【ELK搭建过程】

最新推荐文章于 2024-06-20 22:05:11 发布
最新推荐文章于 2024-06-20 22:05:11 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: Linux服务搭建 文章标签: elk elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56589727/article/details/127668076
版权

ELK日志分析

一、为什么用到ELK

一般我们需要进行日志分析场景:直接在日志文件中通过grep、awk这些命令进行获取信息。但是这种用在大型的场景下就显得效率非常低下,面临的问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志进行汇总。常见解决思路是建立集中式日志收集系统,将节点上的日志统一收集、管理、访问。

一般采用分布式部署,一个完整的集中式日志系统,需包含以下几个主要特点:
收集——能够采集多种来源的日志数据
传输——能够稳定的把日志数据传输到中央系统
存储——如何存储日志数据
分析——可以支持网页分析
警告——能提供错误报告

二、ELK简介

ELK是三个开源软件的缩写,分别代表:Elasticsearch Logstash Kibana 。另外新增一个FileBeat,它是一个轻量级的日志收集工具(Agent),Filebeat 占用资源少,适合于在各个服务器上搜集日志后,传输给Logstash,官方也推荐此工具。
Elasticsearch 是个开源分布式搜索引擎,提供搜索、分析、存储数据三大功能。特点:分布式、零配置、自动发现、索引自动分片、索引副本机制、restful风格接口、多数据源、自动搜索负载等。

Logstash 主要是用来日志的搜索、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为C/S架构,Client 端安装在需要收集日志的主机上,Server 端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上。

Kibana 也是一个开源和免费的工具, Kibana 可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web界面,可以帮助汇总、分析和搜索重要数据日志。

Filebeat 隶属于 Beats 包含四种工具:
Packetbeat(搜集网络流量数据)
Topbeat(搜集系统、进程和文件系统级别的CPU和内存使用情况等数据)
Filebeat(搜集文件数据)
Winlogbeat(搜集windows事件日志数据)
在这里插入图片描述

三、实验部署

本次部署采用C/S架构,准备两台服务器。
filebeats(客户端),logstash+elasticsearch+kibana(服务器)

业务请求到达nginx-server 机器上的Nginx;Nginx相应请求,并在access.log文件中增加访问记录;FileBeat 搜索新增的日志,通过LogStash的5044端口上传日志;LogStash将日志信息通过本机的9200端口传入ElasticSearch;搜索日志的用户通过浏览器访问Kibana,服务器端口是5601;Kibana通过9200端口访问ElasticSearch。
在这里插入图片描述

实验环境

ELK服务器:192.168.28.151
Nginx客户端:192.168.28.30

准备工作

操作系统:centos7 64位
关闭selinux 和 firewalld 防火墙
网络yum源

1)关闭SELinux(进入配置文件,修改为disable)

永久关闭:

[root@localhost local]# vim /etc/selinux/config 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disable
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

临时关闭:

[root@localhost local]# setenforce 0
[root@localhost local]# getenforce 0
Permissive

2)关闭firewalld

[root@www filebeat-6.2.3-linux-x86_64]# systemctl disable   firewalld.service   #开机不启动防火墙
[root@www filebeat-6.2.3-linux-x86_64]# systemctl stop  firewalld.service   #临时关闭防火墙
[root@www filebeat-6.2.3-linux-x86_64]# systemctl status firewalld.service   #查看防火墙状态
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)

3)配置yum源
可参考本地和网络yum配置

4)修改IP,将两个服务器的IP设置为同一网段
可编辑
[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
注意:一定需要配置一个DNS,否则网络yum可能解析不到。
在这里插入图片描述
[root@www ~]#systemctl restart network #重启网卡

下载并安装软件包

1)ELK服务器配置
由于官网下载软件包速度比较满,因此我们可以采用上传软件包的方式。
此处附上我已经为大家准备好的软件包。
链接:https://pan.baidu.com/s/1z4cBxtkq-jSoqIO54XpFLQ
提取码:jm55

2)将压缩包解压,并移动到/usr/local下

[root@localhost ~]$ tar -zxvf elasticsearch-6.2.3.tar.gz && cp -a elasticsearch-6.2.3 /usr/local/
[root@localhost ~]$ tar -zxvf logstash-6.2.3.tar.gz && cp -a logstash-6.2.3 /usr/local/
[root@localhost ~]$ tar -zxvf kibana-6.2.3-linux-x86_64.tar.gz && cp -a kibana-6.2.3-linux-x86_64 /usr/

