elk(1)-趁离职总结下我前公司elk方案

最新推荐文章于 2024-04-25 09:33:49 发布
最新推荐文章于 2024-04-25 09:33:49 发布
阅读量6.7k 收藏 36
点赞数 8
分类专栏: elk 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14972057/article/details/69693843
版权

=============这篇文章主要书简介elk的学习方法了,建议直接跳到下节看================

趁离职有空,想起自己在前公司,博X科技,在那家公司也是误打误撞的进入的elk方案的搭建与使用。

elk是三个组件合成的一个方案。

elasticsearch+logstash+kibana

===========必须要看的书============
研究了也大概是一个月左右了,看了三本书,这三本书很重要,大家可以看看。
elasticsearch-the-definitive-guide-cn.pdf
kibana中文指南.pdf
Logash+Elasticsearch+Kibana 日志系统安装部署.pdf


============就说说能实现的效果吧==================

需求是这样的 有份这样的kafka日志 
[2016-08-30 13:00:58,878] INFO Closing socket connection to /192.167.42.146. (kafka.network.Processor)
\[%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})\] %{WORD} %{WORD:operate} socket connection to /%{IP:cilent}. \((?<tip>.*)\)

[2016-08-30 13:00:59,343] ERROR Closing socket for /192.167.42.146 because of error (kafka.network.Processor)
java.io.IOException: Connection reset by peer
        at sun.nio.ch.FileDispatcherImpl.read0(Native Method)
        at sun.nio.ch.SocketDispatcher.read(SocketDispatcher.java:39)
        at sun.nio.ch.IOUtil.readIntoNativeBuffer(IOUtil.java:223)
        at sun.nio.ch.IOUtil.read(IOUtil.java:197)
        at sun.nio.ch.SocketChannelImpl.read(SocketChannelImpl.java:379)
        at kafka.utils.Utils$.read(Utils.scala:375)
        at kafka.network.BoundedByteBufferReceive.readFrom(BoundedByteBufferReceive.scala:54)
        at kafka.network.Processor.read(SocketServer.scala:347)
        at kafka.network.Processor.run(SocketServer.scala:245)
        at java.lang.Thread.run(Thread.java:745)
		
[2016-08-30 13:01:26,143] INFO Rolled new log segment for 'CITY_SHARE_LTE_UP_GZ-37' in 4 ms. (kafka.log.Log)
[2016-08-30 13:02:15,251] INFO Scheduling log segment 5567051286 for log CITY_SHARE_LTE_UP_DG-33 for deletion. (kafka.log.Log)
[2016-08-30 13:03:15,196] INFO Deleting segment 23423790671 from log CITY_SHARE_DG-4. (kafka.log.Log)
[2016-08-30 13:03:15,368] INFO Deleting index /sidata12/kafka-logs/CITY_SHARE_LTE_UP_SZ-28/00000000009896455083.index.deleted (kafka.log.OffsetIndex)



要收集关键字,收集日志然后分析 
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND}
Aug 28 04:10:01 jumpserver sshd[57279]:



secure日志样本-------------------------------

crond的
Aug 30 02:50:01 jumpserver crond[23995]: pam_limits(crond:session): unknown limit item 'nsoft'   Y


sshd的
	
Aug 28 07:29:55 jumpserver sshd[54007]: pam_unix(sshd:session): session closed for user liujing //session登陆失败的
(?<logstime>%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND}) %{WORD} %{WORD}\[%{NUMBER:secureid}\]\: %{WOR
D:pam}\(%{WORD}\:%{WORD}\)\: %{WORD} %{WORD} %{WORD} %{WORD} %{WORD:user}

Aug 28 08:07:51 jumpserver sshd[55645]: pam_unix(sshd:session): session opened for user gdsignal by (uid=0)  //session登陆成功的
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER:secureid}\]\: %{WORD:pam}\(%{WORD}\:%{WORD:sshd}
\)\: %{WORD} %{WORD} %{WORD} %{WORD} %{WORD:user} %{WORD} \(uid\=%{NUMBER:uid}\)

Aug 28 13:49:42 jumpserver sshd[57279]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.201.38.237  user=chencaixia //认证失败的
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER:secureid}\]\: %{WORD:pam}\(%{WORD}\:%{WORD:sshd}\)\: %{WORD} %{WORD}\; logname\=(%{NUMBER:logname}| )uid\=%{NUMBE
R:uid} euid\=%{NUMBER:euid} tty\=%{WORD:tty} ruser\=(%{WORD:ruser}| )rhost\=%{IP:cilent}  user\=%{WORD:user}

