ELK日志分析系统

最新推荐文章于 2024-05-10 02:07:31 发布
最新推荐文章于 2024-05-10 02:07:31 发布
阅读量806 收藏
点赞数
文章标签: elk elasticsearch 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48967856/article/details/121065882
版权

Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。

Logstash是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜索)。

Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。

ELK工作流程

在需要收集日志的所有服务上部署logstash,作为logstash agent(logstash shipper)用于监控并过滤收集日志,将过滤后的内容发送到Redis,然后logstash indexer将日志收集在一起交给全文搜索服务ElasticSearch,可以用ElasticSearch进行自定义搜索通过Kibana 来结合自定义搜索进行页面展示。


配置基础环境

1.修改主机名

修改3台虚拟主机的名字

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# setenforce 0
setenforce: SELinux is disabled
[root@localhost ~]# hostnamectl set-hostname elk-1
[root@localhost ~]# bash

[root@localhost ~]# hostnamectl set-hostname elk-2
[root@localhost ~]# bash

[root@localhost ~]# hostnamectl set-hostname elk-3
[root@localhost ~]# bash

配置hosts文件

3台节点配置相同

[root@elk-1 ~]# yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
[root@elk-2 ~]# yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
[root@elk-3 ~]# yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
[root@elk-1 ~]# java -version
openjdk version "1.8.0_161"
OpenJDK Runtime Environment (build 1.8.0_161-b14)
OpenJDK 64-Bit Server VM (build 25.161-b14, mixed mode)

2.elasticserach安装

三台机器都需要配置

[root@elk-1 ~]# rpm -ivh elasticsearch-6.0.0.rpm 
[root@elk-1 ~]# vim /etc/elasticsearch/elasticsearch.yml 
cluster.name: ELK
node.name: elk-1
node.master: true
node.data: false
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 192.168.100.10
http.port: 9200
discovery.zen.ping.unicast.hosts: ["elk-1","elk-2","elk-3"]

启动服务

通过命令启动es服务,启动后使用ps命令查看进程是否存在或者使用netstat命令查看是否端口启动。

[root@elk-3 ~]# systemctl start elasticsearch
[root@elk-3 ~]# ps -ef |grep elasticsearch
elastic+   2080      1 60 05:50 ?        00:00:13 /bin/java -Xms1g -Xmx1g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+AlwaysPreTouch -server -Xss1m -Djava.awt.headless=true -Dfile.encoding=UTF-8 -Djna.nosys=true -XX:-OmitStackTraceInFastThrow -Dio.netty.noUnsafe=true -Dio.netty.noKeySetOptimization=true -Dio.netty.recycler.maxCapacityPerThread=0 -Dlog4j.shutdownHookEnabled=false -Dlog4j2.disable.jmx=true -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/var/lib/elasticsearch -Des.path.home=/usr/share/elasticsearch -Des.path.conf=/etc/elasticsearch -cp /usr/share/elasticsearch/lib/* org.elasticsearch.bootstrap.Elasticsearch -p /var/run/elasticsearch/elasticsearch.pid --quiet
root       2149   1853  0 05:50 pts/0    00:00:00 grep --color=auto elasticsearch
[root@elk-3 ~]# netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd            
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1202/master         
tcp6       0      0 192.168.100.30:9200     :::*                    LISTEN      2080/java           
tcp6       0      0 192.168.100.30:9300     :::*                    LISTEN      2080/java           
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd            
tcp6       0      0 ::1:25                  :::*                    LISTEN      1202/master

检测集群状态

通过   来检查集群状态,命令如下

[root@elk-1 ~]# curl '192.168.100.10:9200/_cluster/health?pretty'
{
  "cluster_name" : "ELK",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 3,
  "number_of_data_nodes" : 2,
  "active_primary_shards" : 1,
  "active_shards" : 2,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
}

部署kibana

  安装kibana

[root@elk-1 ~]# rpm -ivh kibana-6.0.0-x86_64.rpm
warning: kibana-6.0.0-x86_64.rpm: Header V4 RSA/SHA512 Signature, key ID d88e42b4: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:kibana-6.0.0-1                   ################################# [100%]

