一、ELK日志分析系统简介
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana 三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求。
1.1ELK组件介绍
ElasticSearch
是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。
Elasticsearch 是用 Java 开发的,可通过 REsTful web 接口,让用户可以通过浏览器与Elasticsearch 调信。
Elasticsearch是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大容量的日志数据,也可用于搜索许多不同类型的文档。
Elasticsearch核心概念
接近实时、集群、节点、索引、索引(库)->类型(表)->文档(记录)、分片和副本
Logstash
作为数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置。一般会发送给Elasticsearch。
由Ruby 语言编写,运行在Java虚拟机(JVM)上,是一款强大的数据处理工具,可以实现数据传输、格式处理、格式化输出。Logstash具有强大的插件功能,常用于日志处理。
input(数据采集) > filter(数据过滤) > output(数据输出)
Kiabana
Kibana 通常与ElasticSearch一起部署,Kibana是Elasticsearch的一个功能强大的数据可视化 Dashboard,Kibana提供图形化的web界面来浏览Elasticsearch日志数据,可以用来汇总、分析和搜索重要数据。kibana主要功能:整合数据,复杂数据分析,接口灵活分享更容易,配置简单、可视化多数据源简单数据导出
1.2 ELFK组件介绍(Filebeat)
是一款轻量级的开源日志文件数据搜索器。通常在需要采集数据的客户端安装 Filebeat,并指定目录与日志格式,能快速收集数据,并发送给 Logstash 进行解析,或是直接发给 ES 存储,性能上相比运行于 JVM 上的 Logstash 优势明显,是对它的替代。
1.2.1 filebeat 结合 logstash 带来好处:
通过 Logstash 具有基于磁盘的自适应缓冲系统,该系统将吸收传入的吞吐量,从而减轻 Elasticsearch 持续写入数据的压力
从其他数据源(例如数据库,S3对象存储或消息传递队列)中提取
将数据发送到多个目的地,例如S3,HDFS(Hadoop分布式文件系统)或写入文件
使用条件数据流逻辑组成更复杂的处理管道
1.2.2日志的集中化管理 beats 包括四种工具:
Packetbeat(搜索网络流量数据)
Topbeat(搜索系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
Filebeat(搜集文件数据)
Winlogbeat(搜集 Windows 时间日志数据)
1.3 其它组件
缓存/消息队列(redis、kafka、RabbitMQ等)
可以对高并发日志数据进行流量削峰和缓冲,这样的缓冲可以一定程度的保护数据不丢失,还可以对整个架构进行应用解耦。
Fluentd
是一个流行的开源数据收集器。由于 logstash 太重量级的缺点,Logstash 性能低、资源消耗比较多等问题,随后就有 Fluentd 的出现。相比较 logstash,Fluentd 更易用、资源消耗更少、性能更高,在数据处理上更高效可靠,受到企业欢迎,成为 logstash 的一种替代方案,常应用于 EFK 架构当中。在 Kubernetes 集群中也常使用 EFK 作为日志数据收集的方案。
在 Kubernetes 集群中一般是通过 DaemonSet 来运行 Fluentd,以便它在每个 Kubernetes 工作节点上都可以运行一个 Pod。
它通过获取容器日志文件、过滤和转换日志数据,然后将数据传递到 Elasticsearch 集群,在该集群中对其进行索引和存储。
1.4 完整日志系统的基本特征
- 收集:能够采集多种来源的日志数据
- 传输:能够稳定的把日志数据解析过滤并传输到存储系统
- 存储:存储日志数据
- 分析:支持 UI 分析
- 警告:能够提供错误报告,监控机制
1.5 端口
ES的默认监听端口 9200
kibana默认端口是 5601
elastic search-head 监听端口 9100
1.6 ELK的工作原理
(1)在所有需要`收集日志`的服务器上部署Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署 Logstash。
(2)Logstash 收集日志,将日志格式化并`输出`到 Elasticsearch 群集中。
(3)Elasticsearch 对格式化后的数据进行`索引和存储`。
(4)Kibana 从 ES 群集中查询数据生成图表,并进行`前端数据`的展示。
在所有需要收集日志的服务器上部署Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署 Logstash。
Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中。
Elasticsearch 对格式化后的数据进行索引和存储。
Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。
总结:Logstash作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交由Elasticsearch索引和存储,kibana去连接ES对日志进行可视化处理。
