文章于 2024-09-19 17:30:06 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: ELK 文章标签: elk部署 kafka filebeat kibana elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy02268879/article/details/119869897
版权

ELK版本:7.4.0
elastic官网地址:https://www.elastic.co/cn/
elastic产品地址:https://www.elastic.co/cn/elastic-stack
yum源地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum

一、ELK简介

ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。

Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 是用Java 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。在elasticsearch中,所有节点的数据是均等的。

Logstash :数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。

Kibana :可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。

Filebeat:轻量级数据收集引擎。相对于Logstash所占用的系统资源来说,Filebeat 所占用的系统资源几乎是微乎及微。它是基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择。

版本说明:

Elasticsearch、Logstash、Kibana、Filebeat安装的版本号必须全部一致,不然会出现kibana无法显示web页面。

ELK常见的几种架构:

1 Elasticsearch + Logstash + Kibana

每台机器(客户端)上部署Logstash,logstash收集了数据直接往es里面写,es分析日志,kibana查询es的数据做展示。

这是一种最简单的架构。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。因为这样要在每台机器上都部署logstash,资源消耗比较大。

2 Elasticsearch + Logstash + filebeat + Kibana

每台机器(客户端)上部署filebeat收集数据,filebeat往1台logstash里面写,logstash往es里面写,es分析日志,kibana查询es的数据做展示。

与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,但是这种架构有一个缺点,当logstash出现故障, 会造成日志的丢失。

3 Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如RabbitMQ、kafka) + Kibana

每台机器(客户端)上部署filebeat收集数据,filebeat往消息中间件集群写,1台logstash消费消息中间件集群然后往es里面写,es分析日志,kibana查询es的数据做展示。

这种架构是上面那个架构的完善版,通过增加中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志。

二、部署

本文以es+logstash+filebeat+kafka+kibana为例 

机器部署计划

node1: es、filebeat、kafka、zk

node2: es、filebeat、kafka、zk、logstash

node3: es、filebeat、kafka、zk、kibana

1.首先安装JDK

1.8

注意es的版本要和JDK的版本匹配

2.安装kafka+zk集群

zk集群安装:https://blog.csdn.net/jy02268879/article/details/80615189

kafka集群安装:https://blog.csdn.net/jy02268879/article/details/80616889 

注意这里在启动kafka前还需要修改一下配置

vi /app/kafka/kafka_2.12-2.0.0/config/server.properties

listeners=PLAINTEXT://172.20.10.8:9092
advertised.listeners=PLAINTEXT://172.20.10.8:9092

这里的IP是本机的IP,默认为localhost,不补齐会导致filebeat启动时连接kafka会有问题:

3.安装es

https://www.elastic.co/cn/downloads/past-releases#elasticsearch

每台机器下载7.4.0并且解压

每台机器创建数据目录 mkdir -p /app/es/data

每台机器修改配置

cd /app/es/elasticsearch-7.4.0/config

vi elasticsearch.yml

cluster.name: my-log-es (集群名称)
node.name: node-1 (节点名称)
path.data: /app/es/data   (存储数据的目录,需要根据具体服务器目录配置)
network.host: 172.20.10.8 (ip地址,需要根据具体服务器地址配置)
http.port: 9200        (端口号,默认为9200)
discovery.seed_hosts: ["172.20.10.11", "172.20.10.10"]
cluster.initial_master_nodes: ["node-1", "node-2","node-3"]

启动 

./bin/elasticsearch -d (输入-d表示后台运行)

Linux下elasticsearch不允许root用户运行,需要切换到其他用户执行该命令

在浏览器上输入http://172.20.10.10:9200 如果显示以下页面则说明安装成功

还要在浏览器输入http://172.20.10.8:9200/_cat/nodes?pretty

 启动报错

ERROR: [4] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
[2]: max number of threads [3795] for user [sid] is too low, increase to at least [4096]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[4]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured

