ELK+Filebeat+Kafka+Zk日志收集分析统计系统

于 2022-10-26 17:57:03 发布
阅读量725 收藏
点赞数
分类专栏: 转载精品文章 文章标签: kafka elk java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21267357/article/details/127537531
版权

摘要

通过日志分析解决系统故障,是发现问题的主要手段。日志包含多种类型,包括程序日志,系统日志以及安全日志等等。通过对日志进行分析,可以预防故障的发生,又可以在故障发生时,寻找到蛛丝马迹,快速定位故障点,及时解决问题。

在分布式系统下,假如一个后端服务部署了几十个节点,这时候你想要查看日志、分析日志就会异常麻烦,所以非常需要这样一个专门收集各个系统日志的平台,对于这个场景,业界最受欢迎的应该就是这个elk的解决方案了。

组件介绍

Filebeat

隶属于Beats,轻量级数据收集引擎。基于原先Logstash-forwarder的源码改造出来。换句话说:Filebeat就是新版的Logstash-forwarder,也会是ELK Stack在Agent的第一选择

KafKa

数据缓冲队列。作为消息队列解耦了处理过程,同时提高了可扩展性。具有峰值处理能力,使用消息队列能够使关键组件顶住突发的访问压力,而不会因为突发的超负荷的请求而完全崩溃.(因为日志量非常庞大,所以采用kafka异步收集日志)

Zookeeper

ZooKeeper是一个分布式协调服务,它的主要作用是为分布式系统提供一致性服务,提供的功(Kafka的运行依赖它)

logstash

主要是用来日志的搜索、分析、过滤日志的工具。用于管理日志和事件的工具,你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用,例如搜索、存储等

Elasticsearch

是一个基于Lucene的搜索服务器。提供搜集、分析、存储数据三大功能。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便

Kibana

是一个优秀的前端日志展示框架,它可以非常详细的将日志转化为各种图标,为用户提供强大的数据可视化支持,它能够搜索、展示存储在Elasticsearch中索引数据。使用它可以很方便的使用图表、表格、地图展示和分析数据

环境搭建

Filebeat安装

  1. 将filebeat-6.6.0-linux-x86_64.tar.gz传到应用服务器上(每个应用服务器都需要配一个fileBeat)

  2. 解压filebeat-6.6.0-linux-x86_64.tar.gz到指定文件

tar -zxvf filebeat-6.6.0-linux-x86_64.tar.gz -C /home/app
  1. 去除filebeat.yml的分组权限
chmod go-w /home/app/filebeat-6.6.0-linux-x86_64/filebeat.yml
  1. 进入filebeat-6.6.0-linux-x86_64文件夹修改fileBeat.yml配置文件
vim /home/app/filebeat-6.6.0-linux-x86_64/filebeat.yml

打开按照如下编辑(注意冒号后面要有空格,不然会报错)

filebeat.inputs:
-type: log
 enabled: true
 paths:
   - /home/application/gateway.log    #应用的日志路径
 fields:
    type: gateway     #区分不同应用的日志一般按应用名称来取
 fields_under_root: true
 multiline.pattern: '^[0-9]{4}[0-9]{2}[0-9]{2}'  #错日日志合并为一行,表达式兼容正则,根据正常日志的前缀来配置
 multiline.negate: true
 multiline. after
-type: log
 enabled: true
 paths:
   - /home/application/sso.log    #应用的日志路径
 fields:
    type: sso     #区分不同应用的日志一般按应用名称来取
 fields_under_root: true
 multiline.pattern: '^[0-9]{4}[0-9]{2}[0-9]{2}'  #错日日志合并为一行,表达式兼容正则,根据正常日志的前缀来配置
 multiline.negate: true
 multiline. after
  1. 启动脚本
nohup /home/app/filebeat-6.6.0-linux-x86_64/filebeat -e -c /home/app/filebeat-6.6.0-linux-x86_64/filebeat.log 2>&1 &
  1. 出现关闭命令界面程序就停止时,需要用命令 exit来退出

KafKa安装

  1. 将kafka_2.12-2.1.1.tgz传到目标服务器上

  2. 解压kafka_2.12-2.1.1.tgz到指定文件

tar -zxvf kafka_2.12-2.1.1.tgz -C /home/app
  1. 进入kafka_2.12-2.1.1/config/修改sever.properties配置文件
vim /home/app/kafka_2.12-2.1.1/sever.properties

