ELK日志框架

最新推荐文章于 2024-05-05 17:10:17 发布
最新推荐文章于 2024-05-05 17:10:17 发布
阅读量670 收藏 2
点赞数 1
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lshstyle/article/details/98956990
版权

一、需求背景

随着业务发展越来越庞大,服务器越来越多,各种访问日志、应用日志、错误日志量越来越多,开发人员排查问题,需要到服务器上查日志,不方便。运营人员需要一些数据,需要我们运维到服务器上分析日志。

二、简介

 

ELK是 ElasticSearch、 Logstash 、 Kibana的简称,主要用于解决日志的采集、分析、存储、查看问题。也有人称为EFK,即 ElasticSearch、 FileBeat 、 Kibana,还有人称为Elastic Stack

ElasticSearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可扩展的分布式系统。它构建于Apache Lucene搜索引擎库之上。

Logstash是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包括 syslog、消息传递(例如 RabbitMQ)和JMX,它能够以多种方式输出数据,包括电子邮件、websockets和Elasticsearch。

Kibana是一个基于Web的图形界面,用于搜索、分析和可视化存储在 Elasticsearch指标中的日志数据。它利用Elasticsearch的REST接口来检索数据,不仅允许用户创建他们自己的数据的定制仪表板视图,还允许他们以特殊的方式查询和过滤数据

三、工作原理

FileBeat工作原理

 

FileBeat主要有两部分组成:inputs、harvester 。完成将指定文件的数据传输到指定的服务器上。

harvester

harvester负责一行行读取每个文件的内容,并读取内容输出。每个文件启动一个harvester。harvester负责打开和关闭文件。如果在读取文件的过程中,文件被重命名,FileBeat会继续读取文件内容。如果在harvester仍在读取文件时文件被删除,则关闭文件句柄,释放底层资源。

input

input 负责管理harvester,并且配置需要读取的文件路径。

FileBeat如何保持文件的状态

FileBeat保存每个文件的状态并频繁的记录到磁盘的注册文件中,该状态记录每个日志的读取的偏移量,并确保发送的日志行。如果输出无法访问,FileBeat会跟踪最后一次的发送行,并在输出可用时继续读取文件。在FileBeat运行过程中,内存会保存每个文件的状态,并在FileBeat重启后,根据磁盘注册文件记录的数据,重建文件状态。由于文件可能会被重命名或者移动,对于每个文件,FileBeat存储一个唯一标识符,检测文件是否被采集过。

FileBeat如何保持至少输出一次

FileBeat保证事件至少会传输到配置的输出一次,数据不会丢失。在输出阻塞或者未确认所有事件的情况下,FileBeat将继续尝试发送事件,直到接收端确认收到。发送到输出端,但是未等到接收端确认时关闭FileBeat,FileBeat在下次启动后,会重新发送。这样可以确保事件至少发送一次,但是接收端可能接收到多次输出。

Logstash工作原理

Logstash 事件处理分三个阶段 input —> filter —> output

input

监听输入端口,输入数据到logstash
常用的类型有:
1)、文件
2)、syslog
3)、redis
4)、kafka
5)、beats

filter

数据中间处理,对数据进行操作。
grok 解析任意文本数据,是logstash一个插件,主要作用是将字符串格式的文本,转换成具体的结构化数据,配合正则表达式使用。

output

将解析的结构化文本数据存储。

简单应用

Logstash + ElasticSearch + Kibana

logstash作为采集和分析,需要安装在应用服务器上,比较占用资源,在日志量比较大的时候,可能对服务器上的其他应用有影响。

fileBeat + Logstash + ElasticSearch + Kibana

因为logstash比较占用资源,这里做了优化,filebeat采集日志,logstash 解析过滤日志。filebeat占用资源比较少,对服务器上其他应用不会有很大资源竞争,logstash可以单独部署。

fileBeat + kafka/redis + Logstash + elasticsearch + kibana

当采集的日志数据量比较大,logstash日志处理任务比较重,可能会有日志积压,添加kafka或者redis作日志缓存。

四、环境搭建

版本说明:

jdk:1.8.0_191
filebeat:filebeat-6.8.2-linux-x86_64.tar.gz
logstash:logstash-6.8.2.tar.gz
elasticsearch:elasticsearch-6.8.2.tar.gz
kibana:kibana-6.8.2-linux-x86_64.tar.gz