3)安装JDK(java)环境工具

[root@localhost ~]$ yum -y install java-1.8*

配置elasticsearch

1)创建一个elasticsearch的用户并启动此服务

[root@localhost ~]$ useradd elasticsearch
[root@localhost ~]$ chown -R elasticsearch.elasticsearch /usr/local/elasticsearch-6.2.3/   #将此服务目录所有者所属组修改为elasticsearch
[root@localhost ~]$ su - elasticsearch  #切换为elasticsearch用户
[root@localhost ~]$ cd /usr/local/elasticsearch-6.2.3/  #切换到usr/local/elasticsearch-6.2.3/目录下
[root@localhost ~]$ ./bin/elasticsearch -d  #启动elasticsearch服务

2)查看端口号是否开启

[root@localhost elk]$ netstat -antp | grep 9200
tcp        0      0 127.0.0.1:54612         127.0.0.1:9200          ESTABLISHED 2443/bin/../node/bi 
tcp6       0      0 127.0.0.1:9200          :::*                    LISTEN      2217/java           
tcp6       0      0 ::1:9200                :::*                    LISTEN      2217/java

若启动失败,或者端口号没有起来,可以查看日志

[root@localhost ~]$ cat /usr/local/elasticsearch-6.2.3/logs/elasticsearch.log

3)测试是否可以正常访问

[root@localhost elk]$ curl localhost:9200
{
  "name" : "aE-y2ID",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "0WPz925WSsKWIVKEPTaP8Q",
  "version" : {
    "number" : "6.2.3",
    "build_hash" : "c59ff00",
    "build_date" : "2018-03-13T10:06:29.741383Z",
    "build_snapshot" : false,
    "lucene_version" : "7.2.1",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

配置logstash

1)进入logstsh的配置文件

[root@localhost elk]$ vim /usr/local/logstash-6.2.3/default.conf

input {  #数据的入口,监听的端口
        beats {
        port => "5044"
        }
  }

#数据过滤
filter {
         grok { #日志分析的插件
         match => { "message" => "%{NGINXACCESS}" }
         }
         geoip { #监控的客户端,监控多个就写多个
         # nginx 客户端 ip
         source => "192.168.28.30"
         }
}

#输出配置为本机的 9200 端口,这是 ElasticSerach 服务的监听端口
output {
         elasticsearch {
         hosts => ["127.0.0.1:9200"]
         }
 }

2)启动elasticsearch服务
进入/usr/local/logstash-6.2.3 目录下,并启动放置后台。

[root@localhost ~]$ cd /usr/local/logstash-6.2.3
[root@localhost ~]$ nohup bin/logstash -f default.conf &

3)如果启动失败可以查看日志

[root@localhost ~]$ tailf nohup.out

4)查看端口是否开启

[root@localhost ~]$ netstat -napt|grep 5044
tcp6       0      0 :::5044                 :::*                    LISTEN      13309/java

配置kibana

1)修改kibana的配置文件
进入/usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml,找到下面这行并修改
[root@localhost ~]$ vim /usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml
#server.host: “localhost”
#修改为
server.host: “192.168.28.151” #监听的IP地址,本机的ip地址

因此kibana部署成功,可以被其他用户访问了

2)启动kibana服务并放置后台

[root@localhost ~]$ cd /usr/local/kibana-6.2.3-linux-x86_64
[root@localhost ~]$ nohup bin/kibana &

3)如果启动失败,可以查看日志

[root@localhost ~]$ tail -f nohup.out

4)查看端口是否开启

[root@localhost ~]$ netstat -napt|grep 5601 tcp 0 0
192.168.88.100:5601 0.0.0.0:* LISTEN 13359/bin/…/node/b

5)测试:通过浏览器访问192.168.28.151:5601
ok,ELK 部署完成

Nginx客户端配置

1)yum安装nginx

[root@localhost ~]$ yum -y install nginx
[root@localhost ~]$ systemctl start nginx && systemctl enable nginx