 解决方法

修改配置文件,即可解决[4]的报错

vi /app/es/elasticsearch-7.4.0/config/elasticsearch.yml

cluster.initial_master_nodes: ["node-1", "node-2","node-3"]

切换到root用户,编辑limits.conf 添加类似如下内容,即可解决[1][2]的报错

vi /etc/security/limits.conf 

添加如下内容:

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

切换到root用户,即可解决[3]的报错

执行命令:

sysctl -w vm.max_map_count=262144

查看结果:

sysctl -a|grep vm.max_map_count

显示:

vm.max_map_count = 262144

上述方法修改之后,如果重启虚拟机将失效

在   /etc/sysctl.conf文件最后添加一行,即可解决[3]的报错

vm.max_map_count=262144

4.Logstash安装

下载https://www.elastic.co/cn/downloads/logstash  7.4.0版本

在node2安装

在config文件中定义一个kafka.conf文件,定义input以及output

cd /app/logstash/logstash-7.4.0/config

vi kafka.conf

input {
kafka {               #指定kafka服务
    type => "app_log"
    codec => "json"        #通用选项,用于输入数据的编解码器
    topics => "topic.log.es"        #这里定义的topic
    decorate_events => true  #此属性会将当前topic、group、partition等信息也带到message中
    bootstrap_servers => "172.20.10.8:9092,172.20.10.11:9092,172.20.10.10:9092"  #kafka集群IP和端口号9092
  }
}
output{ #输出插件,将事件发送到特定目标
elasticsearch { #输出到es
hosts => ["172.20.10.8:9200","172.20.10.11:9200","172.20.10.10:9200"] #指定es服务的ip加端口
index => ["%{type}-%{+YYYY.MM.dd}"] #引用input中的type名称,定义输出的格式
}
}

注意这里的type的值为app_log,在kibana才启动后喊创建索引,能看到:

其实这个type,比如说哈,我有5套环境,每套环境有7个组件。那这里可以分开,写35个input。

每个的type叫环境名-组件名。且每个走不同的topic

启动服务 ./bin/logstash -f config/kafka.conf

后台启动 nohup ./bin/logstash -f config/kafka.conf &

报错

Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory(0x00000000c5330000, 986513408, 0) failed; error='Cannot allocate memory' (errno=12)
#
# There is insufficient memory for the Java Runtime Environment to continue.
# Native memory allocation (mmap) failed to map 986513408 bytes for committing reserved memory.
# An error report file with more information is saved as:
# /app/logstash/logstash-7.4.0/hs_err_pid7568.log

解决方法

我是在虚拟机上运行的,虚拟机的内存只有1G,改成了2G

报错

Got response code '503' contacting Elasticsearch at URL 'http://172.20.10.8:9200/_template/logstash'

5.Kibana安装

在node3安装

下载:https://www.elastic.co/cn/downloads/past-releases#kibana

下载7.4.0版本并且解压到/app/kibana

修改config/kibana.yml文件

config/kibana.yml文件加入配置使之变成中文界面

i18n.locale: "zh-CN" 

启动

nohup ./bin/kibana &

同样也是不能以root启动

在浏览器输入http://172.20.10.10:5601

启动报错

{"type":"log","@timestamp":"2021-08-23T12:50:39Z","tags":["reporting","warning"],"pid":23049,"message":"Reporting plugin self-check failed. Please check the Kibana Reporting settings. Error: Could not close browser client handle!"}
Could not create APM Agent configuration: Request Timeout after 30000ms

 解决方法

参考:https://blog.csdn.net/qq_40907977/article/details/104499178

https://www.oschina.net/question/2312022_2314950

6.filebeat安装

下载:https://www.elastic.co/cn/downloads/past-releases#filebeat

下载7.4.0.版本并且解压

cd /app/filebeat/filebeat-7.4.0-linux-x86_64

vi filebeat.yml

加入

output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ["172.20.10.8:9092", "172.20.10.11:9092", "172.20.10.10:9092"]