【1】将日志进行集中化管理(Beats)
管理包含四种工具:
Packetbeat(搜集网络流量数据)
Topbeat(搜集系统、进程和文件系统级别的CPU和内存使用情况等数据)
Filebeat(搜集文件数据)
Winlogbeat(搜集Windows事件日志数据)
【2】将日志格式化(Logstash)并输出到Elasticsearch
【3】对格式化后的数据进行索引和存储(Elasticsearch)
【4】前端数据的展示(Kibana)
二、Elasticsearch的介绍
提供了一个分布式多用户能力的全文搜索引擎
Elasticsearch的核心:
1️⃣、接近实时(NRT)
Elasticsearch是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟(通常是1秒)
2️⃣、集群(cluster)
一个集群就是由一个或者多个节点组织在一起,它们共同持有你整个的数据,并一起提供索引和搜索功能。其中一个为主节点,这个主节点是可以通过选举产生的,并提供跨节点的联合索引和搜索功能。
集群有一个唯一性标示的名字,默认是Elasticsearch,集群的名字很重要,每个节点是基于集群名字加入到集群中的。因此,确保在不同的环境中使用不同的集群名字。
一个集群可以只有一个节点,建议在配置Elasticsearch时,配置成集群模式。
Elasticsearch具有集群机制,节点通过集群名称加入到集群中,同时在集群中的节点会有一个自己唯一的身份标识(自己的名称)
3️⃣、节点(node)
节点就是一台单一的服务器,是集群的一部分,存储数据并参与集群的索引和搜索功能。像集群一样,节点也是通过名字来标识,默认是在节点启动时随机分配的字符名。也可自己定义,名字很重要,在集群中用于识别服务器对应的节点
节点可以通过指定集群名字来加入到集群中。默认情况下,每个节点被设置成加入到Elasticsearch集群。如果启动了多个节点,假设能自动发现对方,他们将会自动组建一个名为Elasticsearch的集群。
4️⃣、索引(index)
一个索引就是一个拥有几分相似特征的文档的集合。
一个索引由一个名字来标识(必须全部是小写字母),并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删除的时候。都要使用到这个名字。在一个集群中,可以定义任意多的索引。
5️⃣、类型(type)
在一个索引中,你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区,其语义完全由你来定。
通常会为具有一组共同字段的文档定义一个类型。
6️⃣、文档(document)
一个文档是一个可被索引的基础信息单元
在一个index/type里面,只要你想,你可以存储任意多的文档。注意,虽然一个文档在物理上位于一个索引中,实际上一个文档必须在一个索引内被索引和分配一个类型
7️⃣、分片和副本(shards & replicas)也是es作为搜索引擎比较快的原因
实际情况下,索引存储的数据可能超过单个节点的硬件限制。为了解决这个问题,Elasticsearch提供将索引分成多个分片的功能。当在创建索引时,可以定义想要的分片数量。每一个分片就是一个全功能的独立的索引,可以位于集群中任何节点上。
分片的主要原因:
水平分割扩展,增大存储量
分布式并跨越分片操作,提高性能和吞吐量
分布式分片机制和搜索请求的文档如何火鬃完全是由Elasticsearch控制的,这些对用户是完全透明的。
为了健壮性,建议有一个故障切换机制,为此,Elasticsearch让我们将索引分片复制一份或多份,称之为分片副本
分片副本的原因:
高可用性,以应对分片或者节点故障。处于这个原因,分片副本要在不同的节点上
增大吞吐量,搜索可以并行在所有副本上执行
总之,每个索引可以被分成多个分片。一个索引可以被复制0次或者多次。一旦复制了,每个索引就有了主分片 (作为复制源的原来的分片)和复制分片(主分片的拷贝)之别。分片和副本的数量可以在索引创建的时候指定。在索引创建之后,你可以在指定任何时候动态的改变副本的数量,但是你事后不能改变分片的数量。
默认情况下,Elasticsearch中的每个索引被分片5个主分片和1个副本,这意味着,如果你的集群中至少有两个节点,你的索引将会有5个主分片和另外的5个副本分片(一个完全拷贝),这样的话每个索引总共有10个分片。
8️⃣ 相关概念在关系型数据库和ElasticSearch中的对应关系
| 关系型数据库 | Elasticserch |
| 数据库database | 索引index,支持全文索引 |
| 表table | 类型type |
| 数据行row | 文档document。但不需要固定结构,不同文档可以具有不同字段集合 |
| 数据列cloumn | 字段field |
| 模式schema | 映像mapping |
三.Logstash的介绍
3.1 Logstash简介
Logstash由JRuby语言编写,基于消息(message-based)的简单架构,并运行在java虚拟机(JVM)上。不同于分离的代理端(agent)或主机端(server),Logstash可配置单一的代理端与其他开源软件结合,以实现不同的功能。
是一款强大的数据处理工具、
可实现数据传输,格式处理,格式化输出
数据输入、数据加工(如过滤,改写等)以及数据输出
3.2 Logstash 命令常用选项
| 常用选项 | 说明 |
| -f | 通过这个选项可以指定 Logstash 的配置文件,根据配置文件配置 Logstash 的输入和输出流 |
| -e | 从命令行中获取,输入、输出后面跟着字符串,该字符串可以被当做 Logstash 的配置(如果是空,则默认使用 stdin 作为输入,stdout 作为输出) |
