搭建ELK实现日志采集

最新推荐文章于 2023-04-12 19:29:12 发布
最新推荐文章于 2023-04-12 19:29:12 发布
阅读量271 收藏
点赞数
分类专栏: 服务搭建 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33807330/article/details/106944383
版权

之前在公司搭建了一套ELK一直没用,前两天公司突然要使用了,因为Linux接口没有对外暴露,所以需要修改端口,两个月没管,突然对服务一脸懵逼,为了防止再次忘记,所以把搭建过程记录下来。

1.搭建 Elasticsearch

 下载对应版本,这里用7.5.1:https://www.elastic.co/cn/downloads/elasticsearch,ELK下载路径都一样,所以以下不再阐述

如果是Linux系统,需要注意:

(a)设置内核参数 vim /etc/sysctl.conf

fs.file-max=65536
vm.max_map_count=262144

sysctl -p 刷新下配置,sysctl -a查看是否生效!如果不成功的 执行以下命令

rm -f /sbin/modprobe 
ln -s /bin/true /sbin/modprobe
rm -f /sbin/sysctl 
ln -s /bin/true /sbin/sysctl  

(b)设置资源参数 vi /etc/security/limits.conf

* soft nofile 65536
* hard nofile 131072
* soft nproc  2048
* hard nproc  4096

(c)修改进程数 vi /etc/security/limits.d/20-nproc.conf

*          soft    nproc     4096

注意:配置完成后,重新打开一个窗口,且不能用root用户启动

接下来把下载好的ES解压到本地,修改config中elasticsearch.yml文件,MAC也可不修改直接用默认

  # 配置es的集群名称, es会自动发现在同一网段下的es,如果在同一网段下有多个集群,就可以用这个属性来    区分不同的集群。
  cluster.name: my-es
  # 节点名称
  node.name: node-39
  # 设置绑定的ip地址还有其它节点和该节点交互的ip地址
  network.host: 0.0.0.0
  # 指定http端口,你使用head、kopf等相关插件使用的端口
  http.port: 9200
  # 设置节点间交互的tcp端口,默认是9300
  transport.tcp.port: 9300
  #设置集群中master节点的初始列表,可以通过这些节点来自动发现新加入集群的节点。
  #discovery.zen.ping.unicast.hosts: ["1.1.4.2:9300", "1.1.4.3:9300", "1.1.4.5:9300"] 
  #如果没有这种设置,遭受网络故障的集群就有可能将集群分成两个独立的集群 - 分裂的大脑 - 这将导致数据丢失
  #discovery.zen.minimum_master_nodes: 3
  cluster.initial_master_nodes: ["node-39"]
  http.cors.enabled: true
  http.cors.allow-origin: "*"
  #某些系统需要 是因为centos6.x操作系统不支持SecComp,而elasticsearch 5.5.2默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动。
  bootstrap.memory_lock: false
  bootstrap.system_call_filter: false

然后可以直接启动 ./bin/elasticsearch 后台启动后面加 -d

打开浏览器访问 http://你的ip:9200/查看是否能够正常访问

2.搭建 Kibana

解压到本地后修改config中Kibana文件,MAC也可不修改直接用默认

#端口
server.port:15601
#允许外网访问
server.host: "0.0.0.0"
#配置ES地址
elasticsearch.hosts: ["http://localhost:9200"]

然后可以直接启动 ./bin/kibana 后台启动 nohup ./bin/kibana &

打开浏览器访问 http://你的ip:15601/查看是否能够正常访问

在Linux系统搭建过程中也会遇到问题,问题出在设置参数那里,不过已顺利通过百度解决

扩展Linux命令:

1、查看服务器端口是否被占用

>lsof  -i:8081

2、查看服务器所有端口

>netstat -ntlp

3、查看服务器是否开放某端口

tcp端口:>netstat -ntpl

udp端口:>netstat -nupl

3.搭建 Logstash

解压直接在根目录下创建my-logstash.conf

input {
        file {
                type => "log"
                path => ["/apps/svr/server/*/log.file"]
                start_position => "end"
                ignore_older => 0
                codec=> multiline {
                        pattern => "^\d{4}-\d{1,2}-\d{1,2}\s\d{1,2}:\d{1,2}:\d{1,2}"
                        negate => true
			auto_flush_interval => 5
                        what => "previous"
                }
        }
        beats {
            port => 5044
        }
}
output {
        if [type] == "log" {
                elasticsearch {
                        hosts => ["http://127.0.0.1:9200"]
                        index => "logstash-%{+YYYY.MM}"
                        #user => es
                        #password => es2018
                }
        }
}

