LogStash实践日志分析一：环境搭建

一、部署规划

1、源日志服务器Logstash收集日志，然后存储在Redis的list中，接收日志服务器LogStash从Redis的list中读取日志，存储在日志存储分析服务器elasticsearch中，然后用户在日志查询服务器kibana连接elasticsearch，查询相关日志。

【源日志服务器Logstash】->【Redis服务器】->【接收日志服务器LogStash】->【日志存储分析服务器elasticsearch】->【日志查询服务器kibana】

这种适合稍大一点的服务器集群，简单的可以直接源日志服务器Logstash存储在日志存储分析服务器elasticsearch中。

2、由于kibana中采用utf8编码作为默认编码，所以日志格式最好为utf8编码，如果不是可以最好做编码转换。

3、为了提升elasticsearch的处理效率，日志格式为Json格式，如果不是用进行日志格式

二、各工具的安装部署

大部分工具的下载地址：https://www.elastic.co/downloads，工具统一安装在/data目录.

mkdir /data
cd /data

1、安装JDK

1.7 JDK下载地址：http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html

下载后安装

rpm -ivh jdk-7u80-linux-x64.rpm

设置JDK环境变量

修改/etc/profile或者.bash_profile，在其中增加几行：

export JAVA_HOME=/usr/java/jdk1.7.0_80
export CLASSPATH=$JAVA_HOME/lib/tools.jar
export PATH=$JAVA_HOME/bin:$PATH

2、安装LogStash

wget https://download.elastic.co/logstash/logstash/logstash-2.3.4.tar.gz
tar zxvf logstash-2.3.4.tar.gz

测试

/data/logstash-2.3.4/bin/logstash -e 'input { stdin { }}  output { stdout {}}'<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);">输出输入的内容即为正确</span>

运行

/data/logstash-2.3.4/bin/logstash -f <span style="font-family: Arial, Helvetica, sans-serif;">logstash</span>.conf &

3、安装elasticsearch

wget https://download.elastic.co/elasticsearch/release/org/elasticsearch/distribution/tar/elasticsearch/2.3.5/elasticsearch-2.3.5.tar.gz
tar zxvf elasticsearch-2.3.5.tar.gz
/data/elasticsearch-2.3.5/bin/elasticsearch &

安装后进行测试。

安装文件管理插件elasticsearch-head，方便管理文件。

/data/elasticsearch-2.3.5/bin/plugin install mobz/elasticsearch-head

安装后可以用

curl -XGet http://localhost:19200/_plugin/head/

检验结果是否正确。

文件管理时，直接用浏览器打开网址http://localhost:19200/_plugin/head/ 进行文件管理。

4、安装kibana

wget https://download.elastic.co/kibana/kibana/kibana-4.5.4-linux-x64.tar.gz
tar zxvf kibana-4.5.4-linux-x64.tar.gz
/data/kibana-4.5.4-linux-x64/bin/kibana &

安装完执行进行测试。

curl -XGet localhost:15601

用浏览器打开 http://localhost:15601进行查询操作。

5、安装Redis

mkdir /data/redis/
cp redis-3.2.1.tar.gz /data/redis/redis-3.2.1.tar.gz
cd /data/redis/
tar xzvf redis-3.2.1.tar.gz
cd /data/redis/redis-3.2.1
make
make install
sysctl vm.overcommit_memory=1

/data/redis/redis-3.2.1/src/redis-server /data/redis/redis-3.2.1/redis.conf &
ln -s /data/redis/redis-3.2.1/src/redis-cli /bin/redis-cli

6、安装验证插件shield

1）此插件有30天的有效期，有效期过了打不开kibana页面，谨慎安装。

#安装验证插件shield
/data/elasticsearch-2.3.5/bin/plugin install license
/data/elasticsearch-2.3.5/bin/plugin install shield
http://localhost:19200/_shield/user
http://localhost:19200/_shield/role

增加账号格式如下：

/data/elasticsearch-2.3.5/bin/shield/esusers useradd 用户名 -r 权限组 -p 密码

安装后增加账号es_admin作为管理员权限，密码123456

/data/elasticsearch-2.3.5/bin/shield/esusers useradd es_admin -r admin -p 123456

2）LogStash必须增加相应的账号

/data/elasticsearch-2.3.5/bin/shield/esusers useradd logstashserver -r logstash -p 123456

然后修改logstash .conf的配置，增加相应的账号和密码。

3）kibana必须增加相应的权限才能使用

/data/elasticsearch-2.3.5/bin/shield/esusers useradd kibanaserver -r kibana4_server -p 123456

修改配置/data/kibana-4.5.4-linux-x64/config/kibana.yml

elasticsearch.username: "kibanaserver"
elasticsearch.password: "123456"

4) 后期增加账号权限，都要把kibana4组的权限给增加上去，不然打不开kibana界面

/data/elasticsearch-2.3.5/bin/shield/esusers useradd test -r usergroup -p 123456
/data/elasticsearch-2.3.5/bin/shield/esusers roles test -a kibana4_server

5) license 过期后执行删除shield命令

/data/elasticsearch-2.3.5/bin/plugin remove shield