配置kibana

[root@elk-1 ~]# vim /etc/kibana/kibana.yml 
server.port: 5601
server.host: 192.168.16.10
elasticsearch.url: "http://192.168.16.10:9200"

启动kibana

[root@elk-1 ~]# systemctl start kibana
[root@elk-1 ~]# ps -ef |grep kibana
kibana     3292      1 21 22:23 ?        00:00:03 /usr/share/kibana/bin/../node/bin/node --no-warnings /usr/share/kibana/bin/../src/cli -c /etc/kibana/kibana.yml
root       3307   2353  0 22:23 pts/1    00:00:00 grep --color=auto kibana
[root@elk-1 ~]# netstat -lntp | grep node
tcp        0      0 192.168.100.10:5601     0.0.0.0:*               LISTEN      3292/node

启动成功后网页访问,可以访问到如下界面。

Logstash部署

安装logstash

[root@elk-2 ~]# rpm -ivh logstash-6.0.0.rpm 
warning: logstash-6.0.0.rpm: Header V4 RSA/SHA512 Signature, key ID d88e42b4: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:logstash-1:6.0.0-1               ################################# [100%]
Using provided startup.options file: /etc/logstash/startup.options
Successfully created system startup script for Logstash

配置logstash

 配置/etc/logstash/logstash.yml,修改增加如下

[root@elk-2 ~]# vim /etc/logstash/logstash.yml 
190 http.host: "192.168.100.20"

配置logstan收集syslog日志

[root@elk-2 ~]# vim /etc/logstash/conf.d/syslog.conf
input {  
    file {
        path => "/var/log/messages"
        type => "systemlog"
        start_position => "beginning"
        stat_interval => "3"
    }
}
output {
    if [type] == "systemlog" {
        elasticsearch {
            hosts => ["192.168.100.10:9200"]    //elk-1的IP地址
            index => "system-log-%{+YYYY.MM.dd}"
        }
    }
}
[root@elk-2 ~]# chmod 644 /var/log/messages

检测配置文件是否错误:


[root@elk-2 ~]# ln -s /usr/share/logstash/bin/logstash /usr/bin/     //创建软连接,方便使用logstash命令

[root@elk-2 ~]# logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf --config.test_and_exit
Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties
Configuration OK   //ok就没问题啦

启动logstash

[root@elk-2 ~]# vim /etc/rsyslog.conf
#### RULES ####   //在下面添加
*.*@@192.168.100.20:10514
[root@elk-2 ~]# systemctl start logstash

 查看进程

[root@elk-2 ~]# yum install -y policycoreutils-python
[root@elk-2 ~]# semanage port-l |grep syslog
[root@elk-2 ~]# ps -ef |grep logstash
logstash   3792      1 99 22:48 ?        00:00:09 /bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+DisableExplicitGC -Djava.awt.headless=true -Dfile.encoding=UTF-8 -XX:+HeapDumpOnOutOfMemoryError -Xmx1g -Xms256m -Xss2048k -Djffi.boot.library.path=/usr/share/logstash/vendor/jruby/lib/jni -Xbootclasspath/a:/usr/share/logstash/vendor/jruby/lib/jruby.jar -classpath : -Djruby.home=/usr/share/logstash/vendor/jruby -Djruby.lib=/usr/share/logstash/vendor/jruby/lib -Djruby.script=jruby -Djruby.shell=/bin/sh org.jruby.Main /usr/share/logstash/lib/bootstrap/environment.rb logstash/runner.rb --path.settings /etc/logstash
root       3825   2368  0 22:49 pts/2    00:00:00 grep --color=auto logstash