  # message topic selection + partitioning
  topic: 'topic.log.es'
  partition.round_robin:
    reachable_only: false

  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000

其中paths表示从采集什么日志文件

type:log表示输入内容Log方式

启动  nohup ./filebeat -e -c filebeat.yml &

三、kibana简单使用、及验证

kibana启动起来后创建索引

 

 

jy02268879
关注
专栏目录
部署ELK+Kafka+Filebeat日志收集分析系统
江晓龙的博客
08-16 2万+
ELK+Kafka+Filebeat日志系统 文章目录ELK+Kafka+Filebeat日志系统1.环境规划2.部署elasticsearch集群2.1.配置es-1节点2.2.配置es-2节点2.3.配置es-3节点2.4.使用es-head插件查看集群状态3.部署kibana4.部署zookeeper4.1.配置zookeeper-1节点4.2.配置zookeeper-2节点4.3.配置zookeeper-3节点4.4.启动所有节点5.部署kafka5.1.配置kafka-1节点5.2.配置kafka
ELK+Filebeat+Kafka+ZooKeeper+Grafana大数据日志收集与分析平台
悦分享
09-12 749
ElasticSearch是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析,有点像hdfs。采用Java语言编写,可以实现数据内容存储、检索、排序、查询、报表统计、生成等功能,日志的分析以及存储全部由ElasticSearch完成。目前,最新的版本是Elasticsearch 6.3.2,它的主要特点如下:1)实时搜索,实时分析;2)分布式架构、实时文件存储,并将每一个字段都编入索引;3) 文档导向,所有的对象全部是文档;
ELK+kafka部署
幽兰空谷
07-19 682
一、ELK使用的组件的功能: Logstash: 采集、处理、传输日志Elasticsearch: 搜索引擎,保存日志 Kibana: 数据可视化显示 Kafka: 消息队列,用于缓存logstash到es传输的日志,防止日志爆发,es来不及储存而引起数据丢失。 Zookeeper: Kafka集群搭建依赖于Zookeeper集群 二、系统架构图 架构解析: 1.logstash占用资源比较...
ELK企业级日志分析系统
最新发布
qq_63994746的博客
09-19 1299
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求ELKElasticsearch、Logstash、Kibana 的缩写,这三个工具组合在一起,用于数据收集、存储、 搜索和可视化分析。它们的角色如下:核心搜索和分析引擎,负责存储数据并提供快速的全文搜索和分析功能。
ELK+Kafka部署
草宝虫的博客
11-21 769
目录 1.背景 2.ELK的配置 2.1.下载 2.2.关闭防火墙 2.3.安装elasticsearch 2.4.安装Logstash 2.5.安装Kibana 2.6.Java日志输出到Logstash 2.7.OSS版本 3.Kafka的配置 3.1.zookeeper搭建 3.2.kafka搭建 4.整合 1.背景 高日志压力情况下,为了避免Logstash...
ELK+Filebead+zookeeper+kafka部署
m0_71521555的博客
10-11 1821
ELK+Filebead+zookeeper+kafka部署
ELK+filebeat+kafka部署 (1)ELK部署
JinLu_的博客
06-15 1166
EKL部署, 安装Elasticsearch、 安装logstash、安装Kibana Kibana查看日志 kibana创建索引
ELK+Filebeat+zookeeper+Kafka原理和搭建
liji133122的博客
10-28 1556
ELK+Filebeat+zookeeper+Kafka原理和搭建
ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1695
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
ELKF+kafka日志系统架构
桃花惜春风
03-25 698
文章目录我们为什么要搭建日志系统?相关组件介绍FlumeLogstashFileBeatElasticsearchKibanaKafka市场上的几种日志系统架构原有ELK架构引入消息队列架构轻量级的日志采集架构 我们为什么要搭建日志系统? 日志系统已经成为目前互联网行业的必备项目,用户行为分析,用户画像,包括事件的异常分析,统计分析等等都要依赖于日志。 随着大数据的快速发展,近些年来日志被越来越多...
K8S环境 使用ELK+Filebeat 收集容器日志的方案和安装部署
