ELK日志分析系统配置实验

已于 2024-01-12 09:38:05 修改
阅读量984 收藏 15
点赞数 22
分类专栏: Linux 文章标签: 运维 elk
于 2023-12-25 17:05:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53772682/article/details/135203794
版权

目录

实验前准备

Elasticsearch集群部署(Node1、Node2)

环境准备

部署Elasticsearch软件

创建数据存放路径

启动elasticsearch

查看节点信息

安装Elasticsearch-head插件

安装依赖环境

安装phantomjs前端框架

安装Elasticsearch-head数据可视化工具

修改Elasticsearch主配置文件

启动elasticsearch-head服务

通过9100的端口进行访问测试

索引测试

Logstash部署

更改主机名,方便实验

安装apache服务(httpd)

安装Java环境

安装logstash

测试

定义logstash配置文件

Kibana部署

安装kibana

设置kibana的主配置文件

验证

再配置

访问测试

实验前准备

Node1节点(至少2核4G内存):192.168.188.15,Elasticsearch、Kibana
Node2节点(至少2核4G内存):192.168.188.16,Elasticsearch
Apache节点:192.168.188.14,Logstash、Apache
客户端:192.168.188.1(本机win11)
关闭防火墙
systemctl stop firewalld
setenforce 0

Elasticsearch集群部署(Node1、Node2)

环境准备

更改主机名,更加直观
Node1:hostnamectl set-hostname node1
bash刷新一下

Node2:hostnamectl set-hostname node2
bash刷新一下

配置dns,访问更加迅速
192.168.188.15 node1
192.168.188.16 node2

安装JAVA环境
rpm -ivh jdk-8u201-linux-x64.rpm
vim /etc/profile.d/java.sh

export JAVA_HOME=/usr/java/jdk1.8.0_201-amd64
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar
export PATH=$JAVA_HOME/bin:$PATH


source /etc/profile.d/java.sh
看一下有没有成功 java -version

部署Elasticsearch软件

安装elasticsearch-rpm包
rpm -ivh elasticsearch-5.5.0.rpm
加载系统服务
systemctl daemon-reload
systemctl enable elasticsearch.service
修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
指定集群名字

指定节点名字,Node1和Node2的名字不一样,请注意


指定数据存放路径

指定日志存放路径

启动时不锁定内存

监听地址,设为所有地址

监听端口,默认9200

指定单薄查找的集群节点,如果/etc/hosts中没有添加dns,这里也可以写IP地址

把最小主节点数设置为2

创建数据存放路径

mkdir -p /data/elk_data
chown elasticsearch:elasticsearch /data/elk_data/

启动elasticsearch

systemctl start elasticsearch.service
netstat -anpt | grep :9200
如果没有就等几秒再试,还没有就去看日志

查看节点信息

在客户端浏览器访问http://192.168.188.15:9200和http://192.168.188.16:9200

也可以通过访问http://192.168.188.15:9200/_cluster/health?pretty
或者http://192.168.188.16:9200/_cluster/health?pretty的方式查看集群的健康状况

还可以通过访问http://192.168.188.15:9200/_cluster/state?pretty查看集群状态信息

这样看起来太费劲了,我们可以使用Elasticsearch-head插件更加方便地管理集群

安装Elasticsearch-head插件

安装依赖环境

安装依赖包node和phantomjs
yum -y install gcc gcc-c++ make
安装node
tar -zxvf /opt/node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
如果虚拟机有4核,那就-j 4,2核就-j 2,只有1核就make && make install慢慢等
make -j 4 && make install

安装phantomjs前端框架

tar -jxvf /opt/phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin

安装Elasticsearch-head数据可视化工具

tar -zxvf /opt/elasticsearch-head.tar.gz -C /usr/local/src/
cd /usr/local/src/elasticsearch-head/
npm install

修改Elasticsearch主配置文件

vim /etc/elasticsearch/elasticsearch.yml
在最后添加两行
http.cors.enabled: true
http.cors.allow-origin: "*"