查看端口

[root@elk-2 ~]# netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      969/sshd            
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1224/master         
tcp6       0      0 192.168.100.20:9600     :::*                    LISTEN      4256/java           
tcp6       0      0 192.168.100.20:9200     :::*                    LISTEN      3054/java           
tcp6       0      0 192.168.100.20:9300     :::*                    LISTEN      3054/java           
tcp6       0      0 :::22                   :::*                    LISTEN      969/sshd            
tcp6       0      0 ::1:25                  :::*                    LISTEN      1224/master

出不来端口

[root@elk-2 ~]# cat /var/log/logstash/logstash-plain.log
[2021-10-31T22:44:08,971][INFO ][logstash.modules.scaffold] Initializing module {:module_name=>"fb_apache", :directory=>"/usr/share/logstash/modules/fb_apache/configuration"}
[2021-10-31T22:44:08,974][INFO ][logstash.modules.scaffold] Initializing module {:module_name=>"netflow", :directory=>"/usr/share/logstash/modules/netflow/configuration"}
[2021-10-31T22:44:08,989][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.queue", :path=>"/var/lib/logstash/queue"}
[2021-10-31T22:44:08,990][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.dead_letter_queue", :path=>"/var/lib/logstash/dead_letter_queue"}
[2021-10-31T22:44:09,157][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
[2021-10-31T22:44:09,646][INFO ][logstash.runner          ] Using config.test_and_exit mode. Config Validation Result: OK. Exiting Logstash
[root@elk-2 ~]#  ll /var/lib/logstash/  
total 0
drwxr-xr-x 2 root root 6 Oct 31 22:44 dead_letter_queue
drwxr-xr-x 2 root root 6 Oct 31 22:44 queue
[root@elk-2 ~]#  chown -R logstash /var/lib/logstash/
[root@elk-2 ~]#  systemctl restart logstash 
[root@elk-2 ~]# netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      969/sshd            
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1224/master         
tcp6       0      0 192.168.100.20:9200     :::*                    LISTEN      3054/java           
tcp6       0      0 192.168.100.20:9300     :::*                    LISTEN      3054/java           
tcp6       0      0 :::22                   :::*                    LISTEN      969/sshd            
tcp6       0      0 ::1:25                  :::*                    LISTEN      1224/master

kibana上查看日志

之前部署kibana完成后,还没有检索日志。现在logstash部署完成,我们回到kibana服务器上查看日志索引

2/node           
[root@elk-1 ~]# curl '192.168.100.10:9200/_cat/indices?v'
health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana q0OxmWkGQo6hLdhjEb6Dzw   1   1          1            0      7.3kb          3.6kb

获取/删除指定索引详细信息

[root@elk-1 ~]# curl '192.168.100.10:9200/_cat/indices?v'                          health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana q0OxmWkGQo6hLdhjEb6Dzw   1   1          1            0      7.3kb          3.6kb
[root@elk-1 ~]#  curl -XGET/DELETE '192.168.100.10:9200/system-log-2021.11.01?pretty'
{
  "system-log-2021.11.01" : {
    "aliases" : { },
    "mappings" : {
      "systemlog" : {
        "properties" : {
          "@timestamp" : {
            "type" : "date"
          },
          "@version" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          },
          "host" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          },
          "message" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          },
          "path" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          },
          "type" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          }
        }
      }
    },
    "settings" : {
      "index" : {
        "creation_date" : "1635735662867",
        "number_of_shards" : "5",
        "number_of_replicas" : "1",
        "uuid" : "uJ0xJJGaTGS9mReLdcVTjQ",
        "version" : {
          "created" : "6000099"
        },
        "provided_name" : "system-log-2021.11.01"
      }
    }
  }
}
[root@elk-1 ~]#

