ELK分布式日志搭建

最新推荐文章于 2023-07-11 23:48:16 发布
最新推荐文章于 2023-07-11 23:48:16 发布
阅读量227 收藏
点赞数
分类专栏: 分布式日志 文章标签: 分布式日志 ELK搭建 ubuntu搭建elk logstash搭建 分布式日志系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33337927/article/details/107864218
版权

ELK实际上是三个工具的集合,Elasticsearch + Logstash + Kibana,
这三个工具组合形成了一套实用、易用的监控架构,很多公司利用它来搭建可视化的海量日志分析平台。

  1. ElasticSearch
    ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。
  2. Logstash
    Logstash是一个用于管理日志和事件的工具,你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用,例如搜索、存储等。
  3. Kibana
    Kibana是一个优秀的前端日志展示框架,它可以非常详细的将日志转化为各种图表,为用户提供强大的数据可视化支持。

日志收集已经有新出的轻量级工具filebeat可以取代logstash了,这里还是以logstash为例

示例都是安装在一台机器上,需要集群修改相应的ip和端口开放即可。
安装ElasticSearch、 LogStash+FileBeats(选一个即可,filebeats比较轻量)、 Kibana
ElasticSearch、 LogStash、 Kibana三者的版本一定要匹配,版本对不上会报错
这里选择的是6.5.0版本
基于jdk使用,所以要先安装jdk最少1.8版本
安装elasticsearch

sudo wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.5.0.zip
unzip elasticsearch-6.5.0.zip

设置大内存,内存小了会异常:

vi /etc/sysctl.conf

在最后添加 一行 :vm.max_map_count=655360
加载参数 :sysctl -p
创建elsearch用户组及elsearch用户:

groupadd elsearch
useradd elsearch -g elsearch
passwd elsearch

更改elasticsearch文件夹及内部文件的所属用户及组为elsearch:elsearch

cd elasticsearch-6.5.0/ 
./bin/elasticsearch

没报错就成功,报错一般只有一下情况
1.用root用户运行了,一定要普通用户
2.jdk不是1.8及以上
3.内存过小
需要后台运行:./bin/elasticsearch -d #以守护进程方式启动Elasticsearch ,必须普通用户执行,否则启动失败。

安装logstash

sudo wget https://artifacts.elastic.co/downloads/logstash/logstash-6.5.0.tar.gz
cd logstash-6.5.0/

添加logstash.conf文件:

vim logstash.conf
input {
            file {
                    path => "替换应用的log路径,多个路径可以用正则匹配"
                    start_position => "beginning" #从文件开始处读写
            }
    #       stdin {}  #可以从标准输入读数据
    }
    # 数据过滤,暂时未用到filter
    filter {
      #定义数据的格式
      grok {
         //暂时未用到
      }
      #定义时间戳的格式
      date {
        match => [ "timestamp", "yyyy-MM-dd-HH:mm:ss" ]
        locale => "cn"
      }
      #定义客户端的IP是哪个字段(上面定义的数据格式)
      geoip {
        source => "clientIp"
      }
      mutate {
          rename => { "host" => "host.name" }
      }
    }
    # 输出到本机的 ES
    output {
        elasticsearch {
                hosts => [ "127.0.0.1:9200"  ]
    
        }    
    }

bin/logstash -f logstash.conf --config.reload.automatic

后台运行方式:nohup ./bin/logstash -f config/logstash.conf > myout.log 2>&1 &

安装kibana

sudo wget https://artifacts.elastic.co/downloads/kibana/kibana-6.5.0-linux-x86_64.tar.gz
 tar -xzf kibana-6.5.0-linux-x86_64.tar.gz
 cd kibana-6.5.0-linux-x86_64/

修改外网访问:

vim  config/ kibana.yml

修改这句:

server.host: "0.0.0.0"

启动

bin/kibana

没报错即成功了,端口默认是5601
后台运行方式:nohup ./bin/kibana > kibanaout.log 2>&1 &
由于kibana是运行在node上,所以使用ps -ef|grep 是看不到进程了,使用下面的方式查看
netstat -tunlp|grep 5601 查找kibana进程

访问kibana,在discover中添加索引,选择时间,即可看到tomcat的日志,但是格式上还有问题,需要优化。

日志最好是提前格式化:
Nginx的http模块中加入:

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
          log_format json '{"@timestamp":"$time_iso8601",'
                           '"@version":"1",'
                           '"client":"$remote_addr",'
                           '"url":"$uri",'
                           '"status":"$status",'
                           '"domain":"$host",'
                           '"host":"$server_addr",'
                           '"size":$body_bytes_sent,'
                           '"responsetime":$request_time,'
                           '"referer": "$http_referer",'
                           '"ua": "$http_user_agent"'
               '}';

Server模块中加入:

 access_log  /var/log/nginx/access_json.log  json;

日志输出到json格式,重启nginx.
Tomcat日志修改:

