ELKF——从零开始搭建部署ELKF日志系统

最新推荐文章于 2024-05-21 14:36:48 发布
最新推荐文章于 2024-05-21 14:36:48 发布
阅读量1.6k 收藏 6
点赞数 1
分类专栏: 运维 文章标签: elasticsearch 大数据 elk docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33588972/article/details/128330859
版权

ELKF简介

日志系统是一个很重要的系统,一个架构良好的日志系统,可以帮助开发者更清楚的了解服务器的状态和系统安全状况,从而保证服务器的稳定运行。目前,在大型的后端架构中,一个标准的数据采集方案通常被称为ELK,即ElasticSearch、Logstash和Kibana。为了更轻量级的收集数据,还引用了Filebeat。
所以,我们此次选择Elasticsearch + Logstash + filebeat + Kibana架构来进行演示。

Elasticsearch:分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点,可用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 使用Java 基于 Lucene 开发,是现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建的。

Logstash:数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。

Kibana:可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。

Filebeat:轻量级数据收集引擎。相对于Logstash所占用的系统资源来说,Filebeat 所占用的系统资源几乎是微乎及微。它是基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择。

  1. 安装Elasticsearch

    docker拉取镜像,使用7.10.2版本。

    docker pull elasticsearch:7.10.2

    创建挂载目录,并给创建的文件夹授权。

    mkdir -p /worker/elk/elasticsearch
#文件夹赋权
sudo chown -R 777 /worker/elk/elasticsearch
#这里注意:如果777权限不够,就给1000 : 1000权限

    执行docker run脚本

    docker run -d -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" --name es 镜像ID

    拷贝elasticsearch容器内部的配置到挂载目录

    docker cp es:/usr/share/elasticsearch/config/elasticsearch.yml /worker/elk/elasticsearch/
docker cp es:/usr/share/elasticsearch/data /worker/elk/elasticsearch/

    修改elasticsearch.yml

    cluster.name: "es-master"
network.host: 0.0.0.0
# 0.0.0.0可表示监听所有IP
http.host: 0.0.0.0
# 跨越请求
http.cors.enabled: true
http.cors.allow-origin: "*"

    删除容器

    docker rm -f es

    再次执行dokcer脚本启动elasticsearch,并设置挂载目录

    docker run -d -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" --name es \
     --restart=always \
     -e ES_JAVA_OPTS="-Xms128m -Xmx512m" \
     -h elasticsearch \
     -v /worker/elk/elasticsearch/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
     -v /worker/elk/elasticsearch/data:/usr/share/elasticsearch/data \
     -e LANG=C.UTF-8 \
     -e LC_ALL=C.UTF-8 \
     镜像ID
    
    
参数说明:
-p 9200:9200:将容器的9200端口映射到宿主机9200端口
-p 9300:9300:将容器的9300端口映射到宿主机9300端口,目的是集群互相通信
--restart=always:docker重启自动启动
-e "discovery.type=single-node":单例模式
-e ES_JAVA_OPTS="-Xms128m -Xmx512m":配置内存大小,最小/最大内存
-v 挂载目录

  2. Kibana

    docker拉去镜像,使用7.10.2版本

    docker pull kibana:7.10.2

    创建挂载目录,并给创建的文件夹授权(与elasticsearch的创建过程类似)。

    mkdir -p /worker/elk/kibana
#文件夹赋权
sudo chown -R 777 /worker/elk/kibana

    执行docker run脚本

    sudo docker run -d --name kibana -p 5601:5601 镜像ID

    拷贝kibana容器内部的配置到挂载目录

    docker cp kibana:/usr/share/kibana/config /worker/elk/kibana/
docker cp kibana:/usr/share/kibana/data /worker/elk/kibana/

    修改kibana.yml配置文件

    server.name: kibana
server.host: "0.0.0.0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
# 显示登陆页面
monitoring.ui.container.elasticsearch.enabled: true
# 语言
i18n.locale: "zh-CN"

    删除容器

    docker rm -f kibana

    再次执行dokcer脚本启动kibana,并设置挂载目录

    docker run -d --name kibana -p 5601:5601 \
      --restart=always \
      --link es:elasticsearch \
      -h kibana \
      -v /worker/elk/kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml \
      -v /worker/elk/kibana/data:/usr/share/kibana/data \
      镜像ID
      
参数说明:
--link:使用–link参数时,docker会自动在共享两个容器的变量。访问的时候,不再是通过IP的方式来访问,而是通过容器名来访问。上面访问es容器,可以直接elasticsearch:9200可以访问到es容器。

