ELK+kafka+filebeats日志采集部署

最新推荐文章于 2024-02-22 14:12:42 发布
最新推荐文章于 2024-02-22 14:12:42 发布
阅读量1.3k 收藏 6
点赞数 1
分类专栏: ELK 文章标签: elk部署 kafka filebeat kibana elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy02268879/article/details/119869897
版权

ELK版本:7.4.0
elastic官网地址:https://www.elastic.co/cn/
elastic产品地址:https://www.elastic.co/cn/elastic-stack
yum源地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum

一、ELK简介

ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。

Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 是用Java 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。在elasticsearch中,所有节点的数据是均等的。

Logstash :数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。

Kibana :可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。

Filebeat:轻量级数据收集引擎。相对于Logstash所占用的系统资源来说,Filebeat 所占用的系统资源几乎是微乎及微。它是基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择。

版本说明:

Elasticsearch、Logstash、Kibana、Filebeat安装的版本号必须全部一致,不然会出现kibana无法显示web页面。

ELK常见的几种架构:

1 Elasticsearch + Logstash + Kibana

每台机器(客户端)上部署Logstash,logstash收集了数据直接往es里面写,es分析日志,kibana查询es的数据做展示。

这是一种最简单的架构。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。因为这样要在每台机器上都部署logstash,资源消耗比较大。

2 Elasticsearch + Logstash + filebeat + Kibana

每台机器(客户端)上部署filebeat收集数据,filebeat往1台logstash里面写,logstash往es里面写,es分析日志,kibana查询es的数据做展示。

与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,但是这种架构有一个缺点,当logstash出现故障, 会造成日志的丢失。

3 Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如RabbitMQ、kafka) + Kibana

每台机器(客户端)上部署filebeat收集数据,filebeat往消息中间件集群写,1台logstash消费消息中间件集群然后往es里面写,es分析日志,kibana查询es的数据做展示。

这种架构是上面那个架构的完善版,通过增加中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志。

二、部署

本文以es+logstash+filebeat+kafka+kibana为例 

机器部署计划

node1: es、filebeat、kafka、zk

node2: es、filebeat、kafka、zk、logstash

node3: es、filebeat、kafka、zk、kibana

1.首先安装JDK

1.8

注意es的版本要和JDK的版本匹配

2.安装kafka+zk集群

zk集群安装:https://blog.csdn.net/jy02268879/article/details/80615189

kafka集群安装:https://blog.csdn.net/jy02268879/article/details/80616889 

注意这里在启动kafka前还需要修改一下配置

vi /app/kafka/kafka_2.12-2.0.0/config/server.properties

listeners=PLAINTEXT://172.20.10.8:9092
advertised.listeners=PLAINTEXT://172.20.10.8:9092

这里的IP是本机的IP,默认为localhost,不补齐会导致filebeat启动时连接kafka会有问题:

3.安装es

https://www.elastic.co/cn/downloads/past-releases#elasticsearch

每台机器下载7.4.0并且解压

每台机器创建数据目录 mkdir -p /app/es/data

每台机器修改配置

cd /app/es/elasticsearch-7.4.0/config

vi elasticsearch.yml

cluster.name: my-log-es (集群名称)
node.name: node-1 (节点名称)
path.data: /app/es/data   (存储数据的目录,需要根据具体服务器目录配置)
network.host: 172.20.10.8 (ip地址,需要根据具体服务器地址配置)
http.port: 9200        (端口号,默认为9200)
discovery.seed_hosts: ["172.20.10.11", "172.20.10.10"]
cluster.initial_master_nodes: ["node-1", "node-2","node-3"]

启动 

./bin/elasticsearch -d (输入-d表示后台运行)

Linux下elasticsearch不允许root用户运行,需要切换到其他用户执行该命令

在浏览器上输入http://172.20.10.10:9200 如果显示以下页面则说明安装成功

还要在浏览器输入http://172.20.10.8:9200/_cat/nodes?pretty

 启动报错

ERROR: [4] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
[2]: max number of threads [3795] for user [sid] is too low, increase to at least [4096]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[4]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured

 解决方法

修改配置文件,即可解决[4]的报错

vi /app/es/elasticsearch-7.4.0/config/elasticsearch.yml

cluster.initial_master_nodes: ["node-1", "node-2","node-3"]

切换到root用户,编辑limits.conf 添加类似如下内容,即可解决[1][2]的报错

vi /etc/security/limits.conf 

添加如下内容:

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

切换到root用户,即可解决[3]的报错

执行命令:

sysctl -w vm.max_map_count=262144

查看结果:

sysctl -a|grep vm.max_map_count

显示:

vm.max_map_count = 262144

上述方法修改之后,如果重启虚拟机将失效

在   /etc/sysctl.conf文件最后添加一行,即可解决[3]的报错

vm.max_map_count=262144

4.Logstash安装

下载https://www.elastic.co/cn/downloads/logstash  7.4.0版本

在node2安装

在config文件中定义一个kafka.conf文件,定义input以及output

cd /app/logstash/logstash-7.4.0/config

vi kafka.conf

input {
kafka {               #指定kafka服务
    type => "app_log"
    codec => "json"        #通用选项,用于输入数据的编解码器
    topics => "topic.log.es"        #这里定义的topic
    decorate_events => true  #此属性会将当前topic、group、partition等信息也带到message中
    bootstrap_servers => "172.20.10.8:9092,172.20.10.11:9092,172.20.10.10:9092"  #kafka集群IP和端口号9092
  }
}
output{ #输出插件,将事件发送到特定目标
elasticsearch { #输出到es
hosts => ["172.20.10.8:9200","172.20.10.11:9200","172.20.10.10:9200"] #指定es服务的ip加端口
index => ["%{type}-%{+YYYY.MM.dd}"] #引用input中的type名称,定义输出的格式
}
}

注意这里的type的值为app_log,在kibana才启动后喊创建索引,能看到:

其实这个type,比如说哈,我有5套环境,每套环境有7个组件。那这里可以分开,写35个input。

每个的type叫环境名-组件名。且每个走不同的topic

启动服务 ./bin/logstash -f config/kafka.conf

后台启动 nohup ./bin/logstash -f config/kafka.conf &

报错

Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory(0x00000000c5330000, 986513408, 0) failed; error='Cannot allocate memory' (errno=12)
#
# There is insufficient memory for the Java Runtime Environment to continue.
# Native memory allocation (mmap) failed to map 986513408 bytes for committing reserved memory.
# An error report file with more information is saved as:
# /app/logstash/logstash-7.4.0/hs_err_pid7568.log

解决方法

我是在虚拟机上运行的,虚拟机的内存只有1G,改成了2G

报错

Got response code '503' contacting Elasticsearch at URL 'http://172.20.10.8:9200/_template/logstash'

5.Kibana安装

在node3安装

下载:https://www.elastic.co/cn/downloads/past-releases#kibana

下载7.4.0版本并且解压到/app/kibana

修改config/kibana.yml文件

config/kibana.yml文件加入配置使之变成中文界面

i18n.locale: "zh-CN" 

启动

nohup ./bin/kibana &

同样也是不能以root启动

在浏览器输入http://172.20.10.10:5601

启动报错

{"type":"log","@timestamp":"2021-08-23T12:50:39Z","tags":["reporting","warning"],"pid":23049,"message":"Reporting plugin self-check failed. Please check the Kibana Reporting settings. Error: Could not close browser client handle!"}
Could not create APM Agent configuration: Request Timeout after 30000ms

 解决方法

参考:https://blog.csdn.net/qq_40907977/article/details/104499178

https://www.oschina.net/question/2312022_2314950

6.filebeat安装

下载:https://www.elastic.co/cn/downloads/past-releases#filebeat

下载7.4.0.版本并且解压

cd /app/filebeat/filebeat-7.4.0-linux-x86_64

vi filebeat.yml

加入

output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ["172.20.10.8:9092", "172.20.10.11:9092", "172.20.10.10:9092"]