#注释原有日志
        <!-- Access log processes all example.
             Documentation at: /docs/config/valve.html
             Note: The pattern used is equivalent to using pattern="common" -->
<!--        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
-->
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="tomcat_access_log" suffix=".log"
               pattern="{&quot;clientip&quot;:&quot;%h&quot;,&quot;ClientUser&quot;:&quot;%l&quot;,&quot;authenticated&quot;:&quot;%u&quot;,&quot;AccessTime&quot;:&quot;%t&quot;,&quot;method&quot;:&quot;%r&quot;,&quot;status&quot;:&quot;%s&quot;,&quot;SendBytes&quot;:&quot;%b&quot;,&quot;Query?string&quot;:&quot;%q&quot;,&quot;partner&quot;:&quot;%{Referer}i&quot;,&quot;AgentVersion&quot;:&quot;%{User-Agent}i&quot;}"/>

重启tomcat。

修改Logstash.conf

input {
    file {
      path => "/var/log/messages"
      type => "system"
      start_position => "beginning"
}
    file {
      path => "/apps/tomcat/logs/tomcat_access_log*.log"
      type => "tomcat-log"
      start_position => "beginning"
      stat_interval => "2"
    }
       file {
       path => "/var/log/nginx/access_json.log"
       codec => json
       start_position => "beginning"
       type => "nginx-log"
    }
}
output {
     
    if [type] == "system"{
        elasticsearch {
           hosts => ["127.0.0.1:9200"]
           index => "systemlog-%{+YYYY.MM.dd}"
        }
}
  if [type] == "tomcat-log"{
        elasticsearch {
           hosts => ["127.0.0.1:9200"]
           index => "tomcat-log-%{+YYYY.MM.dd}"
        }
    }

  
       if [type] == "nginx-log"{
        elasticsearch {
           hosts => ["127.0.0.1:9200"]
           index => "nginx-log-%{+YYYY.MM.dd}"
        }
    }
}

重启logstash,然后在kibana页面中新建nginx-log(tomcat可以一样新建)的索引,即可查询到日志,先访问几次nginx,生成几条日志,可以看到日志按照我们定义的格式生成
在这里插入图片描述

