小打小闹ELK笔记之Elasticsearch入门

最新推荐文章于 2023-12-28 21:34:00 发布
最新推荐文章于 2023-12-28 21:34:00 发布
阅读量182 收藏
点赞数
分类专栏: ELK学习 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46671789/article/details/109671753
版权

【ELK】

为什么需要ELK来监控日志?
  1. 排除问题需要根据日志来定位问题
  2. 服务器、项目、日志类型越来越多,日志文件分散在服务器的不同位置,不便于查找
  3. 图+文的方式能使人更直观地获取分析出来的数据

ELK是什么?

Elasticsearch:分布式数据库,用于搜索、分析和存储数据
Logstash:服务器端数据处理管道,能够同时从多个来源采集、转换数据,然后存储到数据库中
Kibana:数据可视化展示
Beats:轻量型的数据采集平台,从边缘机器采集数据发往logstash或elasticsearch
Filebeat:轻量型日志采集器

Elasticsearch

借用关系型数据库来理解ES中的基本概念

关系型数据库(如mysql)Elasticsearch
DatabaseIndex(多个文档的集合)
TableType(定义类型,将文档逻辑分组)
Row(行,记录)Document(若干文档构建一个Index)
Column(字段)Field(ES存储的最小单元)

除了这些还有:
Shards:将Index进行分片
Replicas:Index的一份或多份副本(分布式的特性)

环境准备:

Node-NameIP
ES1192.168.100.21
ES2192.168.100.22
ES3192.168.100.23

关闭防火墙,selinux,ntp同步时间

安装jdk1.8.0

yum -y install java-1.8.0-openjdk

下载并安装公共签名密钥:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

添加es的repo文件

vim /etc/yum.repos.d/elasticsearch.repo
[elasticsearch]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=0
autorefresh=1
type=rpm-md

采用yum方式安装(注意ELK中的组件需要使用相同的版本)

yum install --enablerepo=elasticsearch elasticsearch

在第一个es节点上修改配置文件

# 仅列出了需要修改的部分
[root@vms21 src]$ vim /etc/elasticsearch/elasticsearch.yml
cluster name: elk-cluster   # 集群名称
node.name= node-1
path.data: /var/lib/elasticsearch  # 可自定义路径
path.logs: /var/log/elasticsearch
network.host: 192.168.100.0.21   # 当前节点的ip,确保集群间节点能够互相通信
http.port: 9200    # 数据操作的端口
# 让es识别集群中有哪些节点,实现他们的的自动发现,组成集群
discovery.seed_hosts: ["192.168.100.21", "192.168.100.22","192.168.100.23"]
cluster.initial_master_nodes: ["ES1", "ES2"]    # 指定集群当中初始的主节点
:wq

将配置好的yml文件通过scp到另外两个节点上
并修改 node.name 为自定义的节点名称
和 network.host 为对应节点的 ip

[root@vms21 src]$ scp /etc/elasticsearch/elasticsearch.yml vms22:/etc/elasticsearch
[root@vms21 src]$ scp /etc/elasticsearch/elasticsearch.yml vms23:/etc/elasticsearch

ES不支持使用root用户运行,systemd默认使用的是elasticsearch用户运行服务
因此需要更改几个文件的所有者为elasticsearch

chown -R elasticsearch:elasticsearch /var/lib/elasticsearch/ # 对应es数据存储目录
chown -R elasticsearch:elasticsearch /var/log/elasticsearch/ # 对应es日志目录
chown -R elasticsearch:elasticsearch /etc/elasticsearch/

完成配置后,三个节点都重启服务即可

systemctl restart elasticsearch; systemctl enable elasticsearch

查看集群上节点是否成功创建

[root@vms21 src]$ curl -X GET "192.168.100.21:9200/_cat/nodes?v"
ip             heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
192.168.100.23           21          78   2    0.65    0.25     0.19 dilmrt    -      ES3
192.168.100.22           37          95   0    0.00    0.06     0.11 dilmrt    -      ES2
192.168.100.21           19          78   1    0.02    0.09     0.14 dilmrt    *      ES1

通过命令获取集群健康状态(green 为健康)

[root@vms21 src]$ curl -X GET "192.168.100.21:9200/_cat/health?v"
epoch      timestamp cluster     status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1604749111 11:38:31  elk-cluster green           3         3      0   0    0    0        00                  -                100.0%

注意!