| -t | 测试配置文件是否正确,然后退出 |
3.3 常用插件:
- input:收集源数据(访问日志、错误日志等)
- Filter Plugin:用于过滤日志和格式处理
- Output:输出日志
-
收集(Input): Logstash 可以从多种来源收集数据,比如文件、日志、消息队列、网络接口等。输入插件负责从指定的源头收集数据。
-
处理(Filter): 收集到的数据可能需要经过处理,比如解析成结构化数据、清洗、过滤、标准化等。这一步通过插件进行,插件称为过滤器(Filter)。
-
输出(Output): 处理后的数据会被发送到一个或多个目的地,这可以是各种数据存储器或者其他数据处理系统。输出插件负责将数据发送至指定目的地。
3.4 主要组件:
Shipper(日志收集):负责监控本地日志文件的变化,及时把日志 文件的最新内容收集起来。通常,远程代理端(agent)只需要运行这个组件即可
Indexer(日志存储):负责接收日志并写入到本地文件
Broker(日志Hub):负责连接多个Shipper和多个Indexer
Search and Storage:允许对事件进行搜索和存储
Web Interface:基于Web的展示界面
3.5 Logstash主机分类:
代理主机(agent host):作为事件的传递者(Shipper),将各种日志数据发送至中心主机,只需运行Logstash代理程序
中心主机(central host):可运行包括中间转发器(Broker)、索引器(Indexer)、搜索和存储器(Search and Storage)、Web界面端(Web Interface)在内的各个组件,以实现对日志数据的接收、处理和存储
四、Kibana的介绍
kibana 是用于在 Elasticsearch 中可视化数据的强大工具,可通过基于浏览器的界面轻松搜索,可视化和探索大量数据。
- 一个针对Elasticsearch的开源分析及可视化平台
- 搜索、查看存储在Elasticsearch索引中的数据
- 通过各种图表进行高级数据分析及展示
4.1 Kibana主要功能:
Elasticsearch无缝之集成:
Kibana架构为Elasticsearch定制,可以将任何结构化和非结构化数据加入Elasticsearch索引。Kibana还充分利用了Elasticsearch强大的搜索和分析功能。
整合数据:
Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图。
复杂数据分析。
Kibana提升了Elasticsearch分析能力,能够更加智能地分析数据,执行数学转换并且根据要求对数据切割分块。
让更多团队成员收益:
强大的数据库可视化接口让各业务岗位都能够从数据集合受益。
接口灵活,分享更容易:
使用Kibana可以更加方便地创建、保存、分享数据,并将可视化数据快速交流。
配置简单:
Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。
可视化多数据源:
Kibana可以非常方便地把来自Logstash、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch,支持的第三方技术包括Apache flume、 Fluentd 等。
简单数据导出:
Kibana可以方便地导出感兴趣的数据,与其它数据集合并融合后快速建模分析,发现新结果。
五、部署ELK日志分析系统
5.1 环境准备
| 服务器类型 | 系统和ip地址 | 需要安装的组件 | 硬件方面 |
| node01节点 | CentOS7.4(64 位) 192.168.200.12 | Elasticsearch 、 Kibana | 2核3G |
| node02节点 | CentOS7.4(64 位) 192.168.200.13 | Elasticsearch | 2核3G |
| Apache节点 | CentOS7.4(64 位) 192.168.200.14 | Logstash Apache | 2核3G |
所有服务器关闭防火墙和SElinux
systemctl stop firewalld
setenforce 0
更改主机名、配置域名解析
Node1节点(192.168.200.12):
hostnamectl set-hostname node1
bash
echo "192.168.200.12 node1" >> /etc/hosts
echo "192.168.200.13 node2" >> /etc/hosts
Node2节点(192.168.200.13):
hostnamectl set-hostname node2
bash
echo "192.168.200.12 node1" >> /etc/hosts
echo "192.168.200.13 node2" >> /etc/hostsApache节点(192.168.200.14):
hostnamectl set-hostname apache
bash
5.2 ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)
#查看Java环境,如果没有安装,yum -y install java
java -version在生产环境中最好安装jdk
# rpm 安装 jdk (方法一)
cd /opt
rz -E #将软件包传至该目录下
rpm -ivh jdk-8u201-linux-x64.rpm
vim /etc/profile.d/java.sh
export JAVA_HOME=/usr/java/jdk1.8.0_201-amd64