修改如下配置

brocker.id=1
advertised.listeners=PLAINTEXT://128.33.18.12:9092 #改为本机的IP端口号用默认的9092
log.dirs=/data/kafka-logs  #设置日志输出目录
  1. 启动脚本
nohup /home/app/kafka_2.12-2.1.1/bin/kafka-sever-start.sh /home/app/kafka_2.12-2.1.1/kafka.log 2>&1 &

Zookeeper安装

  1. 将zookeeper.3.14.13.tar.gz传到目标服务器上

  2. 解压zookeeper.3.14.13.tar.gz到指定文件

tar zookeeper.3.14.13.tar.gz -C /home/app
  1. 创建配置文件
cp zoo_sample.cfg zoo.cfg
  1. 编辑配置文件
dataDir=/usr/local/zookeeper/data  #配置ZK的数据目录
clientPort=2181                 #用于接收客户端请求的端口号
dataLogDir=/usr/local/zookeeper/logs  #配置ZK的日志目录
  1. 启动脚本
./zkSever.sh start

logstash安装

  1. 将logstash-6.6.0.tar.gz传到目标服务器上

  2. 解压logstash-6.6.0.tar.gz到指定文件

tar logstash-6.6.0.tar.gz -C /home/app
  1. 配置文件jvm.options文件
vim /home/app/logstash-6.6.0/config/jvm.options

配置如下属性

-Xms:256
-Xmx:256
  1. 修改主配置文件
vim /home/app/logstash-6.6.0/config/logstash.conf

数据源配置

input {
    kafka{
        boostrap_severs => "128.33.18.12:9092"
        topics => ["test"] #消息主题配置
        group_id => "logstash"
        codec => "json"
    }
}

过滤器配置

filter {
    if[type] == "sso" { #对应filebeat设置的type
        grok{   #由于存入es中的@timestamp的时间是logstash的消费时间,这里设置过滤,把它改成日志里日志产生的时间
            match => {"message" => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2})"}
        }
        date{
            match => ["datetime","yyyy-MM-dd HH:mm:ss"]
            target => "的@timestamp"
        }
        mutate{ #过滤存入es中的字段
            remove_field => ["beat","beat","offset","source","input","log","prospector","@version","ecs","agent","datetime"]
        }
    }
}

输出配置

output{
     if[type] == "sso" { 
        elasticsearch{
            hosts => ["128.33.18.12:9200"]
            index => "%{YYYY-MM-dd}" #这里按日期索引
        }
     }
}
  1. 启动脚本
nohup /home/app/logstash-6.6.0/bin/logstash -f /home/app/logstash-6.6.0/logstash.log 2>&1 &

Elasticsearch安装

  1. 将elasticsearch-6.6.0.tar.gz传到目标服务器上

  2. 将elasticsearch-6.6.0.tar.gz到指定文件

tar 将elasticsearch-6.6.0.tar.gz -C /home/app
  1. 修改系统配置参数(需要root用户)
vim /etc/security/limits.conf

修改如下配置

    *         soft    nofile          65536
    *         hard    nofile          65536
    *         soft    nproc           4096
    *         hard    nproc           4096

修改内核参数

vim /etc/sysctl.conf

按如下修改

vm.max_map_count=655360

让命令修改生效

sysctl -p
  1. 修改主配置文件
vim /home/app/elasticsearch-6.6.0/config/elasticsearch.yml

按如下修改

path.data: /home/app/elasticsearch-6.6.0/data
path.logs: /home/app/elasticsearch-6.6.0/logs
network.host: 0.0.0.0
http.port: 9200
node.name: es-node1
cluster.initial_master_nodes: ["es-node1"]

vim /home/app/elasticsearch-6.6.0/config/jvm.options

按如下修改

-Xms2g
-Xmx2g
  1. 启动脚本
./elasticsearch -d

Kibana安装

  1. 将kibana-6.6.0.tar.gz传到目标服务器上

  2. 将kibana-6.6.0.tar.gz到指定文件

tar 将kibana-6.6.0.tar.gz -C /home/app
  1. 修改配置文件
vim /home/app/将kibana-6.6.0/config/kibana.yml