Aug 28 08:07:51 jumpserver sshd[55645]: Accepted password for gdsignal from 10.201.38.237 port 17490 ssh2 //登陆成功
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER}\]\: Accepted password fo
r %{WORD:user} from %{IP:cilent} port %{NUMBER:logport} %{WORD:tty}

Aug 28 13:56:32 jumpserver sshd[57392]: Received disconnect from 192.168.35.27: 11: disconnected by user
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER}\]\: Received disconnect 
from %{IP:cilent}\: %{NUMBER:error_type}\: disconnected by %{WORD:user}

Aug 29 09:39:39 jumpserver sshd[65367]: Invalid user zengqin from 10.201.38.237
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER}\]\: Invalid user %{WORD:user} from %{IP:cilent}

Aug 28 13:49:54 jumpserver sshd[57280]: Disconnecting: Too many authentication failures for chencaixia
%{MONTH} %{NUMBER} %{HOUR}:%{MINUTE}:%{SECOND} %{WORD} %{WORD}\[%{NUMBER}\]\: Disconnecting: Too many authentication failures for %{WORD:user}

Aug 28 13:57:01 jumpserver sshd[57409]: subsystem request for sftp

Aug 28 13:49:54 jumpserver sshd[57279]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.201.38.237  user=chencaixia
Aug 28 13:49:54 jumpserver sshd[57279]: PAM service(sshd) ignoring max retries; 6 > 3

Aug 28 14:10:59 jumpserver su: pam_tally2(su-l:auth): unknown option: no_magic_root   Y
根据样本的信息,写出的正则表达式,然后收集需要的日志logstash部分的 


curl -XPUT http://172.16.248.24:9200/mymegacorp -d '
{
		
	"mappings" : {
		  "employee" : {
			"properties" : {
			  "fitstname" : {
				"type" : "string"
				"index" : "not_analyzed"
			  },
			  "interesrs" : {
				"type" : "string"
			  },
			  "lastname" : {
				"type" : "string"
			  }
			}
		  }
		}
  
