ELK日志收集分析系统部署

前言

        日志分析是运维工程师解决系统故障，发现问题的主要手段。日志系统主要包括系统日志、应用程序日志、和安全日志。
        通常日志被分散的存储在不同的服务器上。如果服务器的数量是数十台或超过百台，查阅日志需要一一登录这些服务器，很繁琐且效率低下，为此，可以使用集中化的日志管理。
        集中化管理日志之后，日志的统计和分析又成为了一件比较麻烦的事，传统做法是使用grep、awk、wc等Linux命令实现统计和分析，但是对于更高要求的查询、排序和统计，还有所不足。
        开源的实时日志分析ELK平台能够完美的解决上述的问题。ELK由ElasticSearch、Logstash和Kibana三个开源工具组成。

一、ElasticSearch、Logstash和Kibana 简介

1.1、ElasticSearch 介绍

Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。
Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是第二流行的企业搜索引擎。

1.2、Elasticsearch的基础核心概念

1.2.1 接近实时（NRT）

Elasticsearch是一个接近实时的搜索平台，这意味着，从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟（通常是1秒）

1.2.2 集群（cluster）

一个集群就是由一个或多个节点组织在一起，它们共同持有你整个的数据，并一起提供索引和搜索功能。其中一个节点为主节点，这个主节点是可以通过选举产生的，并提供跨节点的联合索引和搜索的功能。集群有一个唯一性标示的名字，默认是elasticsearch，集群名字很重要，每个节点是基于集群名字加入到其集群中的。因此，确保在不同环境中使用不同的集群名字。一个集群可以只有一个节点。强烈建议在配置elasticsearch时，配置成集群模式。

1.2.3 节点（node）

节点就是一台单一的服务器，是集群的一部分，存储数据并参与集群的索引和搜索功能。像集群一样，节点也是通过名字来标识，默认是在节点启动时随机分配的字符名。当然，你可以自己定义。该名字也很重要，在集群中用于识别服务器对应的节点。（建议自定义，方便管理）

1.2.4 索引（index）

一个索引由一个名字来标识（必须全部是小写字母的），并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删除的时候，都要使用到这个名字。在一个集群中，如果你想，可以定义任意多的索引。
索引相对当关系型数据库的库。

1.2.5 类型（type）

在一个索引中，你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区，其语义完全由你来定。通常，会为具有一组共同字段的文档定义一个类型。
类型相当于关系型数据库的表。

1.2.6 文档（document）

一个文档是一个可被索引的基础信息单元。在一个index/type里面，只要你想，你可以存储任意多的文档。注意，虽然一个文档在物理上位于一个索引中，实际上一个文档必须在一个索引内被索引和分配一个类型。
文档相当于关系型数据库的列。

1.2.7 分片和副本（shards & replicas）

在实际情况下，索引存储的数据可能超过单个节点的硬件限制。如一个10亿文档需1TB空间可能不适合存储在单个节点的磁盘上，
或者从单个节点搜索请求太慢了。为了解决这个问题，elasticsearch提供将索引分成多个分片的功能。当在创建索引时，可以定义想要分片的数量。每一个分片就是一个全功能的独立的索引，可以位于集群中任何节点上。
分片的两个最主要原因：
1、水平分割扩展，增大存储量
2、分布式并行跨分片操作，提高性能和吞吐量
副本也有两个最主要原因：
1、高可用性，以应对分片或者节点故障。出于这个原因，分片副本要在不同的节点上。
2、qps能，增大吞吐量，搜索可以并行在所有副本上执行。

1.2、Logstash 介绍

Logstash是一个完全开源的工具，它可以对你的日志进行收集、过滤，并将其存储，供以后使用。
Logstash的理念很简单，它只做3件事情：

• Collect：数据输入
• Enrich：数据加工，如过滤，改写等
• Transport：数据输出

1.2.1 logStash的主要组件

Shipper：日志收集者。负责监控本地日志文件的变化，及时把日志文件的最新内容收集起来。通常，远程代理端（agent）只需要运行这个组件即可
Indexer：日志存储者，负责接收日志并写入到本地文件
Broker：日志Hub，负责连接多个Shipper和多个Indexer
Search and Storage：允许对事件进行搜索和存储
Web Interface：基于Web的展示界面
正是由于以上组件在LogStash架构中可独立部署，才提供了更好的集群扩展性

1.2.2 LogStash主机分类

代理主机（agent host）：作为事件的传递者（shipper），将各种日志数据发送至中心主机；只需运行Logstash 代理（agent）程序；
中心主机（central host）：可运行包括中间转发器（Broker）、索引器（Indexer）、搜索和存储器（Search and Storage）、
Web界面端（Web Interface）：在内的各个组件，以实现对日志数据的接收、处理和存储