重启服务
systemctl restart elasticsearch

启动elasticsearch-head服务

cd /usr/local/src/elasticsearch-head/
npm run start &

通过9100的端口进行访问测试

打开长这样

在elasticsearch进行连接查询

索引测试

通过命令插入一个索引,索引名为index-demo,类型为test
curl -X PUT 'localhost:9200/index-demo1/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'

在浏览器中可以访问到这个索引信息,可以看见索引默认被分片5个,并且有一个副本

点数据浏览可以看到该索引的相关信息

Logstash部署

更改主机名,方便实验

hostnamectl set-hostname logstash
bash

安装apache服务(httpd)

yum -y install httpd
systemctl start httpd

安装Java环境

1.1有做过,不会往前翻
java -version
不是jdk就行

安装logstash

rpm -ivh logstash-5.5.1.rpm
直接启动
systemctl start logstash
添加软链接方便使用
ln -s /usr/share/logstash/bin/logstash /usr/local/bin

测试

Logstash 命令常用选项:
-f:通过这个选项可以指定 Logstash 的配置文件,根据配置文件配置 Logstash 的输入和输出流。
-e:从命令行中获取,输入、输出后面跟着字符串,该字符串可以被当作 Logstash 的配置(如果是空,则默认使用 stdin 作为输入,stdout 作为输出)。
-t:测试配置文件是否正确,然后退出。
定义输入和输出流,采用标准输入输出
logstash -e 'input { stdin{} } output { stdout{} }'
等一会,等看到successfully就可以输入了,输入内容测试一下logstash能不能用

测试结束按ctrl+c退出
使用rubydebug输出详细格式
codec是一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'

再测试一下使用Logstash将信息写入Elasticsearch中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.188.15:9200"] } }'

这里我们输入了并没有输出,因为输出已经发送到elasticsearch服务器上了
直接在客户端上访问http://192.168.188.15:9100/
发现多了一个索引

点到数据浏览查看更多信息

定义logstash配置文件

Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选)。
Input:表示从数据源采集数据,常见的数据源如Kafka、日志文件等
filter:表示数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式
output:表示将Logstash收集的数据经由过滤器处理之后输出到Elasticsearch。
格式为:input {...}、filter {...}、output {...}
在每个部分中可以指定多个访问方式,例如如果要指定两个日志来源文件,格式为:
input {
file { path =>"/var/log/messages" type =>"syslog"}
file { path =>"/var/log/httpd/access.log" type =>"apache"}
}
现在我们来实际操作一下
假设我们要收集系统日志即/var/log/messages,并输出到elasticsearch中
先让logstash可读系统日志
chmod +r /var/log/messages
修改logstash的配置文件
vim /etc/logstash/conf.d/system.conf

input {
    file {
          path => "/var/log/messages"   # 收集的日志位置
          type => "system"             # 类型
          start_position => "beginning"   # 开始位置为“开始”,也就是从头收集
    }
}
output {
    elasticsearch {
          hosts => ["192.168.188.15:9200"]  # 指定elasticsearch的地址和端口
          index => "system-%{+YYYY.MM.dd}"  # 索引格式system-后面加日期年月日
    }
}



重启服务
systemctl restart logstash
浏览器访问测试


没毛病

Kibana部署

安装kibana

rpm -ivh kibana-5.5.1-x86_64.rpm

设置kibana的主配置文件

vim /etc/kibana/kibana.yml
取消注释,默认端口5601

取消注释,设置监听地址,0.0.0.0为所有地址

取消注释,设置和elasticsearch建立连接的地址和端口

取消注释,设置kibana的索引就是以.kibana为后缀

启动服务
systemctl start kibana
查看端口有没有打开
netstat -anpt | grep :5601

验证

浏览器访问http://192.168.188.14:5601
长这样

第一次登录需要添加一个 Elasticsearch 索引

点击create创建
点击左侧的Discover可以看到图表信息

点一下Available Fields中的host右边的add按钮,就会看到按照host筛选后的结果

数据展示就会变成这样,同时host选项从Available Fields移到了Selected Fields中

再配置

将logstash服务器上的日志,包括访问日志(access)和错误日志(error),都添加到Elasticsearch中,并通过Kibana展示
vim /etc/logstash/conf.d/apache_log.conf

input {
    file {
          path => "/etc/httpd/logs/access_log"
          type => "access"
          start_position => "beginning"
    }
    file {
          path => "/etc/httpd/logs/error_log"
          type => "error"
          start_position => "beginning"
    }
}
output {
    if [type] == "access" {
          elasticsearch {
              hosts => ["192.168.188.15:9200"]
              index => "apache_access-%{+YYYY.MM.dd}"
          }
    }
    if [type] == "error" {
          elasticsearch {
              hosts => ["192.168.188.15:9200"]
              index => "apache_error-%{+YYYY.MM.dd}"
          }
    }
}



