ELK日志分析工具

最新推荐文章于 2022-10-24 07:15:00 发布
最新推荐文章于 2022-10-24 07:15:00 发布
阅读量175 收藏
点赞数
分类专栏: linu应用服务 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunnyse/article/details/105596335
版权

ELK日志分析工具

ELK是三个开源软件的缩写,Elasticsearch、Logstash、Kibana

环境介绍:

ELK服务:192.168.203.132 (Elasticsearch、Logstash、Kibana)
nginx服务:192.168.203.151 (nginx,Filebeat)

搭建ELK服务端:

1.安装搭建elasticsearch

2.安装搭建logstash

3.安装搭建kibana

准备工作:

1.安装jdk环境工具(需安装jdk1.8)
[root@localhost elk]# yum install -y java-1.8.0*

1.安装搭建elasticsearch

(1)下载安装
1.下载elasticsearch
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.2.tar.gz

2.解压
[root@localhost elk]# tar -xf elasticsearch-6.4.2.tar.gz

3.将解压文件移动到/usr/local/elk目录下(最后elk需要加“/”,否则会将ela目录下的内容移动到elk中)
[root@localhost elk]# mv elasticsearch-6.4.2 /usr/local/elk/
(2)配置elasticsearch程序
1.新建elasticsearch用户
[root@localhost elasticsearch-6.4.2]# useradd elasticsearch
2.设置elasticsearch目录归属用户及组
[root@localhost elk]# chown -R elasticsearch:elasticsearch elasticsearch-6.4.2/
(3)启动服务
1.切换到elasticsearch用户下启动
[root@localhost elk]# su - elasticsearch

2.启动服务
[elasticsearch@localhost ~]$ cd /usr/local/elk/elasticsearch-6.4.2/
[elasticsearch@localhost elasticsearch-6.4.2]$ ./bin/elasticsearch -d

3.查看进程是否启动成功(耐心等两三分钟)查看是否有9200端口
[elasticsearch@localhost logs]$ netstat -antp

4.测试是否正常访问
[elasticsearch@localhost logs]$ curl localhost:9200
#该信息表明elasticsearch安装成功
{
  "name" : "LLgwYXS",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "KWM0uHN2TH2kengIsdHrOQ",
  "version" : {
    "number" : "6.4.2",
    "build_hash" : "c59ff00",
    "build_date" : "2018-03-13T10:06:29.741383Z",
    "build_snapshot" : false,
    "lucene_version" : "7.2.1",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

2.安装搭建logstash

(1)下载安装
1.下载logstash
wget https://artifacts.elastic.co/cn/downloads/logstash/logstash-6.4.2.tar.gz

2.解压到指定目录/usr/local/elk
[root@localhost elk]# tar -xzvf logstash-6.4.2.tar.gz -C /usr/local/elk/
(2)配置logstash程序
1.logstash中的grok正则匹配
vim /usr/local/elk/logstash-6.4.2/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns 
#Nginx log
WZ ([^ ]*)
NGINXACCESS %{IP:remote_ip} \- \- \[%{HTTPDATE:timestamp}\] "%{WORD:method} %{WZ:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:status} %{NUMBER:bytes} %{QS:referer} %{QS:agent} %{QS:xforward}

2.创建logstash配置文件
vim /usr/local/elk/logstash-6.4.2/default.conf
input {
        beats {
                port => "5044"
        }
}
#数据过滤
filter {
        grok {
                match => { "message" => "%{NGINXACCESS}" }
        }
        geoip {
                #nginx客户端ip
                source => "192.168.203.151"
        }
}
#输出配置为本机的9200端口,这是ElasticSearch服务的监听端口
output {
        elasticsearch {
                hosts => ["127.0.0.1:9200"]
        }
}
(3)启动服务
1.进入到/usr/local/elk/logstash-6.4.2目录下执行命令
#后台启动logstash
[root@localhost logstash-6.4.2]# nohup bin/logstash -f default.conf &

2.查看启动日志
[root@localhost logstash-6.4.2]# tailf nohup.out 

3.查看端口是否启动
[root@localhost logstash-6.4.2]# netstat -napt | grep 5044
tcp6       0      0 :::5044                 :::*                    LISTEN      54470/java

3.安装搭建kibana

(1)下载安装
1.下载kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.2-linux-x86_64.tar.gz

