ELK 分布式日志处理

最新推荐文章于 2023-12-01 11:56:03 发布
VIP文章 最新推荐文章于 2023-12-01 11:56:03 发布
阅读量1.4k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momokuku123/article/details/78198426
版权


1:UV和PV的区别
2:讲解应用分层
3:分析的日志源应该来自于哪个层面
4:分析日志,到底分析什么
5:使用什么分析,自研Python程序,ELK开源解决方案
5:推荐系统的算法

(一)简要介绍ElasticSearch + Lucene(solr:数据搜索组件)(构建搜索引擎)

Alt text

  • 概念说明

 
 
 

  
  
  1:什么是
  
  
  document

 
 
 

  
  
      具有K/V键值对的结构模型,一般可以称之为
  
  
  document,例如:
  
  
  JSON格式的文档,在Lucene里面是Field:Value,F/V键值对

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  2:  什么是索引:(使用倒排索引创建索引项)

 
 
 

 
 
 

  
  
      这里的索引就是相当于MySQL中的表,有多个索引项(
  
  
  document)组成,使得
  
  
  document切分出来的word,能够被创建为索引项。那么用户通过输入对应的word,能够匹配到对应的索引项,就能取出索引项对应的值,这里的值一般是页面数据。索引必须使用小写字母表示

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  3:什么是shard(分片)

 
 
 

 
 
 

  
  
      将一个index分割为多个shard,所有的primary shard组合成为一个index

(二)ElasticSearch 详解

ElasticSearch是一个基于Lucene的搜索组件,它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。且还是一个文档存储容器,
开源的 Elastic Stack下载路径:https://www.elastic.co/cn/products

Alt text

  • ElasticSearch集群的components

 
 
 


 
 
 

 
 
 

  
  
  1:节点:

 
 
 

 
 
 

  
  
      一个 ElasticSearch 
  
  
  Instance 就是一个节点,实现数据存储,以及搜索数据,

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  2:集群:

 
 
 

 
 
 

  
  
      ElasticSearch中可以定义多个集群,集群的名称必须唯一,一个节点只能属于一个集群,不能交叉

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  3:片区:

 
 
 

 
 
 

  
  
      通过
  
  
  shard机制,实现索引数据分布式存储,默认是五个shard,可以被用户指定,无法动态修改,也就是说将索引中的数据切分为多个shard,且分别存储在不同的节点上,实现数据分布式访问。且每一个shard都有一个primary 
  
  
  shard和一个replica 
  
  
  shard,实现数据冗余,且replica 
  
  
  shard可以被用户指定,可以动态修改
  • ElasticSearch 主要概念说明

 
 
 

  
  
  1:索引:

 
 
 

 
 
 

  
  
      相当于表,document的集合

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  2:类型:

 
 
 

 
 
 

  
  
      相当于表结构,document的结构

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  3:文档:

 
 
 

 
 
 

  
  
      文档使用json格式表示,是field的集合

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  4:映射:

 
 
 

 
 
 

  
  
      实现切词分析,排序分析
  • ElasticSearch 集群的工作原理

 
 
 

  
  
      各个节点之间以多播方式通信,且通过TCP的
  
  
  9300端口通信,基于节点名称通信。集群中必须定义一个主节点,用于管理集群。主节点会决定哪个shard是primary,且查找replica shard。如果集群中添加一个新的节点,那么shard均衡将会被ElasticSearch集群自动处理。集群的状态包括:
  
  
  greenred、yellow。
  • 下载安装(Java的JDK必须是最新的,底层是Java语言写的,因此需要安装JDK java开发包)

 
 
 

  
  
  ##### 提示:Java 的JDK必须是符合当前版本需求的。这里安装2.x版本,先不使用5.x版本

 
 
 

 
 
 

  
  
      参考文档:
  
  
  https:/
  
  
  /www.elastic.co/guide
  
  
  /index.html

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  RPM包安装:

 
 
 

 
 
 

  
  
      wget https:/
  
  
  /download.elastic.co/elasticsearch
  
  
  /release/org
  
  
  /elasticsearch/distribution
  
  
  /rpm/elasticsearch
  
  
  /2.4.4/elasticsearch-
  
  
  2.4.
  