用命令指定logstash的配置文件
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/apache_log.conf

访问测试

先访问一下http://192.168.188.15:9100,注意地址和端口
发现apache_error文件正常出现,但是没有apache_access文件

那是因为apache_access是空的,我们没有登录过
所以我们在浏览器对apache的服务进行访问
http://192.168.188.14:80

就这个页面,多刷新几次
再回去看就有了

接着访问http://192.168.188.14:5601,注意地址和端口
然后点击create index pattern按钮添加索引


在索引名中添加apache_access-*和apache_error-*索引


选择Discover然后选择要查看地索引

然后就可以用图形化的方式方便地查看日志啦

唐十洪
关注
  • 22
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 4642
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
liunxELK日志分析实验
07-04
Linux ELK日志分析实验包是一个综合性的工具集,用于收集、处理、存储和分析Linux系统及应用的日志数据。这个实验包的核心是ELK Stack,由ElasticsearchLogstash和Kibana三个组件组成,它们各自在日志管理中扮演着...
LogStash配置详解
趣学程序
06-27 4597
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
Elasticsearch集群和Logstash、Kibana部署
最新发布
weixin_45814478的博客
05-23 1373
Logstash运行同样依赖jdk,本次为节省资源,故将Logstash安装在了10.3.145.14节点。,如果head和ES不在同一个节点,注意修改成ES的IP地址。(3)设置JVM堆大小#7.0默认为4G。(4)创建ES数据及日志存储目录。(5)修改安装目录及存储目录权限。(4)启动遇到下面问题解决办法。(1)创建运行ES的普通用户。(5)下载head必要的文件。2、启动后直接在终端输入数据。(1)增加最大文件打开数。(3)增加最大内存映射数。(2)下载head插件。(4)修改head源码。
[基础服务-windows] [ELK] ElasticSearch + Kibana + Logstash 以及插件安装和配置
OxYGC
12-13 4974
步骤/详情 一:下载 注意的是下载版本为免安装版。下载地址: https://www.elastic.co/cn/downloads/elasticsearch 笔者选择的是当前最新版 二: 安装ES服务 Window版的ElasticSearch的安装很简单,类似Window版的Tomcat,解压开即安装完毕,解压后的ElasticSearch的目录结构如下: 修改elasticsearch配置文件,config/elasticsearch.yml文件,增加文件内容如下: # 开启跨域访问 http.
ElasticSearchLogstash集成
禅与计算机程序设计艺术
01-21 899
1.背景介绍 ElasticSearchLogstash集成是一种非常常见的技术方案,它可以帮助我们更好地进行日志处理和分析。在本文中,我们将深入了解ElasticSearchLogstash集成的背景、核心概念、算法原理、最佳实践、应用场景、工具推荐以及未来发展趋势。 1. 背景介绍 ElasticSearch是一个开源的搜索引擎,它可以帮助我们快速地搜索和分析大量的数据。Logsta...
ELKLogstash配置和用法
浮尘笔记
08-22 2148
Logstash配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
智能计算系统(AICS)实验源码
06-01
7. **日志和监控**:为了追踪系统运行状态和性能,源码中可能会有日志记录和性能监控的相关代码,如使用Prometheus或ELK栈(Elasticsearch, Logstash, Kibana)。 8. **配置和部署**:AICS-Lab-main可能包含部署...
vocloud:执行和分析实验的服务
06-09
8. **日志与监控**:通过使用ELKElasticsearchLogstash、Kibana)堆栈或者Prometheus+Grafana组合,进行日志收集和性能监控,以便于故障排查和系统优化。 9. **持续集成/持续部署(CI/CD)**:可能采用Jenkins或...
shakespeare.json和账户数据日志数据集ELK
01-02
