微服务系列之分布式日志系统ELK

已于 2023-03-19 19:06:05 修改
阅读量831 收藏 3
点赞数 1
分类专栏: 微服务 文章标签: 微服务 分布式 elk elasticsearch
于 2023-02-23 17:34:57 首次发布
本文链接:https://blog.csdn.net/qq_31509791/article/details/129186184
版权

小伙伴儿们,如果觉得文章干货满满,欢迎加入公众号【编程识堂】,更多干货等着你们来哦!

ELK+Filebeat介绍

ELK是Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称(但是后期出现的filebeat(beats中的一种)可以用来替代logstash的数据收集功能,比较轻量级)。市面上也被成为Elastic Stack。
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。Filebeat的工作方式如下:启动Filebeat时,它将启动一个或多个输入,这些输入将在为日志数据指定的位置中查找。对于Filebeat所找到的每个日志,Filebeat都会启动收集器。每个收集器都读取单个日志以获取新内容,并将新日志数据发送到libbeat,libbeat将聚集事件,并将聚集的数据发送到为Filebeat配置的输出。
Logstash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。Logstash能够动态地采集、转换和传输数据,不受格式或复杂度的影响。利用Grok从非结构化数据中派生出结构,从IP地址解码出地理坐标,匿名化或排除敏感字段,并简化整体处理过程。
Elasticsearch是Elastic Stack核心的分布式搜索和分析引擎,是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。Elasticsearch为所有类型的数据提供近乎实时的搜索和分析。无论您是结构化文本还是非结构化文本,数字数据或地理空间数据,Elasticsearch都能以支持快速搜索的方式有效地对其进行存储和索引。
Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。使用Kibana,可以通过各种图表进行高级数据分析及展示。并且可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以汇总、分析和搜索重要数据日志。还可以让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。

组件流程图

image.png
简单说明他们的关系就是:

  1. Filebeat负责收集应用写到磁盘上的日志,并将日志发送给Logstash。
  2. Logstash处理来自Filebeat的日志,并将处理后的日志保存到Elasticsearch索引库。
  3. Elasticsearch存储来自logstash的日志。
  4. Kbana从Elasticsearch搜索日志,并展示到页面。

与平常普通的ELK相比,Filebeat结合Logstash带来的优势:

  1. 水平可扩展性,高可用性和可变负载处理:filebeat和logstash可以实现节点之间的负载均衡,多个logstash可以实现logstash的高可用
  2. 消息持久性与至少一次交付保证:使用Filebeat或Winlogbeat进行日志收集时,可以保证至少一次交付。从Filebeat或Winlogbeat到Logstash以及从Logstash到Elasticsearch的两种通信协议都是同步的,并且支持确认。Logstash持久队列提供跨节点故障的保护。对于Logstash中的磁盘级弹性,确保磁盘冗余非常重要。
  3. 具有身份验证和有线加密的端到端安全传输:从Beats到Logstash以及从 Logstash到Elasticsearch的传输都可以使用加密方式传递 。与Elasticsearch进行通讯时,有很多安全选项,包括基本身份验证,TLS,PKI,LDAP,AD和其他自定义领域
  4. ELK结构因为需要在各个服务器上部署 Logstash,而它比较消耗 CPU 和内存资源,所以比较适合计算资源丰富的服务器,否则容易造成服务器性能下降,甚至可能导致无法正常工作。ELK+Filebeat架构解决了 Logstash 在各服务器节点上占用系统资源高的问题。相比 Logstash,Beats 所占系统的 CPU 和内存几乎可以忽略不计。

ELK部署

拉取镜像

docker pull elasticsearch:7.1.1
docker pull kibana:7.1.1
docker pull logstash:7.1.1
docker pull elastic/filebeat:7.1.1

创建容器

创建用户定义的网络(用于连接到同一网络的其他服务(例如 Kibana))

docker network create somenetwork

ES部署

docker run -d

--name 【创建的容器名】 

--net 【网络名】

-p 【主机(宿主)端口】:【容器端口】

【本地镜像仓库下载的镜像名-REPOSITORY】:【需要的版本号-TAG】

docker run -d \
--name elasticsearch-7.17.0 \
-p 9200:9200 -p 9300:9300 \
--net somenetwork \
-e "discovery.type=single-node" \
elasticsearch:7.17.0

