Elastic stack(基于7.0.0官方文档)

Lucene

• TextField建立索引 但是可以不存储
• TermQuery不会将查询分词了，把查询条件当成固定的词条
• 文档更新是把旧的给删了再整一个新的出来(文档ID会变)。更新的代价太大了
• 布尔语句，BooleanClause

+ 代表 must - 代表 mustnot 代表 should

Beats

开始看filebeat，被官网带到了Getting started with the Elastic Stack.

Getting started with the Elastic Stack

这个小教程是用metricbeat来采集服务器指标数据，然后用kibana做展示。

安装ES port:9200

curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.0.1-linux-x86_64.tar.gz
tar -xzvf elasticsearch-7.0.1-linux-x86_64.tar.gz
cd elasticsearch-7.0.1
./bin/elasticsearch

curl http://127.0.0.1:9200
复制代码

安装kibana port:5601

kibana是专门用于ES的，对数据进行搜索以及可视化。小教程里建议kibana和ES装同一台机器上。

配置文件里需要配置ES集群的地址

curl -L -O https://artifacts.elastic.co/downloads/kibana/kibana-7.0.1-linux-x86_64.tar.gz
tar xzvf kibana-7.0.1-linux-x86_64.tar.gz
cd kibana-7.0.1-linux-x86_64/
./bin/kibana
复制代码

安装Metricbeat 各种beat

beat是做采集用的，装在服务器上的agent。一般输出到ES和logstash，自己本身不能做解析

curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-7.0.1-linux-x86_64.tar.gz
tar xzvf metricbeat-7.0.1-linux-x86_64.tar.gz
复制代码

• 用系统模块来采集系统日志，例如CPU、内存
• 开启系统模块./metricbeat modules enable system
• kibana配置文件里默认是没有开启

#============================== Dashboards =====================================
# These settings control loading the sample dashboards to the Kibana index. Loading
# the dashboards is disabled by default and can be enabled either by setting the
# options here or by using the `setup` command.
#setup.dashboards.enabled: false

# The URL from where to download the dashboards archive. By default this URL
# has a value which is computed based on the Beat name and version. For released
# versions, this URL points to the dashboard archive on the artifacts.elastic.co
# website.
#setup.dashboards.url:
复制代码

• 上述配置文件说了，加命令setup 加载仪表板./metricbeat setup -e，-e是将输出打到stderr不是syslog，就是把日志打到控制台能看得见。
• ./metricbeat -e

Logstash

如果beat采的数需要额外处理那么需要进logstash(其实就是解析)

curl -L -O https://artifacts.elastic.co/downloads/logstash/logstash-7.0.1.tar.gz
tar -xzvf logstash-7.0.1.tar.gz
复制代码

• 创建一个logstash pipeline 一根管子一边接受beat 一边怼到ES
• 这根管子是一个配置文件例如demo-metrics-pipeline.conf,监听5044端口

input {
  beats {
    port => 5044
  }
}

# The filter part of this file is commented out to indicate that it
# is optional.
# filter {
#
# }

output {
  elasticsearch {
    hosts => "localhost:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  }
}
复制代码

• 启动 ./bin/logstash -f demo-metrics-pipeline.conf

还得配置beat 让其吐出到logstash

filter

metricbeat采集了cmdline完整参数 太长了，解析一下它。用grok

filter {
  if [system][process] {
    if [system][process][cmdline] {
      grok {
        match => { 
          "[system][process][cmdline]" => "^%{PATH:[system][process][cmdline_path]}"
        }
        remove_field => "[system][process][cmdline]" 
      }
    }
  }
}
复制代码

解析这块。grok后面会再写。

---

正篇FileBeat

• FileBeat是一个agent，输出到es、logstash
• 配置输入，可以有多个输入/var/log/*.log
• 工作原理
• 有一个或者多个输入，把收集到的所有日志发给libbeat 平台，libbeat再统一输出。

安装filebeat

• 直接在官网下载tar.gz安装(后续上容器)