  3. Logstash

    docker拉去镜像,使用7.10.2版本

    docker pull logstash:7.10.2

    创建挂载目录,并给创建的文件夹授权。

    mkdir -p /worker/elk/logstash
#文件夹赋权
sudo chown -R 777 /worker/elk/logstash

    创建容器

    docker run -p 4560:4560 --name logstash -d 镜像ID

    拷贝logstash容器内部的配置到挂载目录

    docker container cp logstash:/usr/share/logstash/config /worker/elk/logstash 
docker container cp logstash:/usr/share/logstash/pipeline /worker/elk/logstash
docker container cp logstash:/usr/share/logstash/data /worker/elk/logstash

    修改logstash.yml的文件的默认配置,配置文件的路径(/worker/elk/logstash/config)

    http.host: "0.0.0.0"
#允许监控
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.hosts: [ "http://elasticsearch:9200" ]

    修改logstash.conf的文件配置,配置文件的路径(/worker/elk/logstash/pipeline),根据具体情况配置

    # 监听5044端口作为输入源
input {
  beats {
    port => 5044
  }
}

# 过滤
filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

# 输出到es
output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    # 索引名称,这里获取filebeat设置的参数
    index => "%{[fields][service]}-%{+YYYY.MM.dd}"
  }

  stdout {
    codec => rubydebug
  }
}

    停止并删除容器

    docker rm -f logstash

    重新启动容器并设置挂载目录

    docker run -d \
    --name logstash \
    -p 5044:5044 \
    --restart=always \
    -h logstash \
    --link es:elasticsearch \
    -v /worker/elk/logstash/config:/usr/share/logstash/config \
    -v /worker/elk/logstash/pipeline:/usr/share/logstash/pipeline \
    镜像ID

    进入logstash容器,安装插件

    bin/logstash-plugin install logstash-codec-json_lines

  4. filebeat

    docker pull docker.elastic.co/beats/filebeat:7.10.2

    然后,执行docker启动脚本。

    docker run  -d --name filebeat -p 9000:9000 镜像ID

    接着,创建filebeat挂载目录,并给创建的文件授权。

    mkdir -p /worker/elk/filebeat
sudo chown -R 777 /worker/elk/filebeat

# 将容器内的文件复制到主机上。
docker cp filebeat:/usr/share/filebeat/filebeat.yml /worker/elk/filebeat

    修改配置文件filebeat.yml

    filebeat.config:
  modules:
    path: ${path.config}/modules.d/*.yml
    reload.enabled: false

processors:
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

filebeat.inputs:
- type: tcp
  enabled: true
  # 设置参数
  fields:
    service: estate
  max_message_size: 10MiB
  host: "0.0.0.0:9000"

# 输出到logstash
output.logstash:
  hosts: ["logstash:5044"]

    删除容器

    docker rm -f filebeat

    接着,修改docker启动脚本,增加-v挂载目录。

    docker run  -d \
	--name filebeat \
	-p 9000:9000 \
	-h filebeat \
	-v /worker/elk/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml \
	--restart=always \
	--link logstash:logstash \
	-e TZ=Asia/Shanghai \
	-e output.logstash.hosts=["logstash:5044"] \
    镜像ID

  5. 连接filebeat

    springboot项目连接filebeat做日志输出,地址为192.168.189.128:9000 (根据自己ip来),具体可以参考其他文章。

  6. 配置kibana

    进入kibana页面,地址为http://192.168.189.128:5601/ (根据自己ip来)。
    在这里插入图片描述

    ![在这里插入图片描述](https://img-blog.csdnimg.cn/9075b03633ad43b48ae15a4dbeb5be6f.jpeg#pic_center输入logstash配置的索引index名称,点击下一步。
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述
看到已经有日志输出。

