生产环境Elk Stack部署文档

最新推荐文章于 2023-10-22 02:49:39 发布
最新推荐文章于 2023-10-22 02:49:39 发布
阅读量366 收藏
点赞数
文章标签: 数据库 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34212189/article/details/85068340
版权

对Linux有兴趣的朋友加入QQ群:476794643 在线交流
本文防盗链:http://blog.51cto.com/zhang789

1、前言

由于公司前期的elk日志系统使用效果比较好,现在开发纷纷要求把线上的日志都加到elk上面去,300多台机器的日志,一台服务器肯定承受不住了,为了解决这个情况,必须要做一个elk的集群架构。

2、拓扑图

生产环境Elk Stack部署文档

拓扑说明

1、Filebeat:轻量级的日志收集工具
2、阿里云Redis:自己搭建的redis可扩张的方式没有阿里云方便
3、Logstash:用来对日志文件的过滤,因为Logstash比较实用性能,和ES服务分开
4、ES:为了保存数据,做两台集群
5、Kibana/nginx:kibana性能要求不高,但是Kibana访问没有限制,为了安全监听在127.0.0.1,然后实用Nginx代理

3、资源申请记录

生产环境Elk Stack部署文档
总计:

Redis:1台(4G单节点)
ESC:4台(2核8G)
域名:log.ops.****.com

4、初始化配置

4.1、购买Redis并初始化

(有的网友推荐我用docker跑Redis,但考虑到docker性能,而且阿里云的Redis并不算贵,就选了阿里云的Redis)

1、配置4G单节点

生产环境Elk Stack部署文档

2、配置Redis并配置安全访问

生产环境Elk Stack部署文档

从上路可以看到redis的连接地址,我们的地址是只能在内网能访问,为了让所有机器都能写到redis我这里设置0.0.0.0/0所有内网地址都可以访问

生产环境Elk Stack部署文档

4.2、购买Ecs并初始化系统

1、选购服务器这里不做解释
2、阿里云的服务器好像没有什么可以初始化的,重要的就是安全设置,然后把机器加入到监控、跳板机

5、部署Elk Stack

5.1、部署Elasticsearch集群!

(1)配置java环境,且版本为8,如果使用7可能会出现警告信息

[root@Ops-Elk-ES-01 ~]# yum -y install java-1.8.0
[root@Ops-Elk-ES-01 ~]# java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

(2)安装Elasticsearch

[root@Ops-Elk-ES-01 ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
[root@Ops-Elk-ES-01 ~]# cat /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[root@Ops-Elk-ES-01 ~]# yum install elasticsearch

(3)配置Elasticsearch集群

[root@Ops-Elk-ES-01 ~]# vim /etc/elasticsearch/elasticsearch.yml
cluster.name: es-cluster        #组播的名称地址 
node.name: "node1"              #节点名称,不能和其他节点重复
path.data: /work/es/data        #数据目录路径
path.logs: /work/es/logs        #日志文件路径
bootstrap.mlockall: true        #内存不向swap交换
network.host: 192.168.90.201    #允许访问的IP(本机IP地址)
http.port: 9200                 #启用http
discovery.zen.ping.unicast.hosts: ["192.168.8.32", "192.168.8.33"] # 集群节点,会自动发现节点
[root@Ops-Elk-ES-01 ~]# mkdir /data/elk/{data.logs} –p
[root@Ops-Elk-ES-01 ~]# chown elasticsearch:elasticsearch /data –R
[root@Ops-Elk-ES-01 ~]# systemctl start elasticsearch
ES-02 的配置只需要把node.name和IP地址改一下即可

(4)查看Elasticsearch集群状态

[root@Ops-Elk-ES-01 ~]# curl -XGET 'http://192.168.8.32:9200/_cat/nodes?v'
ip           heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
192.168.8.32            3          95   0    0.00    0.02     0.05 mdi       *      node-1
192.168.8.33            3          96   0    0.12    0.09     0.07 mdi       -      node-2

运维API:

1. 集群状态:http:// 192.168.8.32:9200/_cluster/health?pretty
2. 节点状态:http:// 192.168.8.32:9200/_nodes/process?pretty
3. 分片状态:http:// 192.168.8.32:9200/_cat/shards
4. 索引分片存储信息:http:// 192.168.8.32:9200/index/_shard_stores?pretty
5. 索引状态:http:// 192.168.8.32:9200/index/_stats?pretty
6. 索引元数据:http:// 192.168.8.32:9200/index?pretty

5.2、安装Logstash

(1)配置java环境,且版本为8,如果使用7可能会出现警告信息

[root@Ops-Elk-ES-01 ~]# yum -y install java-1.8.0
[root@Ops-Elk-ES-01 ~]# java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

(1)安装Logstash

[root@Ops-Elk-Logstash-01 ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
[root@Ops-Elk-Logstash-01 ~]# cat /etc/yum.repos.d/logstash.repo
[logstash-5.x]
name=Elastic repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[root@Ops-Elk-Logstash-01 ~]# yum install logstash -y

现在已经安装完成,因为我们取日志是在redis取出来使用logstash过滤写到redis,等下会有logstash的案例

5.3、安装Kibana/nginx

(1)配置java环境,且版本为8,如果使用7可能会出现警告信息

[root@Ops-Elk-Kibana-01 ~]# yum -y install java-1.8.0
[root@Ops-Elk-Kibana-01 ~]# java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

(2)安装Kibana

[root@Ops-Elk-Kibana-01 ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
[root@Ops-Elk-Kibana-01 ~]# cat /etc/yum.repos.d/kibana.repo
[kibana-5.x]
name=Kibana repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[root@Ops-Elk-Kibana-01 ~]# yum install kibana

(3)配置Kibana

[root@Ops-Elk-Kibana-01 ~]# grep "^[a-z]" /etc/kibana/kibana.yml
server.port: 5601
server.host: "127.0.0.1"
elasticsearch.url: "http://192.168.8.32:9200"
kibana.index: ".kibana"
[root@Ops-Elk-Kibana-01 ~]# systemctl start kibana

(4)添加Nginx反向代理

[root@Ops-Elk-Kibana-01 ~]# yum -y install nginx
[root@Ops-Elk-Kibana-01 ~]# cd /etc/nginx/conf.d/
[root@Ops-Elk-Kibana-01 conf.d]# touch elk.ops.qq.com.conf
[root@Ops-Elk-Kibana-01 conf.d]# htpasswd -cm /etc/nginx/kibana-user zhanghe
New password:
Re-type new password:
Adding password for user zhanghe
[root@Ops-Elk-Kibana-01 conf.d]# cat elk.ops.qq.com.conf
server {
        listen 80;
        server_name elk.ops.qq.com;
        auth_basic "Restricted Access";
        auth_basic_user_file /etc/nginx/kibana-user;

        location / {
        proxy_pass http://127.0.0.1:5601;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
        }
}
[root@Ops-Elk-Kibana-01 conf.d]# yum -y install httpd-tools
[root@Ops-Elk-Kibana-01 conf.d]# htpasswd -cm /etc/nginx/kibana-user zhanghe
New password:
Re-type new password:
Adding password for user zhanghe
[root@Ops-Elk-Kibana-01 conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@Ops-Elk-Kibana-01 conf.d]# systemctl start nginx

(5)访问kibana
生产环境Elk Stack部署文档
生产环境Elk Stack部署文档

5.4、安装Filebeat

(1)安装filebeat

[root@node-01:~]# cat /etc/yum.repos.d/filebeat.repo
[elastic-5.x]
name=Elastic repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[root@Ops-Elk-Kibana-01 conf.d]# yum -y install filebeat

下面做一个简单案例
生产环境Elk Stack部署文档

5.5、案例:收集Tomcat catalina.out日志

收集日志的顺序:

Tomcat_filebeat->Redis->logstash->Es->Kibana

(1)在两台tomcat上面配置filebeat写到redis

[root@Tomcat-01:~]# cat /etc/filebeat/filebeat.yml
filebeat.prospectors:
- input_type: log
  paths:
    - /usr/tomcat/apache-tomcat-7.0.78/logs/catalina.out
  document_type: tomcat-01
  multiline.pattern: '^2017-0'
  multiline.negate: true
  multiline.match: after

output.redis:
  hosts: ["r-****.redis.rds.aliyuncs.com:6379"]
  db: 0
  timeout: 5
  key: "tomcat-01"
[root@Tomcat-01:~]# systemctl start filebeat