若是采用tar.gz包进行安装时,需要修改系统配置文件才能正常启动
以下以elk用户进行启动演示报错及如何修改配置文件

[root@vms66 elasticsearch-7.10.0]$ sudo -u elk bin/elasticsearch
...
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
...
# 修改/etc/security/limits.conf
vim /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096

ES的增删改查

RestFul API 格式:

curl -X<verb> '<protocol>://<host>:<port>/<path>?<query_string>' -d 'body'
参数描述
verbHTTP方法,如GET、POST、PUT、HEAD、DELETE
hostES集群中的任意节点主机名
portES HTTP服务端口,为9200
path索引路径
query_string可选的查询请求参数,如 ?pretty 参数将格式化输出JSON数据
-d里面放一个GET的JSON格式请求主体
body自己写的JSON格式请求主体

创建索引

[root@vms21 ~]$ curl -X PUT "192.168.100.21:9200/gjk?pretty"
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "gjk"
}

查看所有的索引

[root@vms21 ~]$ curl -X GET "192.168.100.21:9200/_cat/indices?v"
health status index uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   gjk   Z9cT8a2aTP6yCbP8hhdl2g   1   1          0            0       416b           208b

删除索引

[root@vms21 ~]$ curl -X DELETE "192.168.100.21:9200/gjk"
{
  "acknowledged":true
}

添加一个简单的文档到索引当中

[root@vms21 ~]$ curl -X PUT "192.168.100.21:9200/customer/doc/1?pretty" -H 'Content-Type: application/json' -d '{"name": "GJK"}'
{
  "_index" : "customer",
  "_type" : "doc",
  "_id" : "1",
  "_version" : 1,
  "result" : "created",
  "_shards" : {
    "total" : 2,
    "successful" : 2,
    "failed" : 0
  },
  "_seq_no" : 0,
  "_primary_term" : 1
}

修改文档(使用PUT请求的话相当于删除原本的文档并新建一个,建议使用POST请求更温柔)

[root@vms21 ~]$ curl -X POST "192.168.100.21:9200/gjk/doc/222/?pretty" -H 'Content-Type:application/json' -d '{"name":"hello"}'
{
  "_index" : "gjk",
  "_type" : "doc",
  "_id" : "222",
  "_version" : 4,
  "result" : "updated",    # 可以看到此处显示的是updated
  "_shards" : {
    "total" : 2,
    "successful" : 2,
    "failed" : 0
  },
  "_seq_no" : 5,
  "_primary_term" : 1
}

也可以通过POST请求增添字段

[root@vms21 ~]$ curl -X POST "192.168.100.21:9200/gjk/doc/222/?pretty" -H 'Content-Type:application/json' -d '{"name":"guoguoguo","age":"21","sex":"male"}'

[root@vms21 ~]$ curl -X GET "192.168.100.21:9200/gjk/doc/222?pretty"
{
  "_index" : "gjk",
  "_type" : "doc",
  "_id" : "222",
  "_version" : 5,
  "_seq_no" : 6,
  "_primary_term" : 1,
  "found" : true,
  "_source" : {
    "name" : "guoguoguo",
    "age" : "21",
    "sex" : "male"
  }
}

查看文档信息

[root@vms21 ~]$ curl -X GET "192.168.100.21:9200/gjk/doc/111?pretty"
{
  "_index" : "gjk",
  "_type" : "doc",
  "_id" : "111",
  "_version" : 1,
  "_seq_no" : 0,
  "_primary_term" : 1,
  "found" : true,
  "_source" : {
    "name" : "GuoJinkun"
  }
}

删除文档采用删除对应的id即可

[root@vms21 ~]$ curl -X DELETE "192.168.100.21:9200/gjk/doc/222?pretty"
{
  "_index" : "gjk",
  "_type" : "doc",
  "_id" : "222",
  "_version" : 6,
  "result" : "deleted",
  "_shards" : {
    "total" : 2,
    "successful" : 2,
    "failed" : 0
  },
  "_seq_no" : 7,
  "_primary_term" : 1
}