按如下修改

#提供服务的端口,监听端口
server.port: 5601
#主机地址,可以是ip,主机名
server.host: 128.33.18.12
#kibana访问es服务器的URL,就可以有多个,以逗号","隔开
elasticsearch.hosts: ["http://128.33.18.12:9200"]
#中文配置
i18n.locale: "zh-CN"
  1. 启动脚本
nohup /home/app/kibana-6.6.0/bin/kibana /home/app/kibana-6.6.0/kibana.log 2>&1 &
  1. 进入管理界面http://128.33.18.12:5601查看日志
会飞的架狗师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
超详细 ELK 日志分析系统
m0_56342013的博客
06-15 521
开源实时日志分析平台-ELK
创业公司做数据分析(四)ELK日志系统
茅庐
01-07 1万+
本文将重点探讨数据采集层中的ELK日志系统,结合自身实践来介绍如何使用ELK系统、使用中的问题以及如何解决。ELK是一套开源的集中式日志数据管理的解决方案,由Elasticsearch、Logstash和Kibana三个系统组成。
ELK日志统计系统搭建
qq_37713191的博客
01-06 994
ELK是什么 ELK是三个开源软件的缩写,分别表示: Elasticsearch , Logstash, Kibana , 都是开源软件 以下演示windows环境下elk安装 Elasticsearch安装 https://www.cnblogs.com/hualess/p/11540477.html Kibana 安装 https://blog.csdn.net/weixin_34727238/article/details/81200071 Logstash安装 下载地址 Logstash工作流程
Elastic Stack (ELK) 实战篇:实现分布式系统日志收集统计分析
语雀同名:犬豪 yuque.com/qhao
11-02 1697
Elastic Stack(ELK) ElasticSearch + Logstash + Kibana 一、分布式带来的变革 1. 多个节点 分布式系统的特点:SOA,微服务架构,大规模集群网络 试想一下: 假设集群网络只有 100 台服务器。采用人肉运维的方式,处理服务器各种异常。 运维人员:每一台服务器打一个记号,Excel 记录下每一台机器运行特点,如果某一台服务器出现问题,运维人员直接定位机器,查询日志,修复问题。 如果是10000 台 服务器怎么办?那么如何收集海量服务器节点上的日志,进行分析
强大的日志查询和统计等需求 ---> ELK 企业级日志分析系统
穷则独善其身 达则兼善天下
07-19 814
ELK 企业级日志分析系统一.ELK 概述1.ELK简介2.为什么要使用 ELK3.完整日志系统基本特征4.ELK 的工作原理二.ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)三.ELK Logstash 部署(在 Apache 节点上操作)四.ELK Kiabana 部署(在 Apache 节点上操作)五.Filebeat+ELK 部署 一.ELK 概述 1.ELK简介 ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 K
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
ELK+FileBeat+Kafka分布式系统搭建图文教程.docx
06-06
ELK+FileBeat+Kafka分布式系统搭建图文教程 本教程详细记录了ELK+FileBeat+Kafka分布式系统的搭建流程和步骤,为大家快速上手提供了详细的指导。本系统FileBeatKafka、Logstash、Elasticsearch、Kibana五个组件...
elk+filebeat+kafka日志系统搭建.docx
最新发布
07-05
本文将详细介绍如何在Linux环境下搭建ELK(Elasticsearch、Logstash、Kibana)+Filebeat+kafka日志系统。这个系统能够有效地收集、处理、存储和分析系统日志数据,帮助监控和排查问题。 1. **Elasticsearch**:...
elk + kafka + filebeat搭建日志分析系统-附件资源
03-05
elk + kafka + filebeat搭建日志分析系统-附件资源
分布式日志收集统计分析
小程序员成长中......
03-13 1072
现在互联网公司系统基本都是分布式部署,应用日志分布在不同的机器上,不不便于分析统计,使用Linux rsync进行日志同步到同一台机器进行处理 rsync 分为服务端和客户端 服务端用于接收同步文件,客户端用户发送文件到服务端 一、日志收集 1、服务端配置:/etc/rsyncd.conf uid = root gid = root use chroot = no max connec