865IT哥
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ELKF日志管理平台搭建教程(一)-轻量级的日志传输工具(Filebeat)
专注基础架构领域
05-30 1822
由于工作原因,需要搭建一套自己的ELKF日志管理平台,收集系统日志并分析,之Filebeat 已经完全替代了 Logstash-Forwarder 成为新一代的日志采集器,同时鉴于它轻量、安全等特点,越来越多人开始使用它。 本专栏是参照开源搜索与分析Elastic官网文档作为主要依据,系统应用示意图 上图出自于SpringCloud实战专栏,这两个专栏共同组成了上面的系统应用示意图...
ELKF环境搭建
weixin_34290631的博客
06-04 184
公司需求,要求搭建一套ELK环境,便搜索了一些资料,把整个搭建过程记录下来,以便未来进行翻阅。 ELKF分别是ElasticSearch,Logstash,Kibana和Filebeat: ElasticSearch大家可以理解为一个搜索引擎 Logstash是分析日志过滤日志的工具,也可以收集日志,不过本环境不用 Kibana负责前台...
ELKF搭建及使用全过程(7.8版本)
我是一个有理想的程序员
01-12 4568
ELKF搭建及使用全过程(7.8版本)前言ELKF框架ELKF成员介绍运行流程---------------------------------------------------------------------------------------FileBeat搭建LogStash搭建Elasticsearch搭建Kibana搭建测试 前言 讲真的现在互联网的技术更新换代实在是太快,ELK还没出几天,就又出了ELKF。好不容易找到几个6.x的版本教程,然而7.x的版本配置又和6.x天差地别。所以最好的
elk + kafka + filebeat搭建日志分析系统-附件资源
03-02
elk + kafka + filebeat搭建日志分析系统-附件资源
elkf配置文件.rar
08-19
elkf配置文件
ELKF】一款让你舍不得放手的分布式日志系统ELKF就是那么容易上手
chenzhong2010的博客
10-24 1656
【不好意思,本文是导入本地电脑笔记,图片无法显示,后续加上。谢谢查看。】 一、安装elasticsearch 7.9.3(9200) 1、下载 https://www.elastic.co/cn/downloads/elasticsearch [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XnRkWunB-1635087052677)(images/ksohtml/wpsHsgFc4.jpg)] 2、解压 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(
002 - ELKF部署安装、配置
weixin_49908963的博客
08-01 101
复盘Logstash之grok格式化日志安装Logstash插件问题Mysql的一个web-slow.log日志是多行,且有多个message字段,解决处理开启多行合并一行问题Logstash还有两个message字段使用grok插件来处理日志为JSON格式# 日志案例:},},",},"log" => {},},"ecs" => {},],
ELKF+kafka日志系统架构
桃花惜春风
03-25 646
文章目录我们为什么要搭建日志系统?相关组件介绍FlumeLogstashFileBeatElasticsearchKibanaKafka市场上的几种日志系统架构原有ELK架构引入消息队列架构轻量级的日志采集架构 我们为什么要搭建日志系统日志系统已经成为目前互联网行业的必备项目,用户行为分析,用户画像,包括事件的异常分析,统计分析等等都要依赖于日志。 随着大数据的快速发展,近些年来日志被越来越多...
ELK日志分析系统搭建
mwx17630337353的博客
03-07 1381
奶妈级ELK日志分析系统搭建
ELk日志分析系统搭建
@chenk的博客
05-17 5568
一、什么是ELKELKElasticsearch + Logstash + Kibana 这种架构的简写. ​ 这是一种日志分析平台的架构. 如果没有ELK这样的日志分析平台,我们同样可以使用shell三剑客(grep、sed、awk)来分析日志。 这种方式略显原始而简陋,虽然也能应对大多数的场景,但是当日志量变大,分析频繁的时候,仅靠人工shell 的方式来查看分析日志,就很不方便。 尤其适当使用者,对于shell不是很擅长的情况下,一个操作简单,配置方便的日志分析平台,就显得很有必要了。
ELKF搭建详细步骤.docx
04-04
ELKF搭建详细步骤.pdf
04-04
docker 日志管理(elkfdocker-compose 一键启动.zip
10-20
docker elkf 日志管理系统 docker-compose一键启动 内附教程
大道至简之ELKF日志分析搭建
PHP大佬--明哥哥的博客
03-30 175
ELKElasticsearch、Logstash、Kibana的简称。 Logstash:数据抽取 Elasticsearch:搜索分析 Kibana:数据展现
Docker ELKF平台搭建 单机
IMJCW的博客
11-05 660
申明 本文是基于 hub.docker.com 站点提供的 Docker 容器进行搭建的,且是 单机 ,仅用于学习。 简介 ELKFElasticsearch 、 Logstash 、 Kibana 、 Filebeat。 filebeat 是轻量级的开源日志文件数据搜集器,负责对服务的日志进行收集。 logstash 是数据收集引擎,可以对数据进行过滤、分析、丰富、统一格式等操作,存储到用户指定的位置,包含但不限于文件、 elasticsearchelasticsearch 是存储、搜索和分
elkf基础环境搭建
zhangsaho的博客
12-04 479
一、首先安装jdk环境 yum install java-1.8.0-openjdk* 安装elasticsearch 下载rpm包:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.4.rpm 安装rpm包 Rpm -ivh elasticsearch-6.2.4.rpm 配置elasticsearch ...