2)将filebeat包通过scp的方式从ELK服务器上复制过来。

[root@localhost local]$ scp /root/elk6.2.3/filebeat-6.2.3-linux-x86_64.tar.gz  root@192.168.28.30:/usr/local/ 
root@192.168.28.30's password: 
filebeat-6.2.3-linux-x86_64.tar.gz                                                                                     100%   12MB  52.7MB/s   00:00    
[root@localhost local]$ tar -xf filebeat-6.2.3-linux-x86_64.tar.gz

3)修改filebeat配置文件
打开文件/usr/local/filebeat-6.2.3-linux-x86_64/filebeat.yml,找到如下位置:修改三处

[root@localhost ~]$ vim /usr/local/filebeat-6.2.3-linux-x86_64/filebeat.yml
enable:false    #修改为 true
paths:/var/log/*.log    #修改为/var/log/nginx/*.log
#output.elasticsearch:   #将此行注释掉
	#hosts: ["localhost:9200"]   #将此行注释掉
output.logstash:     #取消此行注释
	hosts: ["192.168.28.151:5044"] #取消此行注释并修改 IP 地址为 ELK 服务器地址

4)启动filebeat服务
切换到/usr/local/filebeat-6.2.3-linux-x86_64 目录下,将filebeat服务启动并放置后台

[root@localhost ~]$ cd /usr/local/filebeat-6.2.3-linux-x86_64
[root@localhost ~]$ nohup ./filebeat -e -c filebeat.yml &

5)如果启动失败,可以查看日志

[root@localhost ~]$ tailf nohup.out

6)访问
利用浏览器多访问几次nginx服务器,这样能多产生一些访问日志。

7)通过Kibana查看日志
访问 Kibana:http://192.168.88.100:5601,点击左上角的 Discover,就可以看到访问日志已经被ELK 搜集了,然后按照下列步骤完成设置

1、输入 logstash-*,点击”Next step”
2、选择 Time Filter,再点击“Create index pattern”
3、然后可自行创建日志内容查询规则