日志记录与分析系统
a904441024的博客
03-04 491
发达
网站日志流量系统----【统计分析模块】
CoderBoom的博客
11-24 2185
模块开发----统计分析 每一种统计指标都可以跟各维度表进行钻取。 分组条件判别技巧 如果需求中出现 每xxx 各xxx 按xxx , 很大可能就是分组的字段条件 设置智能本地模式 : set hive.exec.mode.local.auto=true; 1. 流量分析 1.1 多维度统计pv总量 需求 : 计算该处理批次(一天)中各小时pvs 处理数据所在的表 : ods_we...
ELK详细安装部署
weixin_30633405的博客
03-01 146
一、前言 ​ 日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解决问题。分析日志可以更清楚的了解服务器的状态和系统安全状况,从而可以维护服务器稳定运行。 ​ 但是日志通常都是存储在各自的服务器中。如果管理数十台服务器, 查阅日志需要依次登陆不同的服务器,查看过程就会很繁琐从而导致工作效率低下。虽然可以使用 r...
mysql binlog elk_基于ELK日志统计系统实践
weixin_42133969的博客
01-27 348
总结下近期的日志系统目前的架构如图:部分说明Logstash主要用来做数据收集和传输, 至于为什么选择它, 很尴尬的说因为早期版本只有 elk, 所以也没怎么特别针对它优化。目前我们使用了三台 Logstash 节点, 一台用于收集数据(主要是UDP)传输到 Kafka 中, 这里要提醒一下, Logstash 的性能并不是很理想, 后面也会考虑其他替代方式, 如 hangout Flume 等。...
大数据ELK(十七):Elasticsearch SQL 订单统计分析案例
Lansonli(蓝深李)的博客
12-06 2611
全网最详细的大数据ELK文章系列,强烈建议收藏加关注! 新文章都已经列出历史文章目录,帮助大家回顾前面的知识重点。 目录 订单统计分析案例 一、案例介绍 二、创建索引 三、导入测试数据 四、统计不同支付方式的的订单数量 1、使用JSON DSL的方式来实现 2、基于Elasticsearch SQL方式实现 五、基于JDBC方式统计不同方式的订单数量 六、统计不同支付方式订单数,并按照订单数量倒序排序 七、只统计「已付款」状态的不同支付方式的订单数量 八、统计不同状态的订单总..
日志收集Filebeat详解
热门推荐
猴子哥哥的博客
04-26 1万+
一、简介 1、Beats是elastic公司的一款轻量级数据采集产品,它包含了几个子产品: 1)packetbeat(用于监控网络流量) 2)filebeat(用于监听日志数据,可以替代logstash-input-file) 3)topbeat(用于搜集进程的信息、负载、内存、磁盘等数据) 4)winlogbeat(用于搜集windows事件日志) 注:社区还提供了dockerbea
filebeat采集数据的几个痛点的解决方案
yulio1234的博客
11-17 1万+
1.行转列filebeat采集多行日志的时候会把日志分开来采集,这样传递到logstash的时候就无法正确解析了,所以用把多行日志统一采集。 这时候可以使用:multiline配置选项。 multiline:适用于日志中每一条日志占据多行的情况,比如各种语言的报错信息调用栈。这个配置的下面包含如下配置:pattern:多行日志开始的那一行匹配的pattern negate:是否需要对patter
elk日志分析平台以及数据的可视化
Forever 的博客
09-13 7810
  ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它...
ELK日志分析Kibana——数据图形化制作
山东梅长苏
03-14 1万+
摘要: Kibana把数据图形化,可以帮助我们更好的去分析数据,找到数据里面的结构 注意看一下,上面缩看的界面,是一个聚合的结果,他是由CPU Usage图表、System Load图表、CPU usage over time图表、 System Load over time图表一起构造而成的。Kibana把数据图形化,可以帮助我们更好的去分析数据,找到数据里面的结构注意看一下,上面缩看的界面,是...
部署ELK+Filebeat+Redis日志分析平台:Redis缓存与海量日志处理
本章节主要介绍了如何部署一个基于ELK(Elasticsearch、Logstash、Kibana)架构加上Filebeat和Redis的日志分析平台,用于处理海量日志。这个项目的关键组件包括: 1. **Filebeat**:作为新一代的轻量级日志收集器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会飞的架狗师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值