配置filebeat

• filebeat有很多modules 常见的日志模块Quick start: modules for common log formats.
• filebeat.reference.yml参考所有配置项
• 最基本的定义一个日志的来源

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
复制代码

• /var/log/*/*.log从/var/log子文件夹中获取所有.log，现在还不支持获取所有层中的所有文件
• 通常！输出要么ES 要么Logstash进行额外的处理。也能吐到kafka
• 还可以使用filebeat提供的Kibana示例仪表盘
• 吐ES

output.elasticsearch:
  hosts: ["myEShost:9200"]
复制代码

• 吐Logstash

setup.kibana:
  host: "mykibanahost:5601" 
复制代码

• 如果ES和kibana设置了安全性 (这里密码应该配置是加密的，不要硬编码)，加密密码
• 如果没有为Kibana指定凭据，那用ES的凭据
• 现在可以再kibana中管理beat Beats central management.这个功能还不是正式版。

output.elasticsearch:
  hosts: ["myEShost:9200"]
  username: "filebeat_internal"
  password: "YOUR_PASSWORD" 
setup.kibana:
  host: "mykibanahost:5601"
  username: "my_kibana_user"  
  password: "YOUR_PASSWORD"
复制代码

详细配置相关信息

filebeat的预定义模块

./filebeat modules list

File is inactive: /var/log/boot.log. Closing because close_inactive of 5m0s reached. 说明文件没有新东西

配置filebeat到logstash

• 配置Logstash接受filebeat传来的消息，对采集的信息做进一步处理。
• filebeat读取log会有游标记录，在data/registry/filebeat/data.json

#这是filebeat.yml 输出到5044端口 默认logstash监听的端口
#----------------------------- Logstash output --------------------------------
output.logstash:
  hosts: ["127.0.0.1:5044"]
复制代码

• For this configuration, you must load the index template into Elasticsearch manually because the options for auto loading the template are only available for the Elasticsearch output.??索引模板是什么?

加载索引模板

• 在Elasticsearch中，索引模板用于定义确定如何分析字段的设置和映射。
• Filebeat包安装了推荐的Filebeat索引模板文件。

#==================== Elasticsearch template setting ==========================
#默认一个分片  这就是Filebeat在ES中索引只有一个分片原因
setup.template.settings:
  index.number_of_shards: 1
  #index.codec: best_compression
  #_source.enabled: false
复制代码

目录布局

用rpm和tar安装目录以及日志的位置不一样具体查官方文档。

beat采集日志有的需要用root采

• Filebeat command reference

filebeat是如何工作的

理解这些概念会在配置的时候做出明智的选择

• filebeat由两个主要的组件，inputs harvesters输入和收割机
• harvesters读单个文件，逐行读取发送到输出。每个文件都有一个harvester，收割机负责文件的打开和关闭，收割机工作时文件时打开的状态。最后没有读不到了会出现close_inactive
• 输入模块用来管理收割机，并且找到要读取的资源。如果输入类型是log,那么会给这个log文件一个收割机。
• 默认情况下，Filebeat会保持文件处于打开状态，直到close_inactive达到。

logstash

由于有人帮我们采集好了日志，在kafka中，所以先用logstash对接

• logstash能力很强，能够收集各种数据，交给下游来处理(es,kibana)
• 安装logstash需要配置 JAVA_HOME
• 输入处理输出

# 能够从标准输入中拿数怼到标准输出  -e 是可以直接跟配置 快速测试
cd logstash-7.0.1
bin/logstash -e 'input { stdin { } } output { stdout {} }'

# 结果如下
什么鬼
{
       "message" => "什么鬼",
      "@version" => "1",
    "@timestamp" => 2019-05-07T02:00:39.581Z,
          "host" => "node1"
}
复制代码

• 用filebeat读取一个示例数据，output设置为logstash

# logstash管道配置如下 先打印到标准输出上查看
input {
  beats {
    port => 5044
  }
}

# rubydebug 这是用ruby的一个打印库 让输出更好看
output {
  stdout { codec => rubydebug }
}
复制代码

• bin/logstash -f first-pipeline.conf --config.test_and_exit这个命令可以看配置文件是不是好使
• 跑一次bin/logstash -f first-pipeline.conf --config.reload.automatic config.reload.automatic这个选项能自动加载新的配置文件，不用重启logstash
• 通过IP解析地理位置 geoip插件