如果本机内存不够可修改 jvm.options

启动logstash指定conf. ./bin/logstash -f my-logstash.conf 

4.搭建 FileBeat

解压后在根目录创建filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - 日志路径/*.log
  multiline:
    pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
    negate: true
    match: after
    max_lines: 1000
    timeout: 3s
output.elasticsearch:
  hosts: ["127.0.0.1:9200"]
  index: "log-%{+yyyy.MM.dd}"
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"

启动filebeat指定yml   ./filebeat -e -c filebrat.yml

logstash、filebeat 任选其一。至此,ELK环境搭建完毕

 

 

 

 

向上奔跑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ELK自动化收集Docker容器日志的分析系统
01-27
针对Docker容器集群中日志的收集和集中处理的问题。本文采用Docker Swarm和Etcd实现容器的管理、服务发现以及调度,并为分布式系统提供支撑。使用主流的开源日志收集系统ELK,并结合分布式消息队列redis部署实时消息自动化系统,能够快速、实时地收集应用日志,提高运维人员的工作效率。详细介绍了Docker、ELK、Docker Swarm和Etcd的功能及原理,最后通过使用容器编排工具docker-compose,一键式构建基于Docker容器的ELK日志收集系统的实验环境,证明了本系统收集Docker容器日志的实时性、稳定性和高可用性。
ELK分布式日志集群在本地虚拟机部署(可应用于生产环境),后台服务基于RuoYi项目———全网最详细
最新发布
m0_45901080的博客
06-27 738
elk集群部署,集成ruoyi项目
docker搭建简单elk日志系统4(filebeat配置文件本地调试)
weixin_44835704的博客
04-12 482
其中收集到的文本内容在根节点的message字段中,filebeat输出的json数据不仅包含收集的内容,还默认会收集一些其他信息,如主机名、filebeat版本、收集的时间、收集内容来源等等。filebeat收集日志默认是通过行来收集的,但是java应用程序如果出现报错会在日志中打印出栈信息,就会导致一条日志出现多行内容。filebeat收集错误日志(此时已经将多行错误日志在filebeat中收集成了一个文档)到这里,一个简单的收集java日志的filebeat配置文件就完成了。
使用 ELK 收集日志
码农UP2U
09-15 4026
在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。创建完成后,返回 Kibana 的首页,选择 Discover 选项,切换到我们新建的 logstash-* 选项下,然后选择时间段,就可以看到相应的日志信息了。在上图中应用日志框架直接将日志发送给 Logstash,然后 Logstash 将接收的日志写入 ElasticSearch 中,开发人员通过可视化的 Kibana 可以进行日志的查询和分析。
ELK集群+日志采集
【CSDN官方推荐】
01-01 259
实验逻辑图 1.在IP地址为192.168.153.185的主机上安装nginx和logstash 1.1 安装并开启nginx服务 链接>> https://blog.csdn.net/m0_46674735/article/details/111125960 1.2 安装并开启logstash服务 链接>. https://blog.csdn.net/m0_46674735/article/details/112004006 1.2.1 在 /etc/logstash/conf.d/
elasticsearch入门(四)之ELK日志的收集
了不起的盖茨比的博客
07-08 1911
1.写在前面 前面的博客我已经简单的介绍elasticsearch的环境的安装,elasticsearch的一些常用API,今天我们来介绍下ELK日志的收集,主要是用FileBeat进行日志的收集,然后用logstash进行日志的处理,最后导入elasticsearch,然后通过elasticsearch生成对应的图,完成对应的数据的可视化。 2.数据的来源 由于我们需要做日志的收集,但是我们现在是写博客,所以不可能从线上搞一个项目来给我讲日志的收集,所以我们需要模拟线上日志的收集,这个时候就需要我们来写
ELK集成环境搭建手册
05-24
ELK集成环境搭建手册
基于Docker快速搭建ELK的方法
01-20
【摘要】 本文基于自建的Docker平台搭建一套完整的ELK系统,相关的镜像直接从Docker Hub上获取,可以快速实现日志采集和分析检索。 准备镜像 获取ES镜像:docker pull elasticsearch:latest 获取kibana镜像:...
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
ELK日志归集 - 搭建及使用说明文档V1.0 Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且。 logstash比...
详解利用ELK搭建Docker容器化应用日志中心
01-11