1.3、Kibana 介绍

Kibana是一个针对Elasticsearch的开源分析及可视化平台，用来搜索、查看交互存储在Elasticsearch索引中的数据。
使用Kibana，可以通过各种图表进行高级数据分析及展示。Kibana让海量数据更容易理解。它操作简单，基于浏览器的用户界面
可以快速创建仪表板（dashboard）实时显示Elasticsearch查询动态。设置Kibana非常简单。无需编写代码，几分钟内就可以
完成Kibana安装并启动Elasticsearch索引监测。
主要功能：
1、Kibana架构为Elasticsearch定制，可以将任何结构化和非结构化数据加入Elasticsearch索引。Kibana还充分利用了Elasticsearch强大的搜索和分析功能。
2、整合你的数据。Kibana能够更好地处理海量数据，并据此创建柱形图、折线图、散点图、直方图、饼图和地图。
3、复杂数据分析。Kibana提升了Elasticsearch分析能力，能够更加智能地分析数据，执行数学转换并且根据要求对数据切割分块。
4、让更多团队成员受益。强大的数据库可视化接口让各业务岗位都能够从数据集合受益。
5、接口灵活，分享更容易。使用Kibana可以更加方便地创建、保存、分享数据，并将可视化数据快速交流。
6、配置简单。Kibana的配置和启用非常简单，用户体验非常友好。Kibana自带Web服务器，可以快速启动运行。
7、可视化多数据源。Kibana可以非常方便地把来自Logstash、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch，支持的第三方技术包括Apache Flume、Fluentd等。
8、简单数据导出。Kibana可以方便地导出感兴趣的数据，与其它数据集合并融合后快速建模分析，发现新结果。

二、ELK 工作原理

日志生产集群（nginx、redis、mysql等）→→ 日志收集并格式化 →→ 格式化的日志上传至es集群 →→ 前端展示（Kibana）→→ 客户端访问Kibana查看日志
简单来说，进行日志处理分析，一般需要经过以下几个步骤：

1. 将日志进行集中化管理（beats）
2. 将日志格式化（logstash）
3. 对格式化后的数据进行索引和存储（elasticsearch）
4. 前端数据的展示（kibana）

三、EKL系统部署

实验环境：
ES集群节点1：192.168.177.100 安装elasticsearch、kibana、ntp
ES集群节点2：192.168.177.110 安装elasticsearch、ntp
日志生产服务器：192.168.177.111 安装logstash httpd、ntp
实现步骤：

3.1步骤一：配置elasticsearch环境(node1、node2都要做)

更改主机名 配置域名解析 查看Java环境

hostnamectl set-hostname node1
vim /etc/hosts
192.168.177.100   node1
192.168.177.110   node2
[root@node1 ~]# java -version
openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)
[root@node1 ~]# 

hostnamectl set-hostname node2
vim /etc/hosts
192.168.177.100   node1
192.168.177.110   node2
[root@node2 ~]# java -version
openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)
[root@node2 ~]# 

所有主机做时钟同步

yum -y install ntp
ntpdate ntp1.aliyun.com

3.2步骤二：部署elasticsearch软件(node1、node2都要做)

1、安装elasticsearch—rpm包（提前上传elasticsearch-5.5.0.rpm到/opt目录下）
[root@node1 ~]# cd /opt
[root@node1 opt]# rpm -ivh elasticsearch-5.5.0.rpm 
2、加载系统服务
[root@node1 opt]# systemctl daemon-reload    
[root@node1 opt]# systemctl enable elasticsearch.service
3、更改elasticsearch主配置文件
[root@node1 opt]# cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
[root@node1 opt]#  vim /etc/elasticsearch/elasticsearch.yml
17 cluster.name: my-elk-cluster                   集群名字
23 node.name: node1                               节点名字
33 path.data: /data/elk_data                      数据存放路径
37 path.logs: /var/log/elasticsearch/             日志存放路径
43 bootstrap.memory_lock: false                   不在启动的时候锁定内存：锁定物理内存地址，防止es内存被交换出去，也就是避免es使用swap交换分区，频繁的交换，会导致IOPS变高。
55 network.host: 0.0.0.0                          提供服务绑定的IP地址，0.0.0.0代表所有地址
59 http.port: 9200                                侦听端口为9200
68 discovery.zen.ping.unicast.hosts: ["node1", "node2"] 集群发现通过单播实现
再次检查配置是否正确
[root@node1 opt]#  grep -v "^#" /etc/elasticsearch/elasticsearch.yml
cluster.name: my-elk-cluster
node.name: node1
path.data: /data/elk_data
path.logs: /var/log/elasticsearch/
bootstrap.memory_lock: false
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: ["node1", "node2"]
4、创建数据存放路径并授权
[root@node1 opt]# mkdir -p /data/elk_data
[root@node1 opt]# chown elasticsearch:elasticsearch /data/elk_data/
5、启动elasticsearch是否成功开启
[root@node1 elasticsearch]# systemctl start elasticsearch.service