web界面配置

小胖子敲代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 4642
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
运维必备——ELK日志分析系统
礁之的博客
12-17 1万+
日志分析是运维工程师解决系统故障、发现问题的主要手段
强大的ELK日志分析系统
guguai7的博客
08-16 4379
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
2024年最全ELK日志分析(2),你花了多久弄明白架构设计
最新发布
2401_84187635的博客
05-10 401
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化资料的朋友,可以戳这里获取 网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业
快速搭建ELK日志分析系统
01-27
ELKElasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。...它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
ELK日志分析系统搭建
05-01
ELK(Elasticsearch、Logstash和Kibana) 日志分析 系统搭建
Centos7下搭建ELK日志分析系统
11-02
【Centos7下搭建ELK日志分析系统ELK栈是日志管理和分析的强大工具,由Elasticsearch、Logstash、Kibana三个组件组成。Elasticsearch是一个分布式的实时搜索和分析引擎,用于存储、分析和检索大量数据。Logstash...
ELK7收集syslog+eventlog日志.docx
03-10
ELasticsearch Logstash Kibana 7.11 使用rpm方式安装为服务 收集syslog日志和eventlog日志(通过nxlog)
开源实时日志分析ELK系统搭建说明
04-27
自己通过5天时间在Ubuntu14.04 Server亲自搭建master节点和node节点,实验成功后亲自编写的《开源实时日志分析ELK系统搭建说明》,分虽然高一些,但是内容看了很值得,包含搭建、实验、排错等环节,谢谢大家~。
ELK日志分析系统.pptx
01-04
ELK Stack 日志分析系统 ELK Stack 是一个开源的日志分析系统,由 Elasticsearch、Logstash 和 Kibana 三个组件组成。该系统能够实时地收集、存储和分析日志数据,并提供可视化的查询和分析功能。 ELK Stack 的...
ELK日志分析系统.pdf
11-11
ELK 日志分析系统 ELK(日志分析系统)是一种开源的实时日志分析平台,由Elasticsearch、Logstash和Kibana三个开源工具组成。该平台能够解决传统日志统计和分析方式中的种种问题,提供了集中化的日志管理和实时的...
elk日志分析系统搭建与配置
12-29
ELK日志分析系统搭建与配置 ELK 日志分析系统是由 ElasticSearch、Logstash 和 Kibana 三个开源工具组成的,旨在解决日志集中化管理、信息查找、服务诊断和数据分析等问题。本文将指导用户搭建自己的 ELK 日志分析...
使用ELK接收处理syslog
奇怪的老司机
03-16 3794
通过ELK接收并处理syslog和rsyslog日志,满足等保中对日志离线且保存半年的要求,也能对大量日志进行分析处理。依赖:JDK,ELK,其中logstash需要syslog模块。具体操作方法如下:1,修改logstash配置文件,启用syslog功能,并输出到elasticsearch,配置如下:input{syslog {type => “rsyslog”port => 51...
ELK日志分析系统 超详细!!理论+实操讲解!!
热门推荐
weixin_49022211的博客
11-13 1万+
文章目录一、ELK日志分析系统简介1.1日志处理的步骤1.2 ELK日志分析系统三部分1.3日志服务器(一般)二、Elasticsearch介绍2.1 Elasticsearch概述2.2 Elasticsearch的概念2.3 为什么要采用分片2.4 开启分片副本的主要原因三:Logstash介绍3.1 Logstash概述3.2 Logstash主要组件四:Kibana介绍4.1 Kibana概述4.2 Kibana主要功能五:实操 一、ELK日志分析系统简介 1.1日志处理的步骤 1.将APP s
通过ELK收集分析syslog
weixin_45083611的博客
08-29 2106
ELK介绍 首先ELK是一个集中式日志系统,他并不是一款软件,而是由Elasticsearch、Logstash和Kibana三部分组件组成 Elasticsearch是一个基于Lucence的搜索服务器,但是他既是搜索引擎,也是数据库,但是更主要的是作为索引数据库,用以提高性能,虽然是Java开发的,但是封装了一套http访问接口,使用了restful设计风格,是目前最受欢迎的搜索引擎之一 Lo...
ELK日志分析系统详解:构建与应用步骤
ELK日志分析系统是一种流行的解决方案,用于集中管理和分析企业日志数据,它由Elasticsearch、Logstash和Kibana三个开源工具组成。这个系统在IT行业中被广泛应用于监控、故障排查和性能优化。 1. **ELK平台架构** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值