  # message topic selection + partitioning
  topic: 'topic.log.es'
  partition.round_robin:
    reachable_only: false

  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000

其中paths表示从采集什么日志文件

type:log表示输入内容Log方式

启动  nohup ./filebeat -e -c filebeat.yml &

三、kibana简单使用、及验证

kibana启动起来后创建索引

 

 

jy02268879
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker安装ES8细节处理
Mianbao88l的博客
08-10 218
本文章只是介绍一下在docker环境下搭建ES8版本的一些坑。由于我是在一台虚拟机上搭建的,给一些第一次接触8版本的小伙伴一些参考。
Kubernetes 集群使用 NFS 网络文件存储
哎_小羊的博客
11-12 9676
Kubernetes PersistentVolumes 持久化存储方案中,提供两种 API 资源方式: PersistentVolume 和 PersistentVolumeClaim。PV 可理解为集群资源,PVC 可理解为对集群资源的请求,Kubernetes 支持很多种持久化卷存储类型。NFS 是网络文件存储系统,它允许网络中的计算机之间通过 TCP/IP 网络共享资源。通过 NFS,我们本地 NFS 的客户端应用可以透明地读写位于服务端 NFS 服务器上的文件,就像访问本地文件一样方便。
ELK 简介安装
最新发布
Yuanshigou9的博客
02-22 1572
ELK_简介、ELK + Filebeat + Kafka 安装
ElasticSearch ( 一 ) 安装启动
yuanchun的知识整理
11-09 1032
ElasticSearch ( 一 ) 安装启动
Elastic:总结收集日志的几种方法
Elastic 中国社区官方博客
11-21 4718
到目前为止,我们看到有很多中不同的方法来收集日志。甚至,我们针对同样的一个日志,有好多种方法来进行采集。在今天的这篇文章中,我来简单里回顾一下。
【转】Filebeat+Kafka+Logstash+ElasticSearch+Kibana 日志采集方案
Jomly Kellenda的博客
04-26 2802
前言     Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且 logstash比filebeat功能更强大一点,2个都使用是因为:Beats 是一个轻量级的采集器,支持从边缘机器向 Logstash 和 Elasticsearch ...
win10+Elasticsearch7.6.2插件+Kibana 7.6.2报错及解决
Encore47的博客
12-25 1872
环境 win10 Elasticsearch 7.6.2 Kibana 7.6.2 安装步骤 比较详细的步骤见这篇:Kibana(安装篇):Windows下安装和运行Kibana 本文主要分享一下自己实际配置的过程中遇到的报错及解决方法。 Elasticsearch 本机目录: E:\11A Programming\elasticsearch-7.6.2\bin 运行bin目录下的elasticsearch.bat启动Elasticsearch服务,正常启动。 安装插件时报错及解决 安装中文分词插件,
es logstash Failed to install template.{:message=>“Got response code ‘500‘
TianmingQi94的博客
10-09 1741
logstash导入报错
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
2.logstash消费kafka中的消息(日志),经过过滤,输出到elasticsearch 3.最后kibana将elasticsearch收集的日志进行展示 下面详细讲解搭建过程,分成部分 一.环境准备 二 .SpringBoot+logback配置 三.ELK环境搭建 ...
elk + kafka + filebeat搭建日志分析系统-附件资源
03-05
elk + kafka + filebeat搭建日志分析系统-附件资源
elk+springboot+kafka日志跟踪配置1
08-08
elk+springboot+kafka日志跟踪配置1
关于CentOS7搭建ELK集群遇到的问题及解决办法
f95_sljz的博客
01-16 1988
采用虚拟机安装的CentOS7系统搭建ELK集群过程中遇到几个问题记录如下,对阿里云等虚拟环境或有参考作用。
ELK+Filebeat+Kafka日志采集
bright的博客
02-24 1397