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar
export PATH=$JAVA_HOME/bin:$PATH
#注释:
1.输出定义java的工作目录
2.输出指定java所需的类文件
3.输出重新定义环境变量,$PATH一定要放在$JAVA_HOME的后面,让系统先读取到工作目录中的版本信息
source /etc/profile.d/java.sh
java -version
5.3 部署 Elasticsearch 软件(在Node1、Node2节点上操作)
安装 elasticsearch-rpm 包
#上传elasticsearch-5.5.0.rpm到/opt目录下
cd /opt
rz -E
rpm -ivh elasticsearch-5.5.0.rpm
加载系统服务
systemctl daemon-reload && systemctl enable elasticsearch.service
修改 Elasticsearch 主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
-------------------------------------------
--17--取消注释,指定集群名字
cluster.name: my-elk-cluster
--23--取消注释,指定节点名字:Node1节点为node1,Node2节点为node2
node.name: node1
--33--取消注释,指定数据存放路径
path.data: /data/elk_data
--37--取消注释,指定日志存放路径
path.logs: /var/log/elasticsearch/
--43--取消注释,改为在启动的时候不锁定内存
bootstrap.memory_lock: false
--55--取消注释,设置监听地址,0.0.0.0代表所有地址
network.host: 0.0.0.0
--59--取消注释,ES 服务的默认监听端口为9200
http.port: 9200
--68--取消注释,集群发现通过单播实现,指定要发现的节点 node1、node2
discovery.zen.ping.unicast.hosts: ["node1", "node2"]
-----------------------------------------------------------
grep -v "^#" /etc/elasticsearch/elasticsearch.yml
#####此处我是两个节点同时操作的,也可以只在node1节点操作然后将配置好的文件用 scp 传至 node2,后续只用去改个节点名字即可######
scp /etc/elasticsearch/elasticsearch.yml root@192.168.79.27:/etc/elasticsearch/elasticsearch.yml
创建数据存放路径并授权、启动服务并查看端口是否开启
此处只演示node1节点操作(node1和node2都要操作)
创建数据存放路径并授权
mkdir -p /data/elk_data
chown elasticsearch:elasticsearch /data/elk_data/启动elasticsearch是否成功开启
systemctl start elasticsearch.service #启动较慢,需等待
ss -antp | grep 9200
查看节点信息
浏览器访问 http://192.168.200.12:9200 、 http://192.168.200.13:9200 查看节点 Node1、Node2 的信息。
浏览器访问 http://192.168.200.12:9200/_cluster/health?pretty 、 http://192.168.200.13:9200/_cluster/health?pretty查看群集的健康情况,可以看到 status 值为 green(绿色), 表示节点健康运行。
绿色:健康 数据和副本 全都没有问题
红色:数据都不完整
黄色:数据完整,但副本有问题
5.4 安装 Elasticsearch-head 插件(在Node1、Node2节点上操作)
ES 在 5.0 版本后,插件需要作为独立服务进行安装,需要使用 npm 工具(NodeJS 的包管理工具)安装。安装 Elasticsarch-head 需要提前安装好依赖软件 node 和 phantomjs。
node是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
phantomjs是一个基于 webkit 的 JavaScriptAPI,可以理解为一个隐形的浏览器,任何基于 webkit 浏览器做的事情,它都可以做到
编译安装 node
#上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c++ make -y
cd /opt
rz -E
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
make -j2 && make install 大概需要十五分钟左右
5.4.1安装 phantomjs(前端的框架)
#上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin
5.4.2 安装 Elasticsearch-head 数据可视化工具
#上传软件包 elasticsearch-head.tar.gz 到/opt
cd /opt
rz -E
tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/