2.解压到指定目录/usr/local/elk
[root@localhost elk]# tar -xzvf kibana-6.4.2-linux-x86_64.tar.gz -C /usr/local/elk/
(2)配置kibana服务
1.配置kibana.yml
[root@localhost kibana-6.4.2-linux-x86_64]# vim /usr/local/elk/kibana-6.4.2-linux-x86_64/config/kibana.yml 
#server.host: "localhost"
改为:server.host: "192.168.203.132"(本机IP)这样其他电脑也能浏览访问kibana的服务了
(3)启动服务
1.进入kibana目录
[root@localhost kibana-6.4.2-linux-x86_64]# cd /usr/local/elk/kibana-6.4.2-linux-x86_64/
执行启动命令:nohup bin/kibana &
查看启动日志:tail -f nohup.out
查看端口是否启动:netstat -napt | grep 5601

采集客户端

介绍

1.本次测试使用的是采集nginx日志和filter工具进行收集

1.nginx安装

yum install -y wget gzip tar make gcc
yum install -y pcre pcre-devel zlib zlib-devel
wget -c http://nginx.org/download/nginx-1.16.0.tar.gz
tar -xzf nginx-1.16.0.tar.gz
cd nginx-1.16.0
useradd -s /sbin/nologin www -M
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module
make
make install
/usr/local/nginx/sbin/nginx
ps -ef|grep nginx
netstat -tnl|grep -w 80

2.安装filebeat工具

(1)下载
1.下载
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.4.2-linux-x86_64.tar.gz
2.解压到指定目录
[root@localhost filebeat-6.4.2-linux-x86_64]# tar -xzvf filebeat-6.4.2-linux-x86_64.tar_2.gz -C /usr/local/
(2)修改配置
[root@localhost filebeat-6.4.2-linux-x86_64]# cd /usr/local/filebeat-6.4.2-linux-x86_64/
[root@localhost filebeat-6.4.2-linux-x86_64]# vim filebeat.yml 
enabled: false                #修改为true
paths:- /var/log/*.log        #修改为nginx日志存放位置/usr/local/nginx/logs/*.log
#output.elasticsearch:        #注释掉
#hosts: ["localhost:9200"]    #注释掉
output.logstash:              #取消该行注释
hosts: ["192.168.203.132:5044"]   #取消该行注释并将IP地址修改为ELK服务器地址
(3)启动服务
[root@localhost filebeat-6.4.2-linux-x86_64]# cd /usr/local/filebeat-6.4.2-linux-x86_64/
[root@localhost filebeat-6.4.2-linux-x86_64]# nohup ./filebeat -e -c filebeat.yml &
(4)kibana测试
1.先通过浏览器多访问几次nginx服务,让其多生成一些访问文件
2.访问kibana:https://ip:5601,点击左上角的Discover,可以看到日志已经被ELK搜集,按照下述步骤设置集成
	输入logstash-*,点击Next step
	选择Time Filter,再点击Create index pattern
	然后可自行创建日志内容查询规则

搭建中的错误:

1.在下载elasticsearch软件包时,将其版本下载错误,elasticsearch和logstash及kibana版本不一致,导致无法进入kibana主页