参数说明

–net somenetwork :加入一个名为 somenetwork 的网络中,同一个网络中可以相互访问
-e “discovery.type=single-node”:单点模式启动
-p 9200:9200 -p 9300:9300 :端口映射配置
es十分耗内存:通过docker stats 查看发现资源消耗很大
image.png
image.png
我们可以通过增加内存限制来控制

docker run -d --name elasticsearch --net somenetwork -p 9200:9200 -p 9300:9300 -e ES_JAVA_OPTS="-Xms4g -Xmx4g" -e "discovery.type=single-node" \
 -v /usr/local/elk/elasticsearch/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml    elasticsearch:7.1.1

通过curl 127.0.0.1:9200 测试elasticsearch是否安装成功
image.png

kibana配置

docker images|grep 'kibana'
# 启动容器
docker run -d --name kibana --net somenetwork -p 5601:5601 kibana:7.1.1
# 进入容器  查看配置文件
 docker exec -it 67f17df6ca3e  /bin/bash
 # 将容器里的配置文件cp 到宿主机上  用于修改  并挂在
 docker cp kibana:/usr/share/kibana/config/kibana.yml  /usr/local/elk/kibana/kibana.yml
 
 vim kibana.yml
 
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://192.168.5.217:9200" ] # 部署的es 192.168.5.217
xpack.monitoring.ui.container.elasticsearch.enabled: true
i18n.locale: "zh-CN" # 汉化

# 重新启动kibana 容器
docker stop kibana
docker rm /kibana
 docker run -d --name kibana --net somenetwork -p 5601:5601 \
 -v /usr/local/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml kibana:7.1.1
 #查看 kibana 容器启动日志
 docker logs -t -f kibana
 
#访问
192.168.5.217:5601

Logstash部署

  docker images|grep 'logstash'
  docker run -it -d -p 5044:5044 --name logstash --net somenetwork  logstash:7.1.1
  docker exec -it  logstash  /bin/bash
  docker cp logstash:/usr/share/logstash/config   /usr/local/elk/logstash/config
  cd usr/local/elk/
  mkdir conf.d
  cd conf.d
  vim my.conf
  input {
    beats {
    port => 5044
  }
  }
  
  output {
  
      elasticsearch {
        hosts => ["192.168.5.217:9200"]
        index  => "gs-%{+YYYY.MM}"
      }
  }
  
  cd config/
  vim logstash.yml 
  xpack.monitoring.elasticsearch.hosts: [ "http://192.168.5.217:9200" ]
  #允许监控
  xpack.monitoring.enabled: true
  ##目录为挂载目录,启动命令指定的
  path.config: /usr/share/logstash/conf.d/my.conf
  
  # 指定日志目录
  path.logs: /data/log
  # 启动logstash
  docker run -it -d -p 5044:5044 --name logstash --net somenetwork \
-v /usr/local/elk/logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml \
-v /usr/local/elk/logstash/conf.d/:/usr/share/logstash/conf.d/ logstash:7.1.1

Filebeat部署

docker run -d  -u root --name filebeat --net somenetwork elastic/filebeat:7.1.1
docker images|grep 'filebeat'
#进入容器 查看配置
docker exec -it  filebeat  /bin/bash
#退出容器  将容器里的配置文件cp 到宿主机上  用于修改  并挂在
docker cp filebeat:/usr/share/filebeat/filebeat.yml   /usr/local/elk/filebeat/filebeat.yml

filebeat.yml

# 定义info1应用的input类型、以及存放的具体路径
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /data/log/om/omweb/*.log
  fields:
    index: gs-om-web
- type: log
  enabled: true
  paths:
    - /data/log/om/tvapi/*.log
  fields:
    index: gs-om-tvapi
- type: log
  enabled: true
  paths:
    - /data/log/om/mqServer/*.log
  fields:
    index: gs-om-mqServer
- type: log
  enabled: true
  paths:
    - /data/log/om/provider/*.log
  fields:
    index: gs-om-provider
- type: log
  enabled: true
  paths:
    - /data/log/om/family/*.log
  fields:
    index: gs-om-family
- type: log
  enabled: true
  paths:
    - /data/log/om/omdeviceapi/*.log
  fields:
    index: gs-om-deviceapi
- type: log
  enabled: true
  paths:
    - /data/log/user/web/*.log
  fields:
    index: gs-user-web
- type: log
  enabled: true
  paths:
    - /data/log/user/wechat/*.log
  fields:
    index: gs-user-wechat