}
'
写出相关的elasticsearch的索引put进去

最后就是kibana展示-----------------流程就是这样的 ,接下来各个组件详细介绍



健景
关注
  • 8
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ELK简介及使用经验
04-03
Filebeat是针对本地文本日志文件的轻量级日志采集器 Kafka是一个分布式流处理平台
docker-elk-tutorial:docker-elk-tutorial + Django +日志记录
02-04
docker-elk-教程docker-elk-教程 :memo:进阶 简介码头工人麋鹿 :red_question_mark:这是什么 :red_question_mark:他可以吃吗 :confused_face:重点在ELK ,他是由三个东西所组成的。 (E) (L) (K)基本上,整个...
关于ELK
weixin_33832340的博客
11-10 34
关于的ELK的文章说明:由于一些原因,我不能上传我的配置及操作记录。文章是我在ELK的书籍中摘取的,如果大家有看不懂的可以私信我或者加我首页的QQ群。如果我看到了,就会回复大家的。文件搭建的是ELK最新版5.6.3。环境上我们是内网环境,没有访问外网的能力,如果要访问外网还需要走很长的审批流。所以关于插件部分没有安装。插件我是在本地的插件包里直...
ELK技术介绍:背景、功能及应用场景全面解析
最新发布
weixin_54533548的博客
04-25 2047
ELK是由Elasticsearch、Logstash和Kibana三个开源软件组成的日志管理解决方案,这一组合在近年来得到了广泛的关注和应用。ELK的出现,源于大数据和云计算技术的快速发展,以及对高效日志管理的迫切需求。随着企业信息化程度的提高,各类应用系统和服务器产生的日志数据量日益庞大,如何有效收集、处理、分析和利用这些日志数据,成为了企业和开发者面临的重要问题。传统的日志管理方式往往效率低下,无法满足实时性、可扩展性和易用性的需求。
ELK整体方案
weixin_30619101的博客
03-28 397
# ELK日志搜集平台解决方案---------1. 硬件设备2. 系统环境3. elasticsearch 集群部署4. kibana 部署5. logstash 部署6. filebeat 部署7. 平台边界8. 资料搜集 ## 硬件设备```1. cpu: Intel(R) Pentium(R) CPU G3220 @ 3.00GHz 双核2. memory: 8G```## 系统环境``...
大企业都在用的ELK
weixin_33753003的博客
09-19 231
什么是ELFKELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。Elasticsearch是个开源分布式搜索引擎,提供搜集...
替代ELK:ClickHouse+Kafka+FlieBeat
芋艿V
08-27 515
点击上方“芋道源码”,选择“设为星标”管她浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
基于ELK的nginx-qps监控解决方案.docx
10-26
基于ELK的nginx-qps监控解决方案 在现代网络架构中,监控和日志分析是非常重要的组件之一。ELK(Elasticsearch、Logstash、Kibana) stack是当最流行的日志分析解决方案之一。今天,我们将讨论基于ELK的nginx-qps...
docker-elk-main.rar
05-20
docker-compose 方式部署ELK方案
elk-stack-mongo-node-docker
05-13
elk-stack-mongo-node-docker
ELK 7.16.1 最新一键安装铂金离线包
12-18
一键离线安装ELK 7.16.1提供了在无网络或低带宽环境下快速部署整个栈的便利。通常,这包括下载ELK各组件的离线包,然后在目标服务器上运行安装脚本。安装过程可能会涉及解压文件、配置环境变量、启动服务和验证安装...
graylog 后起之秀,可以替代elk的轻量化工具
02-09
Docker默认使用了json-file driver作为log driver,因此日志是存储在一个json.log的本地文件中的。而gelf则是本文需要使用的log driver。 当容器多了,或者是采用类似swarm集群部署Docker的时候,各种日志分散存在各个json.log文件中,当查找问题或者进行相关统计的时候,分散的日志对我们来说是非常不友好的。我们需要一个能够集中管理Docker日志的工具
ELK架构 --替代方案
qq690452074的专栏
08-26 1643
最终方案 几篇我们介绍了项目中如何使用logback组件记录系统的日志情况;现在我们的系统都是分布式的,集群化的,那就代表着我们的应用会分布在很多服务器上面;那应用的日志文件就会分布在各个服务器上面。 问题 突然有一天我们系统出现了问题,我们第一时间想到的是先要判断到底哪个服务出现了问题;我们的技术人员就连接生产环境服务器,查看服务器上面的应用日志。 那么多的服务器,技术人员这个时候就会很抓狂,一个个的查看分析日志,是比较愚蠢的方法。那有什么好的方式呢?今天老顾给大家介绍常...
【经验案例】采用ELK(Elasticsearch+Logstash+Kibana)+redis搭建日志分析系统
chuanhao6498的博客
12-09 123
正文 材料准备 System: Linux x64 JDK:1.7.0_67 Elasticsearch: 2.4.1 Logstash-2.4.0 Kibana: 4.6.1-linux-x86_64 Redis: 3.0.2 补充: ELK下载地址:https...
替代ELK:ClickHouse+Kafka+FlieBeat,才是最佳选择?
LinkSLA的博客
02-01 765
整个部署的过程踩了不少坑,尤其是filebeat yml的参数设置。clickhouse 的配置说明我会再更新一篇跟大家同步一下过程中踩的坑。很久没有更新博客了,经常看到博客35岁以后怎么办的问题。说实话我自己也没想好以后怎么办,核心还是持续的学习&输出。不断的构建自己的护城河,不管是技术专家、业务专家、架构、管理等。个人建议如果能持续写代码就奋战在一线,管理彻底与公司绑定。除非你是有名的大厂,这另外看。如果所在的公司缺乏较大的行业影响力,个人感觉可以奋战在一线,未来选择新的工作。
一个ELK的替代方案GLC,vue+go实现的开源日志中心 glogcenter
晓马过河
11-25 983
一个ELK的替代方案GLC,vue+go实现的开源日志中心 glogcenter
再见笨重的ELK!这套轻量级日志收集方案要火!
macrozheng的专栏
08-20 611
一直使用的日志收集方案ELK,动辄占用几个G的内存,有些配置不好的服务器有点顶不住!最近发现一套轻量级日志收集方案: Loki+Promtail+Grafana(简称LPG), 几百M内存就够了,而且界面也挺不错的,推荐给大家! SpringBoot实战电商项目mall(50k+star)地址:https://github.com/macrozheng/mall 简介 LPG日志收集方案内存占用很少,经济且高效!它不像ELK日志系统那样为日志建立索引,而是为每个日志流设置一组标签。下面分别介绍下它.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值