ES的常用查询

首先根据官网导入示例银行账户数据
每个文档都有以下架构:

{
    "account_number": 0,
    "balance": 16623,
    "firstname": "Bradshaw",
    "lastname": "Mckenzie",
    "age": 29,
    "gender": "F",
    "address": "244 Columbus Place",
    "employer": "Euron",
    "email": "bradshawmckenzie@euron.com",
    "city": "Hobucken",
    "state": "CO"
}

下载示例数据

wget https://raw.githubusercontent.com/elastic/elasticsearch/master/docs/src/test/resources/accounts.json

将示例数据导入集群中

[root@vms21 ~]$ curl -H "Content-Type: application/json" -XPOST 'localhost:9200/bank/account/_bulk?pretty&refresh' --data-binary "@accounts.json"

[root@vms21 ~]$ curl -X GET "192.168.100.21:9200/_cat/indices?pretty"
green open bank pbOichwpT8O4CuXq9f2v3A 1 1 1000 0 802.6kb 401.2kb

_search 查询

搜索bank索引下的数据信息
其中 ?q=*&sort=account_number:asc 表示获取所有文档且以升序排列
以下两个操作得到的结果相同,更多使用第二种以json格式传入的方式进行查询

[root@vms21 ~]$ curl -X GET -u undefined:$ESPASS "192.168.100.21:9200/bank/_search?q=*&sort=account_number:asc&pretty&pretty"

[root@vms21 ~]$ curl -X GET -u undefined:$ESPASS "192.168.100.21:9200/bank/_search?pretty" -H 'Content-Type: application/json?pretty' -d'
{
  "query": { "match_all": {} },     # 查询,匹配全部文档
  "sort": [
    { "account_number": "asc" }
  ]
  "from": 1    # 起始位置,默认是0
  "size": 3    # 指定输出的数据条数,未指定时,默认是输出10条
  # 此处意思为从第2个文档开始输出3条
}
'

match查询

通过 match 可以搜索指定的键值
因此下面命令只会输出地址信息中包含了 “mill” 或 “lane” 的账户信息

[root@vms21 ~]$ curl -X GET -u undefined:$ESPASS "192.168.100.21:9200/bank/_search?pretty" -H 'Content-Type: application/json' -d'
{
  "query": { "match": { "address": "mill lane" } }
}
'

bool类型查询

通过几个不同的关键字表达 “与” “或” “非”
如下为,从账户信息中获取地址中包含"mill"或"lane",且年龄为40岁,但不居住在ID的所有账户

[root@vms21 ~]$ curl -X GET -u undefined:$ESPASS "192.168.100.21:9200/bank/_search?pretty" -H 'Content-Type: application/json' -d'
{
  "query": {
    "bool": {
      "should": [      # 或
        { "match": { "address": "mill" } },
        { "match": { "address": "lane" } }
      ]
      "must": [        # 与
        { "match": { "age": "40" } }
      ],
      "must_not": [    # 非
        { "match": { "state": "ID" } }
      ]
    }
  }
}
'

range查询

查找余额大于或等于 20000 且小于或等于 30000 的帐户

[root@vms21 ~]$ curl -X GET -u undefined:$ESPASS "192.168.100.21:9200/bank/_search?pretty" -H 'Content-Type: application/json' -d'
{
  "query": {
    "bool": {
      "must": { "match_all": {} },
      "filter": {
        "range": {       # 指定balance范围
          "balance": {
            "gte": 20000,   # 大于20000
            "lte": 30000    # 小于30000
          }
        }
      }
    }
  }
}
'

使用head插件方便操作es查询

下载安装最新版的node

[root@vms21 ~]$ wget https://npm.taobao.org/mirrors/node/latest-v15.x/node-v15.1.0-linux-x64.tar.gz -C /usr/local/

[root@vms21 ~]$ tar -xzvf node-v15.1.0-linux-x64.tar.gz
[root@vms21 ~]$ vim /etc/profile
NODE_HOME=/usr/local/node-v15.1.0-linux-x64
PATH=$NODE_HOME/bin:$PATH
export NODE_HOME PATH
:wq