在IT领域,ELKElasticsearchLogstash、Kibana)栈是用于日志管理和分析的强大工具组合。这个“shakespeare.json和账户数据日志数据集ELK”资源显然是为了帮助学生或专业人士深入了解如何利用ELK处理和可视化不同...
ELK堆栈
02-13
ELK堆栈是数据日志分析领域中一个非常流行的开源解决方案,由三个首字母缩写词组成:ElasticsearchLogstash和Kibana。这三个组件协同工作,为收集、处理、存储和可视化大量日志数据提供了强大的工具链。 1. **...
ELK日志平台(elasticsearch+logstash+kibana)搭建
用来当笔记本
12-13 2048
为了实现分布式日志数据统一收集,实现集中式查询和管理 故障排查 安全信息和事件管理本文仅仅简单介绍了ELK的安装,而ELK其他强大的功能需要继续学习。
ELKelasticsearchlogstash、kibana)环境搭建
liyayou的博客
10-10 190
使用powershell输入以下命令,会自动下载elasticsearch 8.10.2版本。(如果没有docker环境也可以直接到官网下载window版本的。2.搭建 Kibana服务器(基于Elasticsearch的)1)启动elasticsearch 容器(默认端口是9200)启动完成后可以在界面访问http://本机ip地址:5601。1.使用docker搭建elasticsearch服务器。2)修改elasticsearch配置文件。3) 编写spring boot。2)启动logstash
先学会使用ElasticSearch
于晨
08-29 362
ElaticSearch1 安装ElasticSearch1.1 解压ElasticSearch1.2 启动 `elasticsearch.bat`1.3 返回结果2 安装可视化界面2.1 解压 head 插件2.2 在 head 插件目录中执行命令2.3 启动成功后访问:127.0.0.1:91003 安装Kibana3.1 解压 kibana 文件3.2 启动 `kibana.bat`3.3 汉化4 ES概念4.1 分片4.2 倒排索引5 IK分词器5.1 概念5.2 使用场景5.3 安装5.4 重启
Elasticsearch及可视化工具安装使用
koutaoran4812的博客
07-31 813
Es-head默认在本地的localhost9100端口启动,而Es默认在本地的localhost9200端口启动,初始情况下Es-head连接localhost9200是连接不到的,因为存在跨域问题。官方github地址https//www.elastic.co/cn/elasticsearch/官网地址https//www.elastic.co/cn/elasticsearch/官网地址https//www.elastic.co/cn/kibana/...
elk日志分析部署报错,出现9100端口,9200端口不见
shiqiang002的博客
08-16 1079
在主机上刚开始安装了elasticsearch的时候启动9200端口成功 当安装完 node-v8.2.1.tar.gz和elasticsearch-head.tar.gz之后,对服务再次就行启动时发现 9100端口可以正常启动,而9200端口启动不了, systemctl start elasticsearch时没有任何报错 用natstat -antp | grep 9200端口时,找不到 查看elasticsearch状态,又自动关闭了 查看状态,都是,刚启动5秒又自动关闭 解决 增大两天虚拟机内
ELk日志平台搭建
2301_76838634的博客
07-11 5267
服务器数量较少时,使用 rsyslog 或者 脚本(scp) 进行收集、分割日志,再统一汇总到专门存放日志的日志服务器保存管理。查看日志可以把需要的日志文件传到windows主机上,使用专业的文本工具打开分析日志。服务器数量较多时,使用 ELK 收集日志、存储日志、展示日志。对于在K8S平台运行的容器日志,可以使用 Loki+Granfana 收集日志、存储日志、展示日志。
kubernetes中使用ELK进行日志收集
weixin_39941298的博客
04-29 1544
我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的“/var/log”目录下。
ElasticSearch分布式搜索引擎
Jin的随手笔记
03-25 1601
Elasticsearch 是位于 Elastic Stack 核心的分布式搜索和分析引擎。Logstash 和 Beats 有助于收集、聚合和丰富您的数据并将其存储在 Elasticsearch 中。Kibana 使您能够以交互方式探索、可视化和分享对数据的见解,并管理和监控堆栈。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值