企业打工人
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK搭建
H_YANG__的博客
09-18 811
Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用(1)#给日志目录可读权限chmod o+r /var/log/messages #让 Logstash 可以读取日志修改 Logstash 配置文件,让其收集系统日志/var/log/messages,并将其输出到 elasticsearch 中。input {file{path =>"/var/log/messages" #指定要收集的日志的位置。
ELK 环境搭建
默存
09-28 6843
ELK 其实是 Elasticsearch、Logstash和Kibana三个产品的首字母缩写,这三款都是开源产品。
基于Docker搭建ELK(Elasticsearch、Logstash、Kibana)日志框架
最新发布
lucky_fd的博客
06-20 1180
随着企业业务的不断增长,日志管理成为了系统运维中不可或缺的一部分。ELK(Elasticsearch、Logstash、Kibana)作为一套开源的日志管理系统,以其高效、灵活、可扩展的特性,成为了众多企业的首选。本文将详细介绍如何搭建一套完整的ELK日志管理系统。
ELK搭建完整步骤
qq_45882426的博客
11-09 1679
ELK其实是Elasticsearch,Logstash 和 Kibana三个产品的首字母缩写,这三款都是开源产品。ElasticSearch(简称ES),是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。Logstash,是一个数据收集引擎,主要用于进行数据收集、解析,并将数据发送给ES。支持的数据源包括本地文件、ElasticSearch、MySQL、Kafka等等。Kibana,为 Elasticsearch 提供了分析和 Web 可视化界面,并生成各种维度表格、图形。
ELk日志分析系统搭建
@chenk的博客
05-17 5685
一、什么是ELKELK是Elasticsearch + Logstash + Kibana 这种架构的简写. ​ 这是一种日志分析平台的架构. 如果没有ELK这样的日志分析平台,我们同样可以使用shell三剑客(grep、sed、awk)来分析日志。 这种方式略显原始而简陋,虽然也能应对大多数的场景,但是当日志量变大,分析频繁的时候,仅靠人工shell 的方式来查看分析日志,就很不方便。 尤其适当使用者,对于shell不是很擅长的情况下,一个操作简单,配置方便的日志分析平台,就显得很有必要了。
ELK平台搭建步骤
qq_41890240的博客
10-12 867
elk搭建
ELK日志分析平台搭建过程
02-24
当生产环境有很多服务器、很多业务模块的日志需要每时每刻查看时系统:centos6.5JDK:1.8Elasticsearch-5.0.0Logstash-5.0.0kibana-5.0.01、安装JDK下载JDK:...
docker-compose搭建elk过程,以及设置密码
08-25
docker-compose搭建elk过程。可以查看对应的文章。 ├── docker-compose.yml ├── elasticsearch │ └── config │ └── elasticsearch.yml ├── kibana │ └── config │ └── kibana.yml └...
ELK 基于filebeat搭建过程(二)
01-09
ELK 基于filebeat搭建过程(二) 上一章讲了ELK的数据传输和各个中间件的作用,以及基于ELK和filebeat搭建日志管理平台的不同架构。这一章将会基于第一种架构来记录整个搭建过程。其他更复杂的架构原理其实是一样的...
04 elk环境搭建1
08-08
这个“04 elk环境搭建1”主要介绍了如何在Windows操作系统上搭建ELK环境,包括Elasticsearch的下载、安装与运行,以及Kibana和Logstash的配置。 一、Elasticsearch下载安装运行 Elasticsearch是一款高性能的全文...
ELK搭建和使用
YIYIYI
08-11 4253
ELK搭建和使用
ELK-elasticsearch设置用户、添加新用户、以及对应密码修改
shinexunmeng的博客
08-09 6949
ELK-elasticsearch设置用户、添加新用户、以及对应密码修改
ELK教程1 - elasticsearch
u010249118的博客
09-13 663
ELK教程 - 1.安装elasticsearch
2023最新ELK搭建教程,基于ES 8
qq_24785325的博客
05-25 1552
2023最新版ELK搭建教程,基于ES 8
ELK搜索高级
1663988740
08-05 3019
ELK搜索高级课程 1. 课程简介 1.1 课程内容 ​ ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体,分别取其首字母组成ELKELK是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 ​ 本课程分别对三个组件进行详细介绍,尤其是Elasticsearch,因为它是ELK的核心。Elasticsearch会对底层的文档、索引、搜索、聚
ELK集群搭建流程(实践可用)
7B_Geek的博客
09-06 1007
ELK 是一个由三个开源软件工具组成的数据处理和可视化平台,包括 Elasticsearch、Logstash 和 Kibana。这些工具都是由 Elastic 公司创建和维护的。Elasticsearch 是一个分布式的搜索和分析引擎,可以将大量数据存储在一个或多个节点上,支持实时搜索、分析和聚合,提供高性能的全文搜索、复杂查询和分析能力。Logstash 是一个数据采集和处理工具,可以将来自各种数据源的日志数据收集、转换、过滤和存储到 Elasticsearch 中,从而实现对数据的集中管理和分析。
ELk部署,保姆级教学超详细!!!
花海~
11-28 4964
Elasticsearch:是一个分布式的搜索和分析引擎。它能够处理大量的数据,并提供快速、准确的搜索结果,支持复杂的数据分析和可视化。 Logstash:是一个日志收集和处理工具。它可以从各种数据源收集数据,并对数据进行过滤、解析和转换,使其能够被Elasticsearch等系统所理解。 Kibana:是一个数据可视化工具,提供了强大的图形化界面,能够帮助用户更好地理解和分析数据。它支持各种图表和图形,可以直观地展示数据趋势、关系和特征。
elk kafka 集群搭建
07-16
搭建ELK和Kafka集群,可以按照以下步骤操作: 1.安装Java 首先要安装Java环境,因为ELK和Kafka都是基于Java开发的,所以需要先安装Java环境。 2.安装Elasticsearch Elasticsearch是ELK中的组件之一,它是一个分布式的开源搜索和分析引擎,用于存储和处理日志数据。安装Elasticsearch的过程可以参考官方文档。 3.安装Logstash Logstash是ELK中的另一个组件,它用于收集、处理和转发日志数据。安装Logstash的过程可以参考官方文档。 4.安装Kibana Kibana是ELK中的第三个组件,它是一个基于Web的界面,用于可视化和分析日志数据。安装Kibana的过程可以参考官方文档。 5.安装Kafka Kafka是一个基于分布式的发布-订阅消息系统,它可以处理大量的实时数据流。安装Kafka的过程可以参考官方文档。 6.配置集群 配置集群需要设置各个组件之间的通信方式和节点信息,具体的配置可以参考各个组件的官方文档。 7.测试集群 完成集群的配置后,可以通过发送一些消息来测试集群是否正常工作。 以上是ELK和Kafka集群搭建的大致步骤,具体的操作细节可以参考各个组件的官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值