  
  4.rpm

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  https:/
  
  
  /www.elastic.co/downloads
  
  
  /past-releases/elasticsearch-
  
  
  2-
  
  
  0-
  
  
  0

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  源码安装:

 
 
 

 
 
 

 
 
 


 
 
 

 
 
 


 
 
 

 
 
 

  
  
  温馨提示:如果想用最新版本的Elasticsearch,那么需要先升级系统的JDK环境

 
 
 

 
 
 

  
  
  先看看系统的JDK版本:yum list all | grep jdk

 
 
 

 
 
 

  
  
  直接安装最新版本(如果最新JDK满足Elasticsearch对JDK的要求)

 
 
 

 
 
 

  
  
  yum install -y java-
  
  
  1.8.
  
  
  0-openjdk.x86_64

 
 
 

 
 
 

  
  
  yum install -y java-
  
  
  1.8.
  
  
  0-openjdk-devel.x86_64

 
 
 

 
 
 

  
  
  yum install -y java-
  
  
  1.8.
  
  
  0-openjdk-headless.x86_64
  • 配置文件介绍

 
 
 

  
  
  config目录下有
  
  
  2个配置文件:es的配置文件(elasticsearch.yml) 和日志配置文件(logging
  
  
  .yml

 
 
 

  
  
  cluster
  
  
  .name: elasticsearch

 
 
 

 
 
 

  
  
  配置es的集群名称,默认是elasticsearch,es会自动发现在同一网段下的es,如果在同一网段下有多个集群,就可以用这个属性来区分不同的集群。

 
 
 

 
 
 

  
  
  node
  
  
  .name: 
  
  
  "Franz Kafka"

 
 
 

 
 
 

  
  
  节点名,默认随机指定一个name列表中名字,该列表在es的jar包中config文件夹里name.txt文件中,其中有很多作者添加的有趣名字。

 
 
 

 
 
 

  
  
  node
  
  
  .master: true

 
 
 

 
 
 

  
  
  指定该节点是否有资格被选举成为node,默认是true,es是默认集群中的第一台机器为master,如果这台机挂了就会重新选举master。

 
 
 

 
 
 

  
  
  node
  
  
  .data: true

 
 
 

 
 
 

  
  
  指定该节点是否存储索引数据,默认为true。

 
 
 

 
 
 

  
  
  index
  
  
  .number_of_shards: 
  
  
  5

 
 
 

 
 
 

  
  
  设置默认索引分片个数,默认为
  
  
  5片。

 
 
 

 
 
 

  
  
  index
  
  
  .number_of_replicas: 
  
  
  1

 
 
 

 
 
 

  
  
  设置默认索引副本个数,默认为
  
  
  1个副本。

 
 
 

 
 
 

  
  
  path
  
  
  .conf: /path/to/conf

 
 
 

 
 
 

  
  
  设置配置文件的存储路径,默认是es根目录下的config文件夹。

 
 
 

 
 
 

  
  
  path
  
  
  .data: /path/to/data

 
 
 

 
 
 

  
  
  设置索引数据的存储路径,默认是es根目录下的data文件夹,可以设置多个存储路径,用逗号隔开,例:

 
 
 

 
 
 

  
  
  path
  
  
  .data: /path/to/data1,/path/to/data2

 
 
 

 
 
 

  
  
  path
  
  
  .work: /path/to/work

 
 
 

 
 
 

  
  
  设置临时文件的存储路径,默认是es根目录下的work文件夹。

 
 
 

 
 
 

  
  
  path
  
  
  .logs: /path/to/logs

 
 
 

 
 
 

  
  
  设置日志文件的存储路径,默认是es根目录下的logs文件夹

 
 
 

 
 
 

  
  
  path
  
  
  .plugins: /path/to/plugins

 
 
 

 
 
 

  
  
  设置插件的存放路径,默认是es根目录下的plugins文件夹

 
 
 

 
 
 

  
  
  bootstrap
  
  
  .mlockall: true

 
 
 

 
 
 

  
  
  设置为true来锁住内存。因为当jvm开始swapping时es的效率会降低,所以要保证它不swap,可以把ES_MIN_MEM和ES_MAX_MEM两个环境变量设置成同一个值,并且保证机器有足够的内存分配给es。同时也要允许elasticsearch的进程可以锁住内存,linux下可以通过`ulimit -l unlimited`命令。

 
 
 

 
 
 

  
  
  network
  
  
  .bind_host: 
  
  
  192.168.
  