#============================= Filebeat modules ===============================
filebeat.config.modules:
  # Glob pattern for configuration loading
  path: ${path.config}/modules.d/*.yml
  # Set to true to enable config reloading
  reload.enabled: true

# ============================== logstash =====================================  
output.logstash:
  hosts: ["192.168.5.217:5044"] #192.168.5.217为logstash安装的服务器ip
  enabled: true
#============================== Kibana =====================================
setup.kibana:
  host: "192.168.5.217:5601"

#============================== elasticsearch =====================================
#output.elasticsearch:
#  hosts: ["192.168.226.132:9200"]
#  enabled: true


#启动 filebeat
docker run -d  -u root --name filebeat --net somenetwork \
 -v /data/log:/data/log:rw \
 -v /usr/local/elk/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro elastic/filebeat:7.1.1
 # 查看filebeat 日志
docker logs -t -f filebeat

展示效果

image.png
image.png

编程识堂
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nxlog-ce-2.9
08-02
用于将windows等日志上传到ELK日志服务器集中管理
一文带你了解ELK部署+多日志监控
m0_62755018的博客
03-23 5196
首先系统出问题 研发第一个找的就是运维,问你要各种日志以前上服务器拉日志,太俗 今天换个新姿势 走上自动化运维的重要一步日志监控 ELK 是(Elasticsearch+Logstash+Kibana 外+Filebeat) 工作机制 :F 负责日志的收集(input)-->然后把日志吐给L(output)-->让后给ES-->K负责展示 这里多说一点 Logstash 和Filebeat两弟兄其他们两个都可以完成input日志和output日志,但是L运行机制比较大占用内存大,擅
2024年最全分布式日志系统Graylog、Loki及ELK的分析和对比,springcloud入门教程
最新发布
2401_84688466的博客
05-08 1848
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取。
【Logstash】日志处理-Logstash的使用
上官玺的博客
10-07 4016
日志可以协助我们的调试和开发。在开发中尽量使用日志的方式来调试,是我们推荐的做法。尽量避免使用System.out.println. 因为很多时候我们调试完毕都要进行删除调试代码。留下会给程序增加运行时间。而日志可以很方便的控制级别就可以控制是否输入,而支持存储的形态很多。比如数据库,文件等。所以日志是我们开发中必不可少的一环。如果级别是:debug ,debug和 info以及error都会输出如果级别是:info ,那么只会打印初:info和error。
SpringCloud微服务实战——搭建企业级开发框架(三十七):微服务日志系统设计与实现
全栈程序猿的专栏
02-18 3512
  针对业务开发人员通常面对的业务需求,我们将日志分为操作(请求)日志系统运行日志,操作(请求)日志可以让管理员或者运营人员方便简单的在系统界面中查询追踪用户具体做了哪些操作,便于分析统计用户行为;系统运行日志又分为不同的级别(Log4j2): OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL,这些日志级别由开发人员在代码编写时确定,并编写在代码中,系统运行时记录,方便系统开发人员分析定位解决问题,查找
日志审计】基于ELK搭建日志服务
qdsec的博客
06-13 1011
解决业务日志无监控、无审计,若出现攻击行为无感知问题。
通过elk收集微服务模块日志.doc
09-27
3.ElasticSearchElasticsearch 是基于 JSON 的分布式搜索和分析引擎,专为实现水平扩展、高可靠性和管理便捷性而设计。 4.Kibana:Kibana 能够以图表的形式呈现数据,并且具有可扩展的用户界面,供您全方位配置和...
ELK日志采集实战教程
01-27
带着问题去看教程:不是用logstash来监听我们的日志,我们可以使用logback配置来使用TCPappender通过TCP协议将...通过使用微服务,我们已经能够克服许多遗留问题,并且它允许我们创建稳定的分布式应用程序,并对代码