cd /usr/local/src/elasticsearch-head/
npm install
修改 Elasticsearch 主配置文件
vim /etc/elasticsearch/elasticsearch.yml
-----------------------------------------------
--末尾添加以下内容--
http.cors.enabled: true #开启跨域访问支持,默认为 false
http.cors.allow-origin: "*" #指定跨域访问允许的域名地址为所有
---------------------------------------------------
systemctl restart elasticsearch
5.4.3 启动 Elasticsearch-head 服务
#必须在解压后的 elasticsearch-head 目录下启动服务,进程会读取该目录下的 gruntfile.js 文件,否则可能启动失败。
cd /usr/local/src/elasticsearch-head/
npm run start &
> elasticsearch-head@0.0.0 start /usr/local/src/elasticsearch-head
> grunt server
Running "connect:server" (connect) task
Waiting forever...
Started connect web server on http://localhost:9100
#elasticsearch-head 监听的端口是 9100
ss -natp |grep 9100
5.4.4 通过 Elasticsearch-head 查看 Elasticsearch 信息
通过浏览器访问 http://192.168.200.13:9100/ 地址并连接群集。
如果看到群集健康值为 green 绿色,代表群集很健康。
注意:有的时候显示未连接,这时将 localhost 改成 IP 地址即可
5.5 插入索引
#通过命令插入一个测试索引,索引为 index-demo,类型为 test。
curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
//输出结果如下:
{
"_index" : "index-demo",
"_type" : "test",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 2,
"successful" : 2,
"failed" : 0
},
"created" : true
}
浏览器查看索引信息
浏览器访问 http://192.168.200.12:9100/ 查看索引信息,
可以看见索引默认被分片5个,并且有一个副本。
点击“数据浏览”,会发现在node1上创建的索引为 index-demo,类型为 test 的相关信息。
5.6 部署 Logstash(在 Apache 节点上操作)
Logstash 一般部署在需要监控其日志的服务器。在本案例中,Logstash 部署在 Apache 服务器上,用于收集 Apache 的日志信息并发送到 Elasticsearch。
5.6.1 安装 Apache 服务(httpd)
yum install httpd -y
systemctl start httpd && systemctl enable httpd
5.6.2 安装 Java 环境
yum -y install java
java -version
5.6.3 安装 Logstash
#上传软件包 logstash-5.5.1.rpm 到/opt目录下
cd /opt
rz -E
rpm -ivh logstash-5.5.1.rpm
systemctl start logstash.service
systemctl enable logstash.service
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
5.6.4 测试 Logstash
定义输入和输出流:
#输入采用标准输入,输出采用标准输出(类似管道)
logstash -e 'input { stdin{} } output { stdout{} }'
rubydebug 输出:
#使用 rubydebug 输出详细格式显示,codec 为一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
输出到 ES:
#使用 Logstash 将信息写入 Elasticsearch 中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.79.26:9200"] } }'
定义 Logstash 配置文件
Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)。
input:表示从数据源采集数据,常见的数据源如Kafka、日志文件等
filter:表示数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式
output:表示将Logstash收集的数据经由过滤器处理之后输出到Elasticsearch。#在每个部分中,也可以指定多个访问方式。例如,若要指定两个日志来源文件,则格式如下:
input {
file { path =>"/var/log/messages" type =>"syslog"}
file { path =>"/var/log/httpd/access.log" type =>"apache"}
}