服务器IPfilebeatlogstashelasticsearchkibana
192.168.100.01  安装(主节点)安装
192.168.100.02 安装安装(从节点) 
192.168.100.03  安装(从节点) 
192.168.100.04安装   

elasticsearch安装

参考 技术分享文档 -> ElasticSearch 6.3.x安装

kibana安装

  • 将安装kibana-6.8.2-linux-x86_64.tar.gz包放置到/data/software目录下
  • 解压 
     
    1. tar -zxvf kibana-6.8.2-linux-x86_64.tar.gz
  • 建立软链接 
     
    1. ln -s kibana-6.8.2-linux-x86_64 kibana
  • 授权给work用户 
     
    1. chown -R work:users kibana-6.8.2-linux-x86_64
    2. chown -R work:users kibana
  • 修改配置 
     
    1. cd /data/software/kibana/config
    2. vi ./kibana.yml
    3. server.port: 5601
    4. server.host: "192.168.100.01"
    5. elasticsearch.hosts: ["http://192.168.100.01:9200"]
  • 后台启动 
     
    1. nohup /data/soft/kibana/kibana &

    filebeat安装

  • 将安装filebeat-6.8.2-linux-x86_64.tar.gz包放置到/data/software目录下
  • 解压 
     
    1. tar -zxvf filebeat-6.8.2-linux-x86_64.tar.gz
  • 建立软链接 
     
    1. ln -s filebeat-6.8.2-linux-x86_64 filebeat
  • 授权给work用户 
     
    1. chown -R work:users filebeat-6.8.2-linux-x86_64
    2. chown -R work:users filebeat

  • 修改配置

     
    1. cd /data/software/filebeat/
    2. vi ./kibana.yml
    3. - type: log
    4. enabled: true
    5. paths:

    指定需要采集的文件(同一层级模糊匹配,不能子文件递归)

     
    1. - /data/logs/*.log

    日志合并行,正则表达式匹配日志的开头行或者日志中需要合并到前面日志的行,例如日志开头为日期2019-08-10,我们可以配置如下:

     
    1. Multiline.pattern: ^[0-9]{4}-[0-9]{2}-[0-9]{2}

    或者日志为[warn],我们可以这样配置:

     
    1. Multiline.pattern: ^\[

    配置日志规则匹配的行,如果正则匹配的是首行就为false,如果是后面的行和首行合并,就为true。具体看正则规则

     
    1. multiline.negate: false

    合并的日志是追加到前面日志的前面还是后面,我们这里为after

     
    1. multiline.match: after

    日志输出,可以选择elasticsearch,logstash, console中的一种,这里采用logstash
    去掉output.logstash:前面的#

     
    1. hosts: ["192.168.100.02:5040"]

    保存

  • 后台启动

     
    1. nohup /data/soft/filebeat/filebeat -e -c /data/soft/filebeat/filebeat.yml &

    logstash安装

  • 将安装logstash-6.8.2.tar.gz包放置到/data/software目录下
  • 解压 
     
    1. tar -zxvf logstash-6.8.2.tar.gz
  • 建立软链接 
     
    1. ln -s logstash-6.8.2.tar.gz logstash
  • 授权给work用户 
     
    1. chown -R work:users logstash-6.8.2.tar.gz
    2. chown -R work:users logstash
  • 修改配置
    创建日志解析配置
 
  1. mkdir conf.d
  2. cd /data/software/logstash/conf.d
  3. touch test.yml
  4. vi ./test.yml
  5. input{
  6. beats{
  7. port=>5040
  8. }
  9. }
  10. filter{
  11. if [fields][logtype] in ["icrm-prod-catalina", "icrm-prod-localhost", "icrm-prod-localhost_access", "icrm-prod-o2oapi", "icrm-prod-o2otask", "icrm-prod-rest", "icrm-prod-catalina-daemo
  12. n"]{
  13. grok{
  14. match => [ "message", "%{TIMESTAMP_ISO8601:logdate}" ]
  15. }
  16. date{
  17. match => ["logdate", "YYYY-MM-dd HH:mm:ss,SSS"]
  18. }
  19. }
  20.  
  21. }
  22. output{
  23. elasticsearch{
  24. hosts: ["192.168.200.01:9200"]
  25. index: "teset-%{+YYYY-MM-dd}"
  26. }
  27. }
  • 后台启动 
     