大脸猫小王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分布式ELK 平台搭建
woaini1314520_xhh的博客
01-24 838
一,ELK简介 什么是ELK ELK是一套日志管理的解决方案,是一套集中式日志收集系统 – Elasticsearch:负责日志检索和储存 – Logstash:负责日志的收集和分析、处理 Shipper:发送事件(events)至 LogStash;通常,远程代理端(agent)只需要运行这个 组件即可;  Broker and Indexer:接收并索引化事件; ...
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
微服务系列:分布式日志 ELK 搭建指南
zhang33565417的博客
02-23 2641
相信大家平时工作中,在生产环境中经常会遇到很多异常,报错信息,需要查看日志信息排查错误,并且这个项目是分布式应用,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,还使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。所以我们使用集中化的日志管理,分布式日志就是对大规模日志数据进行采集、追踪、处理。
纯手工打造一个ELK,不要太容易!
资料免费分享,点击名片
11-08 236
推荐阅读: 我总结了72份面试题,累计3170页,斩获了30+互联网公司offer(含BATJM) 2020首战告捷,这份Java面试神技Plus版,让我成功拿到了阿里、京东、字节跳动等大厂offer 膜拜!阿里内部都在强推的K8S(kubernetes)学习指南,不能再详细了 思维导图 概述 我们都知道,在生产环境中经常会遇到很多异常,报错信息,需要查看日志信息排查错误。现在的系统大多比较复杂,即使是一个服务背后也是一个集群的机器在运行,如果逐台机器去查看日志显然是很费力的,也不现实。
分布式日志系统搭建-ELK(1)
qq_36676682的博客
12-18 365
需求分析            日志是作为线上系统排错的关键,通常我们在本机代码调试的时候,错误会直接打印在控制台上,因此我们才能进行错误的判断。当系统运行在线上的时候,如果单纯的通过捕获异常 ,使用**e.printStackTrace()**进行打印肯定是不行的。因为其他的运行信息或者...
分布式ELK日志监控系统环境搭建
qq_52030824的博客
03-23 2411
ELK是一个流行的日志管理和监控解决方案,它由三个主要组件组成:Elasticsearch、Logstash和Kibana。这三款组件都是elastic旗下的产品。欢迎来到 Elastic — Elasticsearch 和 Kibana 的开发者 | Elastic是一个分布式搜索和分析引擎,将日志数据存储在分布式索引中,支持快速搜索、聚合和分析。Elasticsearch还提供了高可用性和可扩展性,支持水平扩展和负载平衡。Logstash
采用ELK搭建日志分析系统.docx
最新发布
10-13
本文将详细介绍如何使用ELK搭建日志分析系统。 首先,我们从基础开始,Elasticsearch是一个分布式、RESTful风格的搜索和数据分析引擎,用于存储和检索大量数据。确认Elasticsearch是否正常运行,可以通过在命令行...
使用ELK搭建日志集中分析平台实践
01-27
而Nginx日志分割/GoAccess/Awstats都是相对简单的单节点解决方案,针对分布式集群或者数据量级较大时会显得心有余而力不足,而ELK的出现可以使我们从容面对新的挑战。Logstash:负责日志的收集,处理和储存Elastic...
ELK+FileBeat+Kafka分布式系统搭建图文教程.docx
06-06
ELK+FileBeat+Kafka分布式系统搭建图文教程 本教程详细记录了ELK+FileBeat+Kafka分布式系统搭建流程和步骤,为大家快速上手提供了详细的指导。本系统由FileBeat、Kafka、Logstash、Elasticsearch、Kibana五个组件...
ELK分布式日志系统搭建一步。es集群搭建
zhuqiaorjxy的专栏
07-13 332
1.首先准备三台机器,我直接在在虚拟机中创建了三台服务器。 192.168.44.126 master-node 192.168.44.128 data-node1 192.168.44.129 data-node2 2.环境准备:JDK1.8 es 7.2.0版本,运行时环境需求 使用root 用户创建 目录 mkdir /software 创建用户es 把目录/software...
基于Docker搭建ELK分布式日志系统
Y_eatMeat的博客
08-31 901
基于Docker搭建ELK分布式日志系统详细教程
ELK分布式日志系统搭建实录
johneylee2008的博客
02-16 437
等级保护对系统和应用的日志记录的都有比较严格的要求。去年是购买的阿里云成熟产品,应用日志则是直接存数据库,高并发下形成瓶颈。经过调研,决定尝试选用ELK分布式日志系统,如果能替代阿里云产品,则可以节省一些费用;同时也可以解决日志存数据库带来的性能问题。一举两得。 节前就曾在公司的虚拟机上尝试搭建ELK环境,可是因为版本问题一直有各种问题及没有解决。利用春节长假,重新查阅资料,研究了在CentOS环境下搭建ELK布式日志系统。终于初步调通,特整理本文记录一下过程。 一、本次测试采用的架构图 本次测试采用的基本
ELK原来这么简单!手把手教你搭建实时的分布式搜索和分析引擎
m0_57077948的博客
06-03 246
概述 我们都知道,在生产环境中经常会遇到很多异常,报错信息,需要查看日志信息排查错误。现在的系统大多比较复杂,即使是一个服务背后也是一个集群的机器在运行,如果逐台机器去查看日志显然是很费力的,也不现实。 如果能把日志全部收集到一个平台,然后像百度,谷歌一样通过关键字搜索出相关的日志,岂不快哉。于是就有了集中式日志系统ELK就是其中一款使用最多的开源产品。 一、什么是ELK ELK其实是Elasticsearch,Logstash 和 Kibana三个产品的首字母缩写,这三款都是开源产品。 ElasticS
ELK 环境搭建
默存
09-28 6796
ELK 其实是 Elasticsearch、Logstash和Kibana三个产品的首字母缩写,这三款都是开源产品。
ELK
m493096871的博客
03-05 299
一.elk是什么? ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据...
ELk日志平台搭建
2301_76838634的博客
07-11 5080
服务器数量较少时,使用 rsyslog 或者 脚本(scp) 进行收集、分割日志,再统一汇总到专门存放日志日志服务器保存管理。查看日志可以把需要的日志文件传到windows主机上,使用专业的文本工具打开分析日志。服务器数量较多时,使用 ELK 收集日志、存储日志、展示日志。对于在K8S平台运行的容器日志,可以使用 Loki+Granfana 收集日志、存储日志、展示日志
分布式日志收集-Elasticsearch+Logstash+Kibana
xiaobo5264063的博客
09-15 832
传统系统日志收集的问题 在传统项目中,如果在生产环境中,有多台不同的服务器集群,如果生产环境需要通过日志定位项目的Bug的话,需要在每台节点上使用传统的命令方式查询,这样效率非常底下。 通常,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源...
ELK搭建(一):实现分布式微服务日志监控
55555的博客
01-04 8683
1、目标 本次我们搭建的目标是通过ELK来收集微服务中的日志。本期主要以实操、快速搭建为主进行讲解,部分基础概念不做过多描述,后续会再单独出几期博客说明 2、思路 首先我们要部署的架构如下图所示,需要收集两个微服务的日志,并且最终在kibana中可视化呈现出来。 可以看出日志的传输路线是:微服务产生日志,并将日志数据保存到磁盘中的.log文件中,filebeat监听log文件,将其数据收集并结构化后传输到logstash上,logstash日志进行过滤收集,再传输到elasticsearch上,elast
ELK分布式日志收集搭建和使用
art_code的博客
01-22 1038
ELK分布式日志收集搭建和使用 大型系统分布式日志采集系统ELK 全框架 SpringBootSecurity 1、传统系统日志收集的问题 2、Logstash操作工作原理 3、分布式日志收集ELK原理 4、Elasticsearch+Logstash+Kiabana整合 5、Logstash将数据推送到ES 6、Kibana图形界面展示ES日志信息 搭建环境虚拟机要求:2G以上内存 ...
200_ElasticSearch搭建教程1
08-08
"这篇教程主要介绍了如何搭建ELK日志分析环境,包括Elasticsearch、Logstash和Kibana的组合使用。ELK日志管理和分析的强大工具,其中Elasticsearch是一个分布式搜索引擎,Logstash负责日志收集和过滤,而Kibana则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值