  
  0.1

 
 
 

 
 
 

  
  
  设置绑定的ip地址,可以是ipv4或ipv6的,默认为
  
  
  0.0.
  
  
  0.0

 
 
 


 
 
 

 
 
 

  
  
  network
  
  
  .publish_host: 
  
  
  192.168.
  
  
  0.1

 
 
 

 
 
 

  
  
  设置其它节点和该节点交互的ip地址,如果不设置它会自动判断,值必须是个真实的ip地址。

 
 
 

 
 
 

  
  
  network
  
  
  .host: 
  
  
  192.168.
  
  
  0.1

 
 
 

 
 
 

  
  
  这个参数是用来同时设置bind_host和publish_host上面两个参数。

 
 
 

 
 
 

  
  
  transport
  
  
  .tcp
  
  
  .port: 
  
  
  9300

 
 
 

 
 
 

  
  
  设置节点间交互的tcp端口,默认是
  
  
  9300

 
 
 

  
  
  transport
  
  
  .tcp
  
  
  .compress: true

 
 
 

 
 
 

  
  
  设置是否压缩tcp传输时的数据,默认为false,不压缩。

 
 
 

 
 
 

  
  
  http
  
  
  .port: 
  
  
  9200

 
 
 

 
 
 

  
  
  设置对外服务的http端口,默认为
  
  
  9200

 
 
 

  
  
  http
  
  
  .max_content_length: 
  
  
  100mb

 
 
 

 
 
 

  
  
  设置内容的最大容量,默认
  
  
  100mb

 
 
 

 
 
 

  
  
  http
  
  
  .enabled: false

 
 
 

 
 
 

  
  
  是否使用http协议对外提供服务,默认为true,开启。

 
 
 

 
 
 

  
  
  gateway
  
  
  .type: local

 
 
 

 
 
 

  
  
  gateway的类型,默认为local即为本地文件系统,可以设置为本地文件系统,分布式文件系统,hadoop的HDFS,和amazon的s3服务器,其它文件系统的设置方法下次再详细说。

 
 
 

 
 
 

  
  
  gateway
  
  
  .recover_after_nodes: 
  
  
  1

 
 
 

 
 
 

  
  
  设置集群中N个节点启动时进行数据恢复,默认为
  
  
  1

 
 
 

  
  
  gateway
  
  
  .recover_after_time: 
  
  
  5m

 
 
 

 
 
 

  
  
  设置初始化数据恢复进程的超时时间,默认是
  
  
  5分钟。

 
 
 

 
 
 

  
  
  gateway
  
  
  .expected_nodes: 
  
  
  2

 
 
 

 
 
 

  
  
  设置这个集群中节点的数量,默认为
  
  
  2,一旦这N个节点启动,就会立即进行数据恢复。

 
 
 

 
 
 

  
  
  cluster
  
  
  .routing
  
  
  .allocation
  
  
  .node_initial_primaries_recoveries: 
  
  
  4

 
 
 

 
 
 

  
  
  初始化数据恢复时,并发恢复线程的个数,默认为
  
  
  4

 
 
 

  
  
  cluster
  
  
  .routing
  
  
  .allocation
  
  
  .node_concurrent_recoveries: 
  
  
  2

 
 
 

 
 
 

  
  
  添加删除节点或负载均衡时并发恢复线程的个数,默认为
  
  
  4

 
 
 

  
  
  indices
  
  
  .recovery
  
  
  .max_size_per_sec: 
  
  
  0

 
 
 

 
 
 

  
  
  设置数据恢复时限制的带宽,如入
  
  
  100mb,默认为
  
  
  0,即无限制。

 
 
 

 
 
 

  
  
  indices
  
  
  .recovery
  
  
  .concurrent_streams: 
  
  
  5

 
 
 

 
 
 

  
  
  设置这个参数来限制从其它分片恢复数据时最大同时打开并发流的个数,默认为
  
  
  5

 
 
