ELK 简介
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。
ELK是Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称
Elasticsearch是Elastic Stack核心的分布式搜索和分析引擎,其为所有类型的数据提供近乎实时的搜索和分析。
Logstash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。
Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。
ELK组件
- Logstash 负责采集日志数据,还可通过插件模块对日志数据进行过滤、格式化处理,再输出给ElasticSearch
- ElasticSearch 负责对日志数据进行分片、存储,并创建索引,方便全文检索
- Kibana 用于接入ElasticSearch的数据源,将日志数据进行图形化展示,方便用户通过浏览器查看、搜索、分析日志
- Filebeat 用于替代Logstash采集日志数据,优点:比Logstash更轻量,资源消耗更少
- Fluentd 也是Logstash的一种替代方案,可用于替代Logstash采集日志数据和过滤转换等功能,常用于收集K8S环境中的容器日志
- Kafka/Redis 作为消息队列MQ,实现流量销峰、缓冲、应用解耦等功能
elk日志处理步骤:
Logstash部署在服务器上对日志数据进行收集,并对日志数据进行格式化处理在输出Elasticsearch中,Elasticsearch对格式化数据进行存储并且在本地添加索引,方便搜索,再接入到kibana进行前端web展示。客户使用浏览器使用。
ELK的工作原理:
Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中;Elasticsearch 对格式化后的数据进行索引和存储;Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。
ELK分布式部署
node1节点(2C/4G):node1/192.168.73.80 Elasticsearch
node2节点(2C/4G):node2/192.168.73.100 Elasticsearch
node3节点(2C/4G):node3/192.168.73.110 Elasticsearch
ELK elasticsearch部署
1.关闭防火墙 selinux setenforce 0
2.检查Java环境
java -version #如果没有安装,yum -y install java-1.8.0-openjdk*
3.部署 Elasticsearch 软件
(1)安装elasticsearch—rpm包
上传elasticsearch-6.7.2.rpm到/opt目录下
cd /opt
rpm -ivh elasticsearch-6.7.2.rpm
(2)修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
#备份
vim /etc/elasticsearch/elasticsearch.yml
#修改配置文件
JVM内存优化
vim /etc/elasticsearch/jvm.options
(3)es 性能调优参数
vim /etc/security/limits.conf
#memlock是内存 unlimited 是无限
vim /etc/systemd/system.conf
#infinity 无限
以上操作完记得重启生效
4.优化elasticsearch用户拥有的虚拟内存
由于ES构建基于lucene, 而lucene设计强大之处在于lucene能够很好的利用操作系统内存来缓存索引数据,以提供快速的查询性能。lucene的索引文件segements是存储在单文件中的,并且不可变,对于OS来说,能够很友好地将索引文件保持在cache中,以便快速访问;因此,我们很有必要将一半的物理内存留给lucene ; 另一半的物理内存留给ES(JVM heap )。
所以, 在ES内存设置方面,可以遵循以下原则:
1.当机器内存小于64G时,遵循通用的原则,50%给ES,50%留给操作系统,供lucene使用
2.当机器内存大于64G时,遵循原则:建议分配给ES分配 4~32G 的内存即可,其它内存留给操作系统,供lucene使用
vim /etc/sysctl.conf
#一个进程可以拥有的最大内存映射区域数,参考数据(分配 2g/262144,4g/4194304,8g/8388608)
vm.max_map_count=262144
sysctl -p5.启动elasticsearch是否成功开启
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
netstat -antp | grep 9200
查看节点信息
ELK Logstash 部署 (再nginx节点上操作)
1.安装nginx
hostnamectl set-hostname nginx01 改名
bash 刷新
yum install-y nginx2.部署logstash
上传软件包 logstash-6.7.2.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-6.7.2.rpm
systemctl start logstash.service
systemctl enable logstash.service
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
#用来识别命令3.logstash -f 指定/etc/logstash/conf.d.conf结尾的
vim /etc/logstash/conf.d/syslog.conf
配置如下图
再logstash -t -p syslog.conf 检查
logstash -p syslog.conf 开启
ELK Kiabana 部署(在 Node1 节点上操作)
1.安装kibana
安装 Kiabana
#上传软件包 kibana-6.7.2-x86_64.rpm 到/opt目录
cd /opt
rpm -ivh kibana-6.7.2-x86_64.rpm
2.设置 Kibana 的主配置文件
vim /etc/kibana/kibana.yml
如下图
3. 创建日志文件加权,启动 Kibana 服务
touch /var/log/kibana.log
chown kibana:kibana /var/log/kibana.log
systemctl start kibana.service
systemctl enable kibana.service
验证kibana:
创建索引才能使用discover
Elasticsearch索引管理:
1)命令行管理方式
创建索引
curl -X PUT 'http://ES-IP:9200/<索引名>/<类型>/<ID>?pretty&pretty' \
-H 'content-Type: application/json' -d '{"键1":"值1","键2":"值2"}'
删除索引
curl -X DELETE 'http://ES-IP:9200/<索引名>'
查看索引配置
curl -X GET 'http://ES-IP:9200/<索引名>/_settings'
修改索引配置
curl -X PUT 'http://ES-IP:9200/<索引名>/_settings' \
-H 'content-Type: application/json' -d '{"键":"值"}'
创建索引别名
curl -X POST 'http://ES-IP:9200/_aliases' \
-H 'Content-Type: application/json' -d '{"actions":[{"add":{"index":"索引名","alias":"索引别名"}}]}'
删除索引别名
curl -X POST 'http://ES-IP:9200/_aliases' \
-H 'Content-Type: application/json' -d '{"actions":[{"remove":{"index":"索引名","alias":"索引别名"}}]}'
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