访问测试
浏览器访问 http://192.168.200.12:9100 查看索引信息
5.7 部署 Kibana(在 node1 节点上操作)
5.7.1 安装 Kibana
下载地址:https://www.elastic.co/cn/downloads/past-releases/kibana-5-5-1
#上传软件包 kibana-5.5.1-x86_64.rpm 到/opt目录
cd /opt
rz -E
rpm -ivh kibana-5.5.1-x86_64.rpm
5.7.2 设置 Kibana 的主配置文件
#备份配置文件
cp /etc/kibana/kibana.yml /etc/kibana/kibana.yml.bak
#修改配置文件
vim /etc/kibana/kibana.yml
-------------------------------
--2--取消注释,Kiabana 服务的默认监听端口为5601
server.port: 5601
--7--取消注释,设置 Kiabana 的监听地址,0.0.0.0代表所有地址
server.host: "0.0.0.0"
--21--取消注释,设置和 Elasticsearch 建立连接的地址和端口
elasticsearch.url: "http://192.168.10.13:9200"
--30--取消注释,设置在 elasticsearch 中添加.kibana索引
kibana.index: ".kibana"
5.7.3 启动 Kibana 服务
systemctl start kibana.service
systemctl enable kibana.service
nohup ./kibana & #放入后台启动
ss -natp | grep 5601
5.7.4 验证 Kibana
浏览器访问 http://192.168.200.12:5601
第一次登录需要添加一个 ES 索引
点击 create 创建
索引添加完成后,点击 Discover 按钮可查看图表信息及日志信息
数据展示可以分类显示,例如:
输入:system-* #在索引名中输入之前配置的 Output 前缀“system”
单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
数据展示可以分类显示,在“Available Fields”中的“host”,然后单击 “add”按钮,可以看到按照“host”筛选后的结果
5.7.5 将 Apache 服务器日志(访问的、错误的)添加到 ES 并通过 Kibana 显示
vim /etc/logstash/conf.d/apache_log.conf
---------------------------------------------------
input {
file{
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file{
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.79.26:9200","192.168.79.27:9200"]
index => "apache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.79.26:9200","192.168.79.27:9200"]
index => "apache_error-%{+YYYY.MM.dd}"
}
}
}
-------------------------------------------------------------
cd /etc/logstash/conf.d/
/usr/share/logstash/bin/logstash -f apache_log.conf
5.7.6 浏览器访问
浏览器访问 http://192.168.200.12:9100 查看索引是否创建
只能看到apache-error 是因为access需要访问httpd页面才能生成,打开网页去访问Apache服务器:192.168.200.14
浏览器访问 http://192.168.200.12:5601 登录 Kibana,单击“Create Index Pattern”按钮添加索引, 在索引名中输入之前配置的 Output 前缀 apache_access-*,并单击“Create”按钮。在用相同的方法添加 apache_error-*索引。
选择“Discover”选项卡,在中间下拉列表中选择刚添加的 apache_access-* 、apache_error-* 索引, 可以查看相应的图表及日志信息。
6.ELFK(Filebeat + ELK)基本介绍
6.1 Filebeat的作用
由于 logstash 会大量占用系统的内存资源,一般我们会使用 filebeat 替换 logstash 收集日志的功能,组成 ELFK 架构
或用 fluentd 替代 logstash 组成 EFK(elasticsearch/fluentd/kibana),由于 fluentd 是由 Go 语言开发的,一般在 K8s 环境中使用较多
6.2 ELFK的工作流程
filebeat 将日志收集后交由 logstash 处理
logstash 进行过滤、格式化等操作,满足过滤条件的数据将发送给 ES
ES 对数据进行分片存储,并提供索引功能
Kibana 对数据进行图形化的 web 展示,并提供索引接口
七、部署Filebeat+ELK(ELFK)
7.1 环境准备
在 ELK 的服务配置的基础上,增加一台 Filebeat 服务器,其余不变
| 服务器类型 | 系统和IP地址 | 需要安装的组件 | 硬件方面 |