2.elasticsearch服务经常挂掉,主要原因是系统运行oracle服务,内存占满系统自动杀掉elasticsearch服务

3.logstash中将nginxIP设置错误,导致kibana无法获取数据

解决问题的思路:首先应该仔细想想出错是哪一环节导致,比如无法获取数据,有可能是filebeat或者logstash无法收集日志导致,则从这两个服务检查,由于是从filebeat服务将数据传给logstash,则从第一步的filebeat开始检查,没问题再从logstash排查,这次搭建时这两个服务的错误都犯了,第一是没有将filebeat中的nginx日志路径写对,第二是没有将logstash中的nginxip填写正确。
sunnySe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK原理与介绍
aiduo4911的博客
12-13 2059
为什么用到ELK: 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署的架构,...
ELK 介绍,安装及使用
weixin_45482693的博客
03-01 3188
1.ELK 什么是elkelk不是一款软件,是一套解决方案,是三个软件首字母 elasticseach: 负责日志检索和存储 logstash:对日志的收集,分析和处理 kibana: 存储在elatic的数据进行可视化显示 2.ELK可以做什么 ...
【ElasticSearch】ELK简介
No8g攻城狮的博客
10-24 1万+
Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。作为 Elastic Stack 的核心,Elasticsearch 会集中存储您的数据,让您飞快完成搜索,微调相关性,进行强大的分析,并轻松缩放规模。ElasticSearch官网。
ELK详解(一)——ELK基本原理
热门推荐
永远是少年
04-03 2万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是ELK的基本原理。 一、ELK简介 二、ELK架构 三、ELK优点
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三...Logstash是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
Centos7下搭建ELK日志分析系统
11-02
本文档记录了个人在centos7环境下搭建ELK日志分析系统的步骤及遇到的问题、处理记录。明细罗列了本次搭建的系统环境和软件版本,操作系统为centos7.6,elk对应版本为7.9.3, redis版本为6.0.6。受限于更明细的环境差别...
ELK大数据日志分析平台全套兼容工具
11-13
ELK实时日志分析平台,windows环境部署所需要工具(全套兼容),包含:elasticsearch-5.6.4,elasticsearch-analysis-ik-5.6.4,elasticsearch-head,kibana-5.6.4,logstash-5.6.4.用于智能搜索,系统日志,Java日志,报错日志,...
ELK日志分析系统搭建
03-10
elk套件是指elasticsearch、logstash、kibana三件套,它们可以组成一套日志分析和监控工具。本文说明安装过程和典型的配置过程。
ELK简介
承缘丶
09-05 4507
ELK是三个开源软件的缩写,分别是Elasticsearch、Logstash、Kibana,后来又新加了一个FileBeat
ELK全套安装包
12-13
ELK全套安装包(elasticsearch-2.3.1.tar.gz;logstash-2.3.1.tar.gz;kibana-4.5.0-linux-x64.tar.gz)
ELK测试数据包下载
05-06
elk的测试数据。 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。 Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。
ELK三者的软件包
04-11
logstash2.3.4+elasticsearch2.3.3+kibana-4.5.4-windows jdk7
ELK软件安装
weixin_43135696的博客
07-06 282
一、安装步骤 安装包版本:5.5.1 JDK安装 二.JDK安装 进入到usr/lib,如果文件夹下有jvm文件夹,则将之前的jdk版本清除掉;如果没有jvm文件夹,则新建jvm文件夹。 将jdk文件拷贝到/home/下,在/home/目录下执行解压命令(需要root权限),解压到/usr/lib/jvm。 修改环境变量。 加载环境变量。 查看Java版本,如出现如下界面,证明配置成功。 三.Elasticsearch软件安装 1.将安装包复制到/opt/文件夹 2.将文件解压 3.
ELK实时日志分析平台(一)
菜鸟sisi
07-17 2万+
闲来无事,最近感觉现在企业招聘信息中要求会elk,作为小白的我当然也要紧跟技术界的潮流了【虽然跟的有点晚了哈@_@】 本文章是借鉴网上一篇文章并结合我自己实践过程写下的,文章最后会贴出借鉴文章的链接~ 系统: 注:我这里为测试和实验方便,ELK整套都装在同一台虚拟机中了,生产环境的话,可以分开搭建在不同的服务器上,只要能互相联通。 虚拟机中防火墙以及selinux都已关闭! 相关部署...
Windows下载安装ELK(Elasticsearch、Kibana、Logstash)
write less , do more
01-20 1万+
Windows下载安装ELK(Elasticsearch、Kibana、Logstash)
linux 信号量_《Linux设备驱动程序》(七)——信号量使用示例
weixin_39827625的博客
12-04 204
上一节中介绍了并发和竞态的概念,以及介绍了一些手段用于避免产生竞态,包括信号量、completion机制、自旋锁、原子变量等。本节我们使用其中的信号量来编写一个简单的示例,来看看这些手段是怎么工作的。本节主要的内容是:使用信号量驱动设计本节我们基于之前的scull设备进行驱动设计,新的驱动设备命名为scull_lock,主要实现以下功能:初始状态下,节点可用的资源数为0,此时如果读取节点,线程会进...
ntp服务器linux(服务端和客户端)配置
sunnySe的博客
04-29 1万+
效率很低,捣鼓了一天才弄完ntp两个linux同步,刚开始linux客户端怎末也无法连接到服务端,到中午发现是防火墙的原因。果断吧防火墙关了发现可以联通了,但是还是没有办法同步时间,后来有继续找原因。原因在下方配置中介绍。 1.介绍ntp服务 NTP属于运用层协议(依据UDP传输,运用的端口号为123),用来同步网络中分布式时间服务器和客户端之间的时间,使网络中的设备供应依据一起时间的运用成为可能。 时间服务器和客户端是相对的。供应时间规范的设备为时间服务器,接收时间服务的设备为时间客户端。 设..
ELK日志分析系统的工作原理
最新发布
02-28
ELK日志分析系统是由三个主要组件组成的:Elasticsearch、Logstash 和 Kibana。 1. Elasticsearch 是一个开源搜索引擎,它能够存储和查询大量的日志数据。 2. Logstash 是一个数据收集和处理工具,它能够从多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值