[root@vms21 ~]$ source /etc/profile
[root@vms21 ~]$ git clone git://github.com/mobz/elasticsearch-head.git
[root@vms21 ~]$ cd elasticsearch-head
[root@vms21 elasticsearch-head]$ npm install

修改一下head工具的配置文件

[root@vms21 elasticsearch-head]$ vim Gruntfile.js
# 通过 /9100 跳转到对应的位置,在该options中加入
hostname: '*'     # 监听所有ip

# 配置跨域
[root@vms21 elasticsearch-head]$ vim /etc/elasticsearch/elasticsearch.yml
http.cors.enabled: true
http.cors.allow-origin: "*"

[root@vms21 elasticsearch-head]$ systemctl restart elasticsearch

[root@vms21 elasticsearch-head]$ npm run start    # 启动服务

访问 ip:9200 即可访问在es-head上进行操作
在这里插入图片描述

郭鲸吞
关注
专栏目录
es语法-笔记
Lee_cg的博客
03-29 341
http://192.168.200.142:9200/_cat/nodes?v ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name 1 192.168.200.141 54 96 2 0.05 0.12 0.14 dilmrt - node-2 1 192.168.200.134
elasticsearch 7.9.3知识归纳整理(二)之 es基本原理及使用kibana操作es的常见命令
m0_37635053的博客
01-02 8345
es基本原理及使用kibana操作es的常见命令
Elasticsearch设置密码方法
mujingluo的博客
12-01 1282
单点ES的步骤相对与集群更加简单,只需集群步骤的4、5、6步骤即可,其中第四步骤的elasticsearch.yml只需要配置三项即可,如下。集群期间会存在中断不可用,待集群恢复后,再次请求ES地址,会提示需要输入用户名密码,此时再次进入ES主节点,进行密码配置。1、修改elasticsearch.yml,注释xpack.security.enabled: true,保存退出。2、重启elasticsearch,恢复不用密码访问,重启步骤参考上面步骤。3、启动成功后,删除.security-7索引。
关于ES集群信息的一些查看
u010215318的博客
09-20 4227
es节点信息及集群建议
Elasticsearch:Node roles 介绍 - 7.9 之后版本
Elastic 中国社区官方博客
12-10 9598
在 Elastic Stack 7.10 的发布中,我们可以直接在 Elasticsearch 的配置文件中配置 Node 的角色 (node roles)。这是一个新的变化。在 7.9 发布版之前,我们使用 node.master: true 来定义一个 master 节点,但是从 7.9 开始之后,我们也可以使用另外一个方法来定义一个 master 节点。我们可以通过 node.roles 来定义一个 master 节点。但是这两种方法只可以选其一,不能两种方法同时使用。在今天的文章中,我来介绍 nod
ElasticSearch入门到精通(基于ELK技术栈ElasticSearch7.8.版本).rar
05-20
**Elasticsearch 入门到精通** Elasticsearch 是一个高度可扩展的开源全文搜索引擎,设计用于处理大量数据,提供实时分析和搜索功能。它基于 Lucene 库,但提供了更高级别的分布式、RESTful 风格的搜索和数据分析...
ELK6最新ElasticSearch 6(ELK 6)实战视频教程
07-02
### ELK6最新ElasticSearch 6(ELK 6)实战视频教程 #### 引言 随着大数据时代的到来,企业对于数据处理、分析及搜索的需求日益增长。Elasticsearch作为一个分布式、RESTful风格的搜索和数据分析引擎,在日志管理和...
elk7.14下载Elasticsearch kibana 7.14
09-20
Elasticsearch 7.14 下载 logstash-7.14.1 kibana-7.14.1 elastic-agent-7.14 filebeat-7.14 packetbeat-7.14 链接:https://pan.baidu.com/s/1pQQa6CUPtkmCtdA-XnbYyA
elasticsearch安装部署(单机和集群)
最新发布
zwtwbb的专栏
12-28 868