* logstash支持多输入多输出，可以直接对接twitter 就没法实验了。可以直接输出到文件。


geoip {
    source => "clientip"
}

{
            "ecs" => {
        "version" => "1.0.0"
    },
          "input" => {
        "type" => "log"
    },
          "agent" => {
        "ephemeral_id" => "860d92a1-9fdb-4b41-8898-75021e3edaaf",
             "version" => "7.0.0",
            "hostname" => "node1",
                  "id" => "c389aa98-534d-4f37-ba62-189148baa6a3",
                "type" => "filebeat"
    },
        "request" => "/robots.txt",
           "verb" => "GET",
           "host" => {
             "hostname" => "node1",
        "containerized" => true,
         "architecture" => "x86_64",
                   "os" => {
              "kernel" => "3.10.0-693.el7.x86_64",
            "codename" => "Maipo",
              "family" => "redhat",
            "platform" => "rhel",
             "version" => "7.4 (Maipo)",
                "name" => "Red Hat Enterprise Linux Server"
        },
                   "id" => "b441ff6952f647e7a366c69db8ea6664",
                 "name" => "node1"
    },
          "ident" => "-",
      "timestamp" => "04/Jan/2015:05:27:05 +0000",
           "auth" => "-",
           "tags" => [
        [0] "beats_input_codec_plain_applied"
    ],
       "referrer" => "\"-\"",
       "@version" => "1",
       "response" => "200",
    "httpversion" => "1.1",
        "message" => "218.30.103.62 - - [04/Jan/2015:05:27:05 +0000] \"GET /robots.txt HTTP/1.1\" 200 - \"-\" \"Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)\"",
       "clientip" => "218.30.103.62",
          "geoip" => {
           "region_code" => "BJ",
              "latitude" => 39.9288,
                    "ip" => "218.30.103.62",
              "location" => {
            "lat" => 39.9288,
            "lon" => 116.3889
        },
           "region_name" => "Beijing",
             "longitude" => 116.3889,
             "city_name" => "Beijing",
              "timezone" => "Asia/Shanghai",
         "country_code3" => "CN",
         "country_code2" => "CN",
          "country_name" => "China",
        "continent_code" => "AS"
    },
     "@timestamp" => 2019-05-07T03:43:18.368Z,
            "log" => {
          "file" => {
            "path" => "/itoa/elastic-stack/test-cas/logstash-demo/logstash-tutorial.log"
        },
        "offset" => 19301
    }
}
复制代码

logstash工作原理

输入来源

• file 类似于 tail -f
• syslog: listens on the well-known port 514 for syslog messages and parses according to the RFC3164 format
• redis: reads from a redis server, using both redis channels and redis lists. Redis is often used as a "broker" in a centralized Logstash installation, which queues Logstash events from remote Logstash "shippers".类似于消息队列
• beats: processes events sent by Beats.

因为工作中使用kafka 所以先记录一下logstash读kafka

• 用一个kafka客户端去从kafka那消息。可以启动多个logstash来消费kafka 把他们弄成一个消费者组。理想状态是和kafka分区的线程数相同最佳配置consumers_thread

logstash各个配置文件的说明

配置文件默认没有开启转义，所以`\t`解析不了，需要去配置文件中修改这个配置。

官方文档

logstash shutdown的时候会发生什么

它在关闭前会执行一些操作

• 停止所有的输入过滤输出
• 处理所有事件
• 终止自身进程 影响shutdown的原因
• 接受的东西来的特别慢
• 一直没连上output

不安全的关闭会丢数

Elastic Search

• ES的索引的分片在一开始就要确定好，因为文档具体分到了那个分片上是根据分片的个数算出来的，分片数目如果可以修改的话那么读文档的时候就找不到分片了。

Kibana