ELK平台搭建

Elkjdk有版本要求的,建议jdk版本相对高一些

环境准备:

[admin@jhkj66 ~]$ cat /etc/redhat-release 

Red Hat Enterprise Linux Server release 7.3 (Maipo)

[admin@jhkj66 ~]$ java -version

java version "1.8.0_60"

Java(TM) SE Runtime Environment (build 1.8.0_60-b27)

Java HotSpot(TM) 64-Bit Server VM (build 25.60-b23, mixed mode)

elasticsearch下载地址:

[admin@jhkj66 ~]$ wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz

解压:

tar xf elasticsearch-6.2.3.tar.gz

修改/etc/security/limits.conf

* hard nofile 65536

* soft nofile 65536

 

* soft nproc 2048

* hard nproc 4096

 

然后使用普通用户启动,root没试过,网上说是起不来的,不过本来就是不该用root去启动,这个不用谁告诉吧,试一下能不能启动

./elasticsearch-6.2.3/bin/elasticsearch

这个命令退出后结束进程了,验证启动没问题后,加上-d参数加到后台

利用curl命令验证:

[admin@jhkj66 elasticsearch-6.2.3]$ curl http://127.0.0.1:9200

{

 "name" : "HcildNt",

 "cluster_name" : "elasticsearch",

 "cluster_uuid" : "AwKIijm7QSKHO6c45d4-iA",

 "version" : {

   "number" : "6.2.3",

   "build_hash" : "c59ff00",

   "build_date" : "2018-03-13T10:06:29.741383Z",

   "build_snapshot" : false,

   "lucene_version" : "7.2.1",

   "minimum_wire_compatibility_version" : "5.6.0",

   "minimum_index_compatibility_version" : "5.0.0"

  },

 "tagline" : "You Know, for Search"

}

 

 

部署filebeat

下载地址:

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz

解压:

[root@jhkj66 tools]# tar xf filebeat-6.2.3-linux-x86_64.tar.gz -C /home/

配置文件说明:

filebeat.prospectors:

- type: log

 enabled: true # 开关

 paths: # 日志文件路径,可以用用通配符

    - /var/log/xxx-info.log # 

   #- c:\programdata\elasticsearch\logs\* 如果是windows服务器,用这个路径

 multiline: # 日志多行处理,列如java的堆栈信息

     pattern: ^\d{4} # 匹配前缀为数字开头,如果不是日期,该行日志接到上一行后尾

     negate: true

     match: after

 fields: # 自定义属性,用于Logstash 

    service_name: customer # 产生日志的服务名

    log_type: info # 日志文件类型

    server_id: ip-address # 服务器ip地址

 scan_frequency: 50 #扫描间隔,单位为秒;设置太小会引起filebeat频繁扫描文件,导致cpu占用百分比过高

 

- type: log

 enabled: true

 paths:

    - /var/log/customer-error.log

 multiline:

     pattern: ^\d{4}

     negate: true

     match: after

 fields:

    service_name: customer

     log_type: error

    server_id: 127.0.0.1

 scan_frequency: 60

output.logstash: # 输出到logstash的安装位置,以及监听的端口

 hosts: ["129.1.7.203:5043"]

启动命令:

./filebeat -e -c filebeat.yml

报错:

2018-09-06T18:46:46.350+0800    ERROR  log/prospector.go:437   Harvester could not be started on new file: /var/log/yum.log, Err: Error setting up harvester: Harvester setup failed. Unexpected file opening error: Failed opening /var/log/yum.log: open /var/log/yum.log: permission denied

日志的权限别忘记给一下

 

为什么使用Filebeat 而不是直接使用Logstash 来收集日志?原因有以下几点。

 1.Filebeat更加的轻量级,Logstash占用更多的系统资源,如果在每个服务器上部署Logstash

    有时候会影响到业务服务,导致服务响应缓慢;

 2.Filebeat能够记录文件状态,文件状态记录在文件中(~FILEBEAT_HOME/data/registry)。

    此状态可以记住harvesters 收集文件的偏移量,重启后prospectors 能知道每个日志文件的记录状态

    再进行收集文件;

 3.Filebeat保证至少有一次输出,因为Filebeat将每个事件的传递状态保存在文件中。在没有得到接收方

    确认时,会尝试一直发送,直到得到回应。

Logstash部署:

wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz

tar xf logstash-6.2.3.tar.gz -C /home/

chown -R admin: /home/logstash-6.2.3/

配置文件说明:

input { 指定入源-beats- filebeat

  beats {

    host => "localhost"

    port => "5043"

  }

}

 

filter {日志格式化,使用grok 插件

   if[fields][log_type] == 'error'如果是error类型的日志该怎么处理,filebeatfields中定

    grok { 使用grok 插件行一整条日志信息格式成key-value信息

      match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"这里采用的是grok预制的一些正则,":"后面是我自定key

        }

    date { kibana 查询时间改成日志的打印时间,方便之后查询,如果不改的kibana会有自己的时间查询不方便

        match => ["logdate""yyyy-MM-dd HH:mm:ss Z""ISO8601"]

        target => "@timestamp"

    }

   }

 

   if[fields][log_type] == 'info'如果是info类型该怎么格式,这里是重复的,如果有日志格式不一样比如nginx的日志型,可以在里自己定

    grok {

      match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"}

        }

    date {

        match => ["logdate""yyyy-MM-dd HH:mm:ss Z""ISO8601"]

        target => "@timestamp"

    }

   }

}

 

output {输出设置

  stdout { 输出到控制台

      codec => rubydebug 

  }

  输出到elasticsearch,提供kibana进行搜索

  elasticsearch { 

        hosts => [ "localhost:9200"]

        index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"es中存的索引格式,按照-日期进行索引

  }

 

   if"ERROR"== [loglevel] { 如果是ERROR日志一份管理者,在写了日志理中心后里可以去掉,然后交日志理中心

    email {

        to => "email_me@163.com"

        via => "smtp"

        subject => "WARN: %{[fields][service_name]}项目出现ERROR异常"

        htmlbody => "error_message%{message}\\nhost:%{[fields][service_id]}\\nkibana:http://127.0.0.1:5601"

        from => "noreply@163.com"

        address => "smtp.163.com"

        username => "noreply@163.com"

        password => "password1234"

    }

  }

 

logstashconf目录下创建配置文件:

[admin@jhkj66 config]$ vim defualt.conf

input {

   beats {

       port => "5044"

    }

}

数据过滤

filter {

   grok {

       match => { "message" => "%{COMBINEDAPACHELOG}" }

    }

   geoip {

       source => "clientip"

    }

}

输出配置为本机的9200端口,这是ElasticSerach服务的监听端口

output {

   elasticsearch {

       hosts => ["127.0.0.1:9200"]

    }

}

启动命令:

nohup ./bin/logstash -f default.conf &

 

kibana部署

[root@jhkj68 tools]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz

[root@jhkj68 tools]# tar xf kibana-6.2.3-linux-x86_64.tar.gz -C /home/

上传汉化包,英文版的kibana我是用不明白,汉化包下载地址:

https://github.com/anbai-inc/Kibana_Hanization

上传至服务器然后解压

unzip kibana-hanhua.zip

注意python的版本不能过高,3.6的版本我试过是汉化不了的,换成2.7的可以了

python main.py /home/kibana-6.2.3/

启动命令在kibanabin下的kibana

后台启动:

nohup ./bin/kibana &