我的开源微服务前后端分离博客项目地址,欢迎各位star 博主技术博客地址 欢迎大家进群,一起讨论学习 1.ELK2. ELFK3. 架构演进ELK缺点:ELK架构,并且Spring Boot应用使用 logstash-logback-encoder 直接发送给 Logstash,缺点就是Logstash是重量级日志收集server,占用cpu资源高且内存占用比较高ELFK缺点:一定程度上解决了ELK中Logstash的不足,但是由于Beats 收集的每秒数据量越来越大,Logstash 可能无法承载这么大
Kafka 概述、Filebeat+Kafka+ELK
Axic123的博客
07-13 2192
Kafka 是一个分布式的基于发布/订阅模式的消息队列(MQ,Message Queue),主要应用于大数据领域的实时计算以及日志收集。
kibana集成内部账号_kibana启动报错 连接elasticsearch
weixin_39629269的博客
12-21 1079
log [05:40:32.521] [warning][encrypted_saved_objects] Generating a random key for xpack.encrypted_saved_objects.encryptionKey. To be able to decrypt encrypted saved objects attributes after restart,...
ELK框架Logstash配合Filebeatskafka使用
qq_23858785的博客
09-04 765
ELK框架Logstash配合Filebeatskafka使用
使用Filebeat收集线上docker日志
weixin_43886546的博客
06-05 6414
Filebeat官网:https://www.elastic.co/guide/en/beats/filebeat/index.html 警告:这里一定要检查好自己安装的filebeat是哪个版本。然后在官网对应版本下,进行参数设置;避免踩坑。 一、概述 Filebeat是Beat成员之一,基于Go语言开发,并且无需添加任何依赖,Logstash 和 filebeat都具有日志收集的功能...
大数据ELK(十九):使用FileBeat采集Kafka日志到Elasticsearch
Lansonli(蓝深李)的博客
12-08 4441
全网最详细的大数据ELK文章系列,强烈建议收藏加关注! 新文章都已经列出历史文章目录,帮助大家回顾前面的知识重点。 目录 使用FileBeat采集Kafka日志到Elasticsearch 一、需求分析 二、配置FileBeats 1、input配置 2、output配置 三、配置文件 1、创建配置文件 2、复制一下到配置文件中 四、运行FileBeat 1、运行FileBeat 2、将日志数据上传到/var/kafka/log,并解压 五、查询数据 1、查看索引信息 ..
ELK+kafka+reyslog+filebeat企业级部署
05-20
ELK(Elasticsearch、Logstash、Kibana)是一个开源的日志管理和分析平台,能够帮助企业收集、存储、搜索、分析和可视化各种类型的日志数据。而Kafka是一个高吞吐量的分布式消息队列系统,可以用来收集和传输大规模的日志数据。Reyslog是一个开源的日志收集器,可以帮助企业从各种不同的数据源中收集日志数据。Filebeat是一个轻量级的日志收集工具,可以帮助企业从各种不同的文件中收集日志数据。 以下是ELK+kafka+reyslog+filebeat企业级部署的步骤: 1. 安装和配置Elasticsearch、Logstash和Kibana,并确保它们能够正常运行。可以使用docker-compose等工具来简化部署过程。 2. 安装和配置Kafka,并创建一个主题(topic)用于存储日志数据。 3. 安装和配置Reyslog,并将其配置为从各种不同的数据源中收集日志数据,并将其发送到Kafka主题(topic)中。 4. 安装和配置Filebeat,并将其配置为从各种不同的文件中收集日志数据,并将其发送到Kafka主题(topic)中。 5. 在Kibana中创建一个索引(index),并定义一个包含所有必需字段的映射(mapping)。然后,使用Logstash来将从Kafka主题(topic)中接收到的日志数据转换为适合索引(index)的格式,并将其存储在Elasticsearch中。 6. 在Kibana中创建一个仪表板(dashboard),并使用其可视化功能来呈现和分析日志数据。可以使用各种不同的可视化插件来创建自定义可视化效果。 7. 部署整个系统,并定期监控其性能和可用性,以确保其正常运行。 总之,ELK+kafka+reyslog+filebeat企业级部署需要进行一系列复杂的配置和设置,需要具备一定的技术知识和实践经验。建议企业可以考虑使用专业的日志管理和分析平台,如Splunk等,以简化部署和管理过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值