    1. nohup /data/soft/logstash/bin/logstash --path.settings /data/soft/logstash/config -f /data/software/logstash/conf.d &
lshstyle
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【2.3 分布式日志ELK)】一文说完日志开发框架汇总介绍
本本本添哥
04-05 279
日志框架大杂烩
ELK日志系统搭建完整详细步骤
qq_39093474的博客
05-23 967
为什么需要引进这个ELK日志采集系统呢?
快速搭建ELK日志分析系统
01-07
官网地址:https://www.elastic.co/cn/ 官网权威指南:https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html 安装指南:https://www.elastic.co/guide/en/elasticsearch/reference/5.x/rpm.html ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。 Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结
ELK 日志框架搭建(PC端)
mr_cbq的博客
10-21 889
记录学习ELK日志框架搭建(PC)
2024年大数据最全ELK日志分析(1),腾讯大牛教你自己写大数据开发第三方库
2401_84185556的博客
05-05 992
Logstash由JRuby语言编写,基于消息(message-based)的简单架构,并运行在Java虚拟机(JVM)上。不同于分离的代理端(agent)或主机端(server),LogStash可配置单一的代理端(agent)与其它开源软件结合,以实现不同的功能。Logstash的理念1)Collect:数据输入2)Enrich:数据加工,如过滤,改写等3)Transport:数据输出(被其他模块进行调用)
【监控系统】日志可视化监控体系ELK搭建
互联网小阿祥
11-20 2191
日志可视化监控体系ELK搭建
ELK框架介绍
qq_41466440的博客
11-09 2683
1.核心组成 ELK是一个应用套件,由Elasticsearch、Logstach、Libana三部分组成,简称ELKELK可以将系统日志、网站日志、应用系统日志等各种日志进行收集、过滤、清晰,然后进行集中存放并可用于实时检索、分析。上述三款软件归于Elastic.co公司名下,故又简称ELK Stack 2.Elasticsearch介绍 Elasticsearch是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析,采用Java语言编写。它的主要特点如下: 实时搜索,实时分析
Java开发 - ELK初体验
CodingFire的博客
03-19 2713
ELK是如今比较流行的一套框架,主要用于日志的采集保存和查询。线上情况,我们不能通过控制台来实时查看,但却可以通过日志输出来定位问题,查看必要的信息。如果保存成文件,也必然是极庞大的体量,并不适合我们去翻看,查找信息,这才有了ELH,其实对于ELK,大家也并不陌生,其中的E,就是我们前段时间学习的ES,全名Elasticsearch,中文名:全文搜索引擎。是不是很惊喜和意外?所以当然,L和K也是两个单独的系统,他们统称为ELK,下面,我们将逐一介绍这三个东西是什么。如果自己做,还是推荐官方的做法。
ELK日志框架在windows和linux下的部署
08-25
ELK日志框架在windows和linux下的部署
springboot向elk日志实现过程
08-25
Logback 是一个功能强大且灵活的日志框架,提供了许多有用的功能,例如异步日志日志-roll、日志-filter 等。 在 Spring Boot 项目中,我们需要添加 Logback 的依赖项,例如: ``` <groupId>ch.qos.logback ...
ELK日志系统浅析与部署
01-27
ELK日志系统浅析与部署》 在现代企业应用环境中,日志管理成为了一个不可或缺的环节。传统的日志记录方式,由于分散且缺乏统一的管理,导致开发人员和运维人员在面对服务问题时,难以快速定位和解决。ELK...
java日志框架
12-06
Java日志框架是Java开发中不可或缺的部分,它们用于记录应用程序的运行信息,帮助开发者追踪错误、调试代码以及进行性能分析。Log4j和Logback是其中最常用的两个框架,它们都由Ceki Gülcü创建,并且在设计上有着...
2024年Java最全集群日志收集架构ELK(1),springboot底层原理面试题