 

  
  
  discovery
  
  
  .zen
  
  
  .minimum_master_nodes: 
  
  
  1

 
 
 

 
 
 

  
  
  设置这个参数来保证集群中的节点可以知道其它N个有master资格的节点。默认为
  
  
  1,对于大的集群来说,可以设置大一点的值(
  
  
  2-
  
  
  4

 
 
 

  
  
  discovery
  
  
  .zen
  
  
  .ping
最低0.47元/天 解锁文章
momokuku123
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
部署ELK分布式日志分析平台
02-28
一、ELK应用背景: 二、ELK平台概述: 三、ELK核心组件: 四、案例:部署ELK分布式日志分析平台: 五、案例:应用ELK日志分析平台进行分析nginx日志
ELK日志分析系统简
隐藏角落的光
08-31 543
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。...
分布式日志收集解决方案ELK
热门推荐
liushangzaibeijing的博客
12-30 4万+
本篇博文针对分布式日志收集框架ELK进行搭建,详细介绍了logback日志、filebeat、kafka、logstash、elasticsearch、kibana框架的安装使用,同时通过一个例子验证搭建elk框架成功。
Spring Cloud 分布式实时日志分析采集三种方案~
最新发布
weixin_44421461的博客
12-01 359
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事中“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
JAVA微服务场景下分布式日志收集排查问题实战
小杨互联网
11-19 3115
问题产生的根由?不同服务的日志存在哪里?我们怎么去排查线上问题?问题场景:我们部署的java服务可能有几十个,不同的项目里面他是看不到别的服务的日志,只有服务的返回msg消息,相比传统的单体服务来说,排查问题和解决问题的原因相对比较复杂和麻烦,我们传统的单体项目的日志存txt文本,log文件,但是项目日志的文件太大了,几个G,十几个G的时候去打开日志特别慢,很不方便。那么处理这种日志应该怎么做和设计一个日志搜索呢?
【Logstash】日志处理-Logstash的使用
上官玺的博客
10-07 3914
日志可以协助我们的调试和开发。在开发中尽量使用日志的方式来调试,是我们推荐的做法。尽量避免使用System.out.println. 因为很多时候我们调试完毕都要进行删除调试代码。留下会给程序增加运行时间。而日志可以很方便的控制级别就可以控制是否输入,而支持存储的形态很多。比如数据库,文件等。所以日志是我们开发中必不可少的一环。如果级别是:debugdebug和 info以及error都会输出如果级别是:info ,那么只会打印初:info和error。
第六十一章:部署ELK分布式日志分析平台1
08-08
2.传输-能够稳定的把日志数据传输到中央系统 3.存储-如何存储日志数据 4.分析-可以支持 UI 分析 5.警告-能够提供错误报告,监控机制
分布式日志处理系统调研报告
03-10
分布式日志处理系统调研报告,主要针对ELk的使用现状进行分析,对技术的成熟度和现有使用厂家的使用情况进行总结。
ELK分布式日志解决方案.docx
10-26
ELK分布式日志解决方案.docx
2020年 ELK6.5.4版本分布式日志处理解决方案(完整版)源码+笔记+资料.zip
03-29
--【奥法老师-2020-精品】2020年 最新版 ELK分布式日志处理解决方案(完整版) 在线观看:https://www.bilibili.com/video/BV1XZ4y1M77Y 网盘链接:https://pan.baidu.com/s/1FtKOe4ZGhErCzD_IDgkBSA 提取码: hga3
Logstash 分布式日志管理
Alex的博客
10-24 959
日常部署服务时,为了达到 High Available 或是 Load Balance 的目的,经常会在多个服务器部署多个服务实例。不同实例的日志一般都是直接写入本地的日志文件中,一旦出现问题或是日常检查,运维人员需要登录不同的服务器获取日志详情,十分低效。 因此,希望能够通过Logstash读取本地日志文件,并进行简单的处理,将非格式文本解析为格式化数据,最终输出到 ES 或是 MySQL 等数据库管理工具进行同一管理查看,提升运维人员的工作效率。
ELK概述部署和Filebeat 分布式日志管理平台部署
fyb012811的博客
10-22 2634
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
【Springcloud】elk分布式日志