本文即将阐述如何利用ELK日志中心来收集容器化应用程序所产生的日志,并且可以用可视化的方式对日志进行查询与分析,其架构如下图所示: 架构图 镜像准备 镜像准备 ElasticSearch镜像 Logstash镜像 Kibana镜像...
ELK日志系统安装部署 高清完整PDF版
09-15
ELK日志系统安装部署包含环境、服务端安装、客户端安装、Elasticsearch 插件安装、Kibana 日志分析、ELK 日志分析实例等。
ELK搭建手册
08-14
收集-能够采集多种来源的日志数据 传输-能够稳定的把日志数据传输到中央系统 存储-如何存储日志数据 分析-可以支持 UI 分析 警告-能够提供错误报告,监控机制 ELK提供了一整套解决方案,并且都是开源软件,之间...
ELK日志分析平台实战-----(二)-----logstash数据采集
xrt0211的博客
06-14 905
ELK日志分析平台实战-----(二)-----logstash数据采集 1.logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 4. Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 5.
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1451
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
elasticsearch做如何进行日志采集
qq_36601631的博客
10-08 3207
elasticsearch做如何进行日志采集
ELK学习之Elasticsearch介绍
Alice_qixin的博客
08-19 445
参考文档:Elasticsearch官网传送门博客文章传送门 一ELK介绍 elk 是什么 ? Elastic Stack(旧称ELK Stack),是一种能够从任意数据源抽取数据,并实时对数据进行搜索、分析和可视化展现的数据分析框架。(hadoop同一个开发人员) java 开发的开源的全文搜索引擎工具 基于lucence搜索引擎的 采用 r...
(四)ELKB日志监控管理
weixin_43930865的博客
01-11 392
elk全套相关组件下载 1:ELKB日志监控管理 elk包括 Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。 数据采集:beats 数据解析,清洗:Logstash 数据存储:Elasticsearch 数据可视化:Kibana 1.1:整体架构 2:beats数据采集 Beats 是一个免费且开放的平台,集合了多种单一用途数据采集器。它们从成百上千或成千上万台机
##ELK日志分析系统搭建##
qq_15290209的博客
07-27 748
ELK常见的架构 Elasticsearch + Logstash + Kibana 这是一种最简单的架构。这种架构,通过logstash收集日志Elasticsearch分析日志,然后在Kibana(web界面)中展示。这种架构虽然是官网介绍里的方式 通常日志由服务器生成,输出到不同的文件中,一般会有系统日志、 应用日志、安全日志。这些日志分散地存储在不同的机器上。 ...
elk如何远程采集日志
05-24
要远程采集日志,需要在目标服务器上安装一个日志采集代理,如Logstash或Filebeat。然后,将代理配置为将日志发送到Elasticsearch集群中的一个或多个节点。 以下是大致步骤: 1. 在目标服务器上安装Logstash或Filebeat 2. 配置代理以获取要采集日志 3. 配置代理以将日志发送到Elasticsearch集群中的节点 4. 在Elasticsearch中创建适当的索引模板和搜索查询以检索日志 具体来说,可以按照以下步骤进行操作: 1. 安装Logstash或Filebeat 对于Logstash,可以按照官方文档中的指南进行操作。对于Filebeat,也可以按照官方文档中的指南进行操作。 2. 配置代理 在Logstash或Filebeat中,需要配置输入和输出。输入是指要采集日志文件或数据源,输出是指将日志发送到Elasticsearch集群中的节点。 例如,在Filebeat中,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/myapp/*.log output.elasticsearch: hosts: ["http://es-node1:9200", "http://es-node2:9200"] ``` 这将采集`/var/log/myapp/*.log`中的日志,并将其发送到`es-node1`和`es-node2`节点上的Elasticsearch。 3. 创建索引模板和搜索查询 在Elasticsearch中,需要创建一个适当的索引模板以确保日志正确地解析和存储。还可以创建搜索查询以检索和过滤日志。 例如,可以使用以下示例索引模板: ``` PUT _template/myapp_logs { "index_patterns": ["myapp-*"], "settings": { "number_of_shards": 1 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "message": { "type": "text" }, "tags": { "type": "keyword" } } } } ``` 此模板指定了一个索引模式,即`myapp-*`,并定义了索引中的字段。还可以创建搜索查询以检索和过滤日志。 总之,远程采集日志需要配置日志采集代理,并将其配置为将日志发送到Elasticsearch集群中的节点。然后,在Elasticsearch中创建索引模板和搜索查询以检索日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值