一、单机模式 1、单机模式,下载对应es包,此次使用版本为7.8.0版本并解压 -rw-r--r--. 1 root root 319112561 12月 28 15:39 elasticsearch-7.8.0-linux-x86_64.tar.gz mkdir es_standalone mv elasticsearch-7.8.0-linux-x86_64.tar.gz es_stand...
通过一款插件动态观察ES分片如何分布
JAVA前线技术专栏
08-22 705
第一本文介绍了ES基本概念并提出了两个问题,第二本文为了回答这两个问题搭建了ES集群,第三本文通过六个维度回答了第一个问题,第四本文通过五个维度回答了第二个问题
记第一次使用ES查询
玲听博客
03-16 3550
服务端ES2.1.1 版本,初次使用ES,不清楚服务服务端版本和客户端版本要保持一致的问题,开始使用了High Level REST Client,测试一致报Not a valid protocol version:SSH-2.0-OpenSSH_7.7,于是更换了Low Level REST Client,但报NoSuchMethod Error:org.elasticsearch.index.query.RangeBuilder.gte(java/lang/String)错误,2.1没有rest,包冲突
Elasticsearch搭建
weixin_51720711的博客
02-24 4661
elasticsearch搭建,以及数据备份一、环境二、单机部署1、解压安装包,创建elasticsearch用户,赋权2、修改配置文件3、启动报错1 没有jdk环境报错2 都是因未对操作系统做优化导致三、集群部署1、安装es(同上,配置文件加入集群配置)2、启动,验证3、开启用户认证功能3.1 生成证书3.2 赋权,传到集群内的其他服务器相同目录3.3 配置文件中开启xpack3.4 重启es,添加密码3.5 修改密码3.5.1 已知现在密码修改3.5.2 忘记密码 一、环境 主机名 IP地址
elasticsearch7实战(二)——ES元信息查询
Aspirin's Nest
06-28 785
前言 在上一篇文章中着重介绍了ES的数据读写模型。是一篇纯理论的文章,为什么先写这样一篇文章呢,主要与我个人的学习习惯有关——学习任何东西首先要大致明白他的基本概念和原理。ES中涉及的基本概念相对比较少就没有单独摘出来讲,如果有必要后期可能会加上。所以上一篇文章主要介绍了数据读写,从本章开始进入查询语法的介绍。 元信息查询 本章节中为了统一风格和避免敏感信息泄露,我会将es的ip:port字符串使用{{ _.es_url }}代替。 所有元信息查询的api都以_cat开头。 1.查询所有元信息api。 顾名
Elastic 配置 TLS 加密传输
upupup_every的博客
07-22 1023
1 准备工作 1.1 环境信息 节点名称 IP 地址 说明 elasticsearch-node-1 10.10.115.11 ES 数据节点(选取主节点) elasticsearch-node-2 10.10.115.12 ES 数据节点(选取主节点) elasticsearch-node-3
elasticsearch节点(角色)类型解释:node.master和node.data
J_bean的博客
04-30 4552
1、简介 在生产环境下,如果不修改elasticsearch节点的角色信息,在高数据量,高并发的场景下集群容易出现脑裂等问题。 默认情况下,elasticsearch集群中每个节点都有成为主节点的资格,也都存储数据,还可以提供查询服务。这些功能是由两个属性控制的—node.master和node.data。默认情况下这两个属性的值都是true。下面详细介绍一下这两个属性的含义以及不同组合可以达...
基于HA高可用搭建Hadoop-3.2.1实战搭建之ES-7.7.1+Kibana-7.7.1集群部署
colby_chenlun的博客
07-03 532
一、安装环境 操作系统 CentOS8 elasticsearch-7.7.1 kibana-7.7.1 机器:hadoop102、hadoop103、hadoop104、hadoop105、hadoop106 二、安装elasticsearch-7.7.1 1、上传文件elasticsearch-7.7.1-linux-x86_64.tar.gz、kibana-7.7.1-linux-x86_64.tar.gz到/opt/software目录 2、解压到/opt/module [dep.
elasticsearch7.9 安装 & 部署 & ik中文分词插件 & Kibana可视化工具
DefineJ的博客
09-11 4687
Elasticsearch 7.9.1 安装 & 部署 & ik中文分词插件 & kibana可视化工具 max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144] the default discovery settings are unsuitable for production use;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值