ELKF安装部署
David_yspeng的博客
12-30 1318
ELKF部署环境: JDK1.8 Elastic Stack 7.7.0 Filebeat安装: 官方下载安装包filebeat 7.7.0,下载linux版本并解压。 解压后配置filebeat.yml,filebeat不需太多额外配置,具体如下: #=========================== Filebeat inputs ============================= filebeat.inputs: # Each - is an input. Most option
开源日志监控采集平台ELKF部署
weixin_43696020的博客
09-17 630
文章目录一、ELKF介绍1.kibana简介2.elasicsearch简介3.logstash简介4.filebeat简介5.部署前注意事项二、部署logstash三、部署elasicsearch四、部署kibana五、部署filebeat 一、ELKF介绍       1.kibana简介        Kibana是一个使用 Apache 开源协议, 基于浏览器的 Elasticsearch 分析和搜索
Git常用操作
最新发布
Justice
05-21 257
合并分支a到分支b,–no-ff参数表示禁用Fast forward模式,合并后的历史有分支,能看出曾经做过合并,而-ff参数表示使用Fast forward模式,合并后的历史变成一条直线。rebase 不会产生新的提交,而是把当前分支的每一个提交都“复制”到目标分支上,然后再把当前分支指向目标分支,而merge会产生一个新的提交,这个提交有两个分支的所有修改。创建一个新的提交,用来撤销指定的提交,后者的所有变化将被前者抵消,并且应用到当前分支。查看所有本地分支,-r 查看远程分支,-a查看所有分支。
windows10 docker-composer 安装elkf服务
05-14
安装ELKF服务需要以下步骤: 1. 安装DockerDocker Compose 在Windows 10上安装DockerDocker Compose,请参考Docker官方文档。 2. 创建一个Docker Compose文件 在一个空白目录中创建一个名为“docker-compose.yml”的文件,并将以下内容添加到文件中: ``` version: '3.3' services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.10.0 container_name: elasticsearch environment: - discovery.type=single-node ulimits: memlock: soft: -1 hard: -1 ports: - 9200:9200 - 9300:9300 volumes: - esdata:/usr/share/elasticsearch/data networks: - elk kibana: image: docker.elastic.co/kibana/kibana:7.10.0 container_name: kibana ports: - 5601:5601 environment: ELASTICSEARCH_HOSTS: http://elasticsearch:9200 networks: - elk logstash: image: docker.elastic.co/logstash/logstash:7.10.0 container_name: logstash volumes: - ./config/logstash/:/usr/share/logstash/pipeline/ - ./data/:/usr/share/logstash/data/ environment: LS_JAVA_OPTS: "-Xmx256m -Xms256m" ELASTICSEARCH_HOST: "http://elasticsearch:9200" ELASTICSEARCH_USERNAME: "elastic" ELASTICSEARCH_PASSWORD: "changeme" ports: - "5044:5044" networks: - elk volumes: esdata: driver: local networks: elk: ``` 请注意,此文件定义了三个服务:Elasticsearch、Kibana和Logstash,并将它们连接到一个名为“elk”的网络中。 3. 创建配置文件 在与Docker Compose文件相同的目录中创建一个名为“config”的子目录,并在其中创建一个名为“logstash.conf”的文件。将以下内容添加到文件中: ``` input { beats { port => 5044 } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } date { match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ] } } output { elasticsearch { hosts => [ "elasticsearch:9200" ] user => "elastic" password => "changeme" } } ``` 请注意,在这个例子中,我们使用了Apache日志格式作为示例,并将其与Grok插件一起使用来解析日志的字段。你可以根据自己的需求修改配置文件。 4. 启动服务 在命令行中进入到Docker Compose文件所在的目录,并运行以下命令: ``` docker-compose up -d ``` 这将启动Elasticsearch、Kibana和Logstash服务,并在后台运行。 5. 访问Kibana 在浏览器中打开“http://localhost:5601/”即可访问Kibana服务。 请注意,由于我们在Docker Compose文件中将端口“5601”映射到主机上的端口“5601”,因此可以在主机上访问该服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值