[林奕舟]基于ELK微服务日志管理系统的设计与实现1
08-08
【基于ELK微服务日志管理系统设计与实现】 在当今互联网时代,随着电子商务、移动互联网和社交媒体的广泛应用,用户与应用的交互产生了海量数据,其中大部分以日志的形式记录下来。日志系统作为各类互联网应用的...
_[林奕舟]基于ELK微服务日志管理系统的设计与实现-加批注1
08-08
日志管理系统对于微服务架构的云环境而言,是一个高效、高可用、高弹性和高容错的解决方案,它不仅解决了传统日志管理系统分布式环境下的不足,还充分利用了云计算平台的优势,为日志管理带来了新的可能性。...
设计分布式日志系统
ytp552200ytp的博客
04-12 917
设计分布式日志系统
分布式日志—Seq(一)
weixin_37648525的博客
05-15 4630
分布式日志—Seq(一)一、分布式日志二、Seq1. 安装部署1.1. docker部署1.2. windows部署2. .net core集成Seq2.1. Api key2.1.1 创建Api key2.2. 集成2.2.1 新建一个.net 6下的Web Api工程2.2.2 配置serilog2.3. Http接入与CLEF格式 一、分布式日志 日志是我们软件开发离不开的一个东西,在我们排查问题的时候日志就是我们的救命稻草。在分布式应用中,每个服务都在不停的生产日志,如果按照传统的写本地文件的日志
ELK日志分析系统概述及部署
weixin_71483812的博客
10-11 738
提供了一个分布式多用户能力的全文搜索引擎一款强大的数据处理工具可实现数据传输、格式处理、格式化输出数据输入、数据加工(过滤、改写等)以及数据输出由三个组件组成:Input、Output、Filter PluginInput:获取日志Output:输出日志Filter Plugin:过滤日志、格式处理一个针对Elastcsearch的开源分析及可视化平台搜索、查看存储在ES 索引中的数据通过各种图标进行高级数据分析及展示。
聊聊分布式日志系统的设计与实践
架构精进之路
04-29 554
hello,大家好,我是张张,「架构精进之路」公号作者。1、什么是日志日志是一种按照时间顺序存储记录的数据,它记录了什么时间发生了什么事情,提供精确的系统记录,根据日志信息可以定位到错误详情和根源。按照APM概念的定义,日志的特点是描述一些离散的(不连续的)事件。由于日志本身固有的特性,记录从左向右开始顺序插入,也就意味着左边的记录相较于右边的记录“更老”, 也就是说我们可以不用依赖于系统时钟,这...
日志: 分布式系统的核心
javaxuexi123的博客
02-03 595
什么是日志? 日志就是按照时间顺序追加的、完全有序的记录序列,其实就是一种特殊的文件格式,文件是一个字节数组,而这里日志是一个记录数据,只是相对于文件来说,这里每条记录都是按照时间的相对顺序排列的,可以说日志是最简单的一种存储模型,读取一般都是从左到右,例如消息队列,一般是线性写入log文件,消费者顺序从offset开始读取。 由于日志本身固有的特性,记录从左向右开始顺序插入,也就意味着左边的
微服务】Spring Boot集成ELK实用案例
liyananweb的博客
01-31 1478
在现代软件开发中,微服务架构已成为一种流行趋势。随之而来的挑战之一是如何有效地管理和分析分布在各个服务中的日志数据。本文将深入探讨如何在Spring Boot中集成ELK栈,以实现集中日志管理的目标。ELKElasticsearch、Logstash和Kibana的缩写。这三个组件协同工作,提供了一个强大的解决方案,用于日志的收集、存储、搜索和可视化。
什么是分布式日志系统,如Apache Kafka的应用和原理。
fengyege的博客
09-07 210
分布式日志系统是一种能够将系统日志实时传输到远程主机的系统,其中最著名的是Apache Kafka。系统日志分成多个部分,并将这些部分作为数据包发送到Kafka集群的相应主题中。Kafka集群的服务器负责将每个数据包分配到一个或多个分区中,并负责将这些数据包广播到集群中的所有节点。Kafka集群中的消费者负责从主题中获取数据包并将其解码为日志条目。这些消费者可以是独立的应用程序,也可以是由Kafka消费者应用程序启动的应用程序。
微服务中统一日志-ELK
热门推荐
重生之我不会写代码
12-13 3万+
ELKElasticsearch、Logstash、Kibana 的简称,准确地说是 ELKB,即 ELK + Filebeat,其中 Filebeat 是用于转发和集中日志数据的轻量级传送工具。Elasticsearch 是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能,可扩展的分布式系统Elasticsearch 有三个配置文件:这些文件位于 config 目录中用于配置 Elasticsearch用于配置 Elasticsearch JVM 设置。
微服务系统架构怎么搭建
08-07
可以使用分布式追踪系统如Zipkin、ELK Stack等来监控服务间的调用链路,使用配置中心如Apollo或Nacos来统一管理配置信息,并使用日志和指标监控工具对各个微服务进行监控和报警。 6. 实现容错和容灾机制:微服务架构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程识堂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值