weixin_44823875的博客
09-08 868
(1)什么是分布式日志分布式应用中,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。所以我们使用集中化的日志管理,分布式日志就是对大规模日志数据进行采集、追踪、处理。(2)为什么要使用分布式日志一般我们需要进行日志分析场景:直接在日志文件中grep、awk就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。
强大的日志查询和统计等需求 ---> ELK 企业级日志分析系统
穷则独善其身 达则兼善天下
07-19 751
ELK 企业级日志分析系统一.ELK 概述1.ELK简介2.为什么要使用 ELK3.完整日志系统基本特征4.ELK 的工作原理二.ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)三.ELK Logstash 部署(在 Apache 节点上操作)四.ELK Kiabana 部署(在 Apache 节点上操作)五.Filebeat+ELK 部署 一.ELK 概述 1.ELK简介 ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 K
分布式解决方案
01-24
主要讲解分布式系统中的三大核心问题1.分布式锁2.分布式事务3.分布式日志收集类似的还有分布式链路追踪,分布式缓存分布式系统虽然流行,但是同样会带来很多的实际问题,本套课程给大家讲解企业中,怎么解决高并发场景下分布式锁如何解决死锁,如何防止锁的时间小于业务执行时间。带大家掌握真实企业级中如何解决分布式事务,带大家用ElK解决分布式系统中的日志收集问题。
分布式日志系统解决方案
qq_42207682的博客
09-09 1987
一、什么是PlumeLog PlumeLog 是一款无入侵的分布式日志系统 基于log4j、log4j2、logback搜集日志,设置链路ID,方便查询关联日志 基于elasticsearch作为查询引擎. 实现日志报错预警 PlumeLog有什么优点 效率高 免维护 搭建快 高吞吐,查询效率高 全程不占应用程序本地磁盘空间,免维护 无需修改老项目,引入直接 开.
微服务系列之分布式日志系统ELK
编程识堂的博客
02-23 795
ELKElasticsearch、Logstash、Kibana三大开源框架首字母大写简称(但是后期出现的filebeat(beats中的一种)可以用来替代logstash的数据收集功能,比较轻量级)。市面上也被成为Elastic Stack!
分布式日志处理ELK+Kafka实现日志收集
Java.慈祥
03-06 4416
分布式日志处理: Sleuth实现微服务跟踪 ELK+Kafka实现日志收集系统 背景: 主要针对,分布式项目!对多个模块的日志进行管理… 在传统项目中,如果在生产环境中,有多台不同的服务器集群, 如果生产环境需要通过日志定位项目的Bug的话,需要在每台节点上使用传统的命令方式查询,这样效率非常低下。 原理: 可以使用 ELK + Kafka实现日志收集系统 应用系统发送日志信息给Kafka, 然后Logstash从Kafka中读取消息在转发到Elasticsearch中保存。 最后Kibana从El
企业级日志平台新秀Graylog,比ELK轻量多了
qianshanding0708的博客
11-13 959
更多内容关注微信公众号:fullstack888当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用Nginx对...
logback elk
08-19
Logback和ELKElasticsearch, Logstash, Kibana)是两个不同的日志处理工具。 Logback是一个开源的Java日志框架,是log4j项目的继任者。它提供了简单易用的API,并具有高性能和灵活的配置选项。Logback支持多种输出方式,包括控制台、文件、数据库等。 ELK是一个日志处理解决方案,由Elasticsearch、Logstash和Kibana组成。Elasticsearch是一个分布式搜索和分析引擎,可以用于存储和快速检索大量的结构化和非结构化数据。Logstash是一个用于数据收集、过滤和转发的工具,可以从各种来源(如日志文件、数据库、消息队列)中收集数据,并将其发送到Elasticsearch进行存储。Kibana是一个用于可视化和分析数据的工具,可以创建丰富的仪表盘和图表来展示日志数据。 综上所述,Logback和ELK可以结合使用,例如使用Logback将应用程序的日志输出到文件,然后使用Logstash将这些日志数据收集、过滤并发送到Elasticsearch进行存储,最后使用Kibana对存储在Elasticsearch中的日志数据进行可视化和分析。这样可以实现对大规模日志数据的集中管理和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值