(2)在logstash上面配置一个文件,从redis取出来数据写到ES里面

[root@Ops-Elk-ES-01 conf.d]# cat tomcat.conf
input {
  redis {
    type => "tomcat-01"
    host => "r-****.redis.rds.aliyuncs.com"
    port => "6379"
    db => "0"
    data_type => "list"
    key => "tomcat-01"
  }
  redis {
    type => "tomcat-02"
    host => "r-****.redis.rds.aliyuncs.com"
    port => "6379"
    db => "0"
    data_type => "list"
    key => "tomcat-02"
  }
}

output {
  if [type] == "tomcat-01" {
    elasticsearch {
      hosts => ["es01:9200","es02:9200"]
      index => "tomcat-01-%{+YYYY.MM.dd}"
    }
  }
  if [type] == "tomcat-02" {
    elasticsearch {
      hosts => ["es01:9200","es02:9200"]
      index => "tomcat-02-%{+YYYY.MM.dd}"
    }
  }
}
[root@Ops-Elk-Logstash-01 conf.d]# systemctl restart logstash

(3)在kibana上面添加ES索引
生产环境Elk Stack部署文档

5.6、案例:收集Nginx Access日志

收集日志的顺序:

Nginx_filebeat->Redis->logstash->Es->Kibana

(1)nginx日志格式修改为json格式
格式1:

log_format access2 '{"@timestamp":"$time_iso8601",'
        '"host":"$server_addr",'
        '"clientip":"$remote_addr",'
        '"size":$body_bytes_sent,'
        '"responsetime":$request_time,'
        '"upstreamtime":"$upstream_response_time",'
        '"upstreamhost":"$upstream_addr",'
        '"http_host":"$host",'
        '"url":"$request",'
        '"domain":"$host",'
        '"xff":"$http_x_forwarded_for",'
        '"referer":"$http_referer",'
        #'"user_agent":"$http_user_agent",'
        '"status":"$status"}';

格式2:

log_format  access_log_json  '{"user_ip":"$http_x_real_ip","lan_ip":"$remote_addr","log_time":"$time_iso8601","user_req":"$request","http_code":"$status","body_bytes_sent":"$body_bytes_sent","req_time":"$request_time","user_ua":"$http_user_agent"}';

应用日志格式:

access_log  /var/www/logs/access.log  access2;

重启nginx
(2)在nginx机器上面配置filebeat将日志写到redis

[root@Tomcat-01:~]# cat /etc/filebeat/filebeat.yml
filebeat.prospectors:
- input_type: log
  paths:
- /var/www/logs/access.log
  document_type: nginx-01
  multiline.pattern: '^2017-0'
  multiline.negate: true
  multiline.match: after

output.redis:
  hosts: ["r-****.redis.rds.aliyuncs.com:6379"]
  db: 0
  timeout: 5
  key: "nginx-01"
[root@Tomcat-01:~]# systemctl start filebeat

(3)在logstash上面配置一个文件,从redis取出来数据写到es里面

[root@Ops-Elk-ES-01 conf.d]# cat nginx.conf
input {
  redis {
    type => "nginx-01"
    host => "r-****.redis.rds.aliyuncs.com"
    port => "6379"
    db => "0"
    data_type => "list"
    key => "nginx-01"
  }
}

output {
    elasticsearch {
      hosts => ["es01:9200","es02:9200"]
      index => "logstash-nginx-s4-access-01-%{+YYYY.MM.dd}"
    }
}
[root@Ops-Elk-Logstash-01 conf.d]# systemctl restart logstash

(4)在kibana上面添加ES索引
生产环境Elk Stack部署文档
生产环境Elk Stack部署文档

5.7、效果展示

最好可以根据Elk收集的日志,创建日志分析图形,好了,这就不过多讲解了,有兴趣的可以加入我们QQ群,一起讨论,解决问题,让学习Elk stack不再成为难题

对Linux有兴趣的朋友加入QQ群:476794643在线交流
本文防盗链:http://blog.51cto.com/zhang789