| Node1节点 | CentOS7.4(64 位) 192.168.100.12 | Elasticsearch 、 Kibana | 2核3G |
| Node2节点 | CentOS7.4(64 位) 192.168.100.13 | Elasticsearch | 2核3G |
| Apache节点 | CentOS7.4(64 位) 192.168.100.14 | Logstash 、Apache | 2核3G |
| Filebeat节点 | CentOS7.4(64 位) 192.168.100.15 | Filebeat | 2核3G |
7.2 安装 Filebeat
rpm包安装
#上传软件包 filebeat-6.6.1-x86_64.rpm到/opt目录
cd /opt
rz -E
rpm -ivh filebeat-6.6.1-x86_64.rpm
tar.gz安装包
#上传软件包 filebeat-6.2.4-linux-x86_64.tar.gz 到/opt目录
cd /opt
rz -E
tar zxvf filebeat-6.6.0-linux-x86_64.tar.gz
mv filebeat-6.6.0-linux-x86_64 /usr/local/filebeat
7.3 设置 Kibana 的主配置文件
cd /etc/filebeat/
[root@filebeat filebeat]# cp filebeat.yml filebeat.yml.bak
[root@filebeat filebeat]# vim filebeat.yml
filebeat.prospectors:
##21行,指定log类型,从日志文件中读取消息
- type: log
##24行,开启日志收集功能,默认为false
enabled: true
##28行,指定监控的日志文件
- /var/log/*.log
##29行,添加收集/var/log/messages
- /var/log/messages
##45行,添加以下内容,注意格式
fields:
service_name: filebeat
log_type: log
service_id: 192.168.170.115
#-------------------------- Elasticsearch output ------------------------------
该区域内容全部注释
#----------------------------- Logstash output --------------------------------
##157行,取消注释
output.logstash:
##159行,取消注释,指定logstash的IP和端口号
hosts: ["192.168.170.111:5044"]
[root@filebeat filebeat]# ./filebeat -e -c filebeat.yml
#启动filebeat,-e记录到stderr并禁用syslog /文件输出,-c指定配置文件
7.4 在 Logstash 组件所在节点新建一个 Logstash 配置文件
Logstash 组件所在节点:Apache节点(192.168.200.14)
cd /etc/logstash/conf.d
vim logstash.conf
-------------------------------
input {
beats {
port => "5044"
}
}
output {
elasticsearch {
hosts => ["192.168.79.26:9200"] #node1节点
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
stdout {
codec => rubydebug
}
}
---------------------------------------
#启动 logstash
logstash -f logstash.conf
7.5 浏览器访问,登录 Kibana 测试
浏览器访问 http://192.168.79.26:5601 登录 Kibana
单击“Create Index Pattern”按钮添加索引“filebeat-*”
单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
八、问题补充
1️⃣.ELK三大组件及其工作流程
组件:ElasticSearch(简称:ES)、Logstash和Kiabana
流程:
Logstash负责数据的收集,对数据进行过滤、分析等操作,然后存储到指定的位置,发送给ES;
ES是分布式存储检索引擎,用来存储各类日志,可以让用户可以通过浏览器与 ES通信;
Kiabana为 Logstash 和 ES 提供图形化的日志分析 Web 界面展示,可以汇总、分析和搜索重要数据日志。
2️⃣生产中一般用什么来代替logstash?为什么?
一般使用Filebeat代替logstash
因为logstash是由Java开发的,需要运行在JVM上,耗资源较大,运行占用CPU和内存高。另外没有消息队列缓存,存在数据丢失隐患;而filebeat是一款轻量级的开源日志文件数据搜集器,能快速收集数据,并发送给 logstash 进行解析,性能上相比运行于 JVM 上的 logstash 优势明显。
3️⃣ELK集群配置的步骤是什么
1)一般至少需要三台主机
2)设置各主机的主机名和IP的映射,修改ES主配置文件
3)通过修改discovery.zen.ping项,通过单播实现集群,指定要发现的节点。
扫一扫
3016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