likangdir的博客
03-17 4023
ELK + Filebeat K8S环境安装 通过helm来安装 ELK+Filebeat 相关的chart已经上传 github.com 点击此处 ELK+Filbeat 下载原码 怎么说呢,helm安装特别简单,没啥说的,主要是chart编写,详情这里就不说了,点击之处了解 ,现把主要的编排内容摘抄如下: kind: StatefulSet metadata: name: enervated-puma-elasticsearch labels: heritage: "Tiller"
Filebeat +Kafka + Logstash + ElasticSearch +Kibana +解析日志文件实例(四)
01-07
本篇文章我们来解决第三个问题: kibana又如何用直观的显示我们希望看到的日志报表? 根据数据显示看板,大致三步, 第一步是设置数据源,根据我们之前推送给elasticsearch日志数据,使用management标签创建索引模式; 第二步根据第一步创建的索引模式,使用Visualize 标签页用来设计可视化图形; 第三步根据第二步做好的可视化图形,使用Dashboard标签来配置我们的看板 一、下面我们开始做第一步,创建索引: 目前有两天的数据,我们创建一个能包含这两天数据的索引模式:  创建好索引模式后,点击“Discover”标签后就可以看到我们创建的“errinfo-scm”
ELKB Logstash+Filebeats配置文件
01-14
Logstash的配置文件包括grok,字段分隔,字段移除,日志中日期替换@timestamp,动态索引根据日志日期生成等等...... Filebeat日志多行合并,日志分类索引等等...... 注意修改配置文件中关于Logstash及Elasticsearch的IP地址的配置
Filebeat安装部署
qianghong000的博客
08-01 134
# 一、简单概述   最近在了解ELK日志采集相关的内容,这篇文章主要讲解通过filebeat来实现日志的收集。日志采集的工具有很多种,如fluentd, flume, logstash,betas等等。首先要知道为什么要使用filebeat呢?因为logstash是jvm跑的,资源消耗比较大,启动一个logstash就需要消耗500M左右的内存,而filebeat只需要10来M内存资源。常用...
ELK——ELK+filebeat+kafka部署——(3)部署kafka
w1206507055的博客
06-17 1361
ELK+filebeat+kafka 部署
ELK+Kafka学习笔记之搭建ELK+Kafka日志收集系统集群
dengxiangbao3167的博客
12-03 482
0x00 概述 关于如何搭建ELK部分,请参考这篇文章,https://www.cnblogs.com/JetpropelledSnake/p/9893566.html。 该篇用户为非root,使用用户为“elk”。 基于以前ELK架构的基础,结合Kafka队列,实现了ELK+Kafka集群,整体架构如下: # 1. 两台es组成es集群;( 以下对elasti...
Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版
weixin_30588907的博客
04-16 817
1. 了解各个组件的作用 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据 Logstash是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道...
ELKfilebeat
czjnoe的博客
01-23 1328
环境 window10 版本:filebeat-7.16.3 下载: filebeathttps://www.elastic.co/cn/downloads/past-releases#filebeat beatshttps://www.elastic.co/cn/beats/ 官网文档https://www.elastic.co/guide/en/beats/filebeat/6.5/filebeat-getting-started.html#filebeat-getting-starte..
【超详细】手把手教你搭建filebeat+kafka日志监控集群
xiaobai5556的博客
03-23 7993
实验环境:三台centos7的虚拟机,kafka_2.12-3.0.1,apache-zookeeper-3.6.3 kafka集群最好只用三台以上;由于我电脑配置原因,就只开启了两台kafka作为集群 主机名 ip kafka01 192.168.1.100 kafka02 192.168.1.101 filebeat-nginx-01 192.168.1.102 前期准备: 修改三台主机的hosts文件 vim /etc/hosts 127.0.0.1 localhos
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值