最新发布
2401_83977745的博客
05-05 888
ElasticSearch是一个实时的分布式搜索和分析引擎,采用java语言编写,现在的最新版本已经ElasticSearch7.5.x,他的主要特点如下:实时搜索、实时分析分布式架构、实时文件存储文档导向,所有对象都是文档高可用,易扩展,支持集群,分片与复制接口友好,支持jsonlogstash是一款轻量级的、开源的日志收集处理框架,它可以方便的把分散的、多样化的日志收集起来,并进行自定义的过滤分析处理,然后输出到指定的位置(如:es)。Logstash工作原理。
一:使用FreeIPA安装Kerberos和LDAP( IPA-Client安装)
csdn_gyb的博客
11-11 948
需要先改好ip 域名关系 192.168.100.01 hadoop01.gyb.bigdata.demo.com hadoop01 192.168.100.02 hadoop02.gyb.bigdata.demo.com hadoop02 192.168.100.03 hadoop03.gyb.bigdata.demo.com hadoop03 192.168.100.04 hadoop04.gyb.bigdata.demo.com hadoop04 #具体为 vim /etc/hosts IPA-Cl
ELK常见架构
NancyLCL的博客
12-16 244
相比上一个架构,该架构增加了filebeat模块,它是一个轻量级的日志收集处理工具,部署在客户 端,Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,但缺点是logstash如果出现故障,会造成日志丢失。该架构是最简单的一种架构,该架构通过logstash来收集日志,通过elasticsearch来分析,检索日志,通过kibana展示。该种架构使用fluentd来替换了Logstash,使用fluentd的插件同样可以直接将日志发送给 Elasticsearch。
ELK简介
m0_72710328的博客
01-25 811
ELK日志管理工具
漫谈ELK在大数据运维中的应用
happytofly的博客
02-05 2077
圈子里关于大数据、云计算相关文章和讨论是越来越多,愈演愈烈。行业内企业也争前恐后,群雄逐鹿。而在大数据时代的运维挑站问题也就日渐突出,任重而道远了。本文旨在针对复杂的大数据运维系统推荐一把利器,达到抛砖引玉的效果,如果文中出现任何纰漏和错误的地方,恳请指正,欢迎讨论,希望大家不吝赐教。众所周知,大数据平台组件是很复杂的。笔者之前接触的一个大数据平台解决方案,仅平台组件就达20多个,这还没有加上物联...
SpringBoot 整合slf4j+logback日志框架ELK架构
zhizhuodewo6的博客
12-19 1352
https://blog.csdn.net/qiuyinthree/article/details/80516481 https://blog.csdn.net/u012806787/article/details/78725259 https://blog.csdn.net/successli1994/article/details/81875941 http://www.cnblogs....
ELK日志收集系统.docx
01-16
1、文档详细介绍了下面三种日志架构的优缺点 Elasticsearch + Logstash + Kibana Elasticsearch + Logstash + filebeat + Kibana Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如kafka) + Kibana 2、生产上建议使用 建议采用 filebeat + kafka + Logstash+Elasticsearch+Kibana的架构。接上所述,随着数据量的加大或者系统采集的数据信息存在洪峰的情况,就存在数据丢失、系统崩溃不可用的情况。而采用此架构kafka能做数据的缓冲,给logstash平滑处理日志的时间,如果日志量继续加大,kafka也达到了最大处理量,此时filebeat就算不能发送出去日志信息,但是日志信息也不会丢失,等到后端压力减少后正常效率工作,任然能够收集到所有日志。 对于ES中的日志信息处理可以定期转存或者丢弃。如果由于数据量过大导致未到规定时间就已占满磁盘的情况,可以通用磁盘空间预警来防止,磁盘占满导致系统不可用的情况。 对于收集的日志信息如果能提前在系统应用日志层面做优化处理(比如json格式化,日志分类)也可以大大提升ELK系统的吞吐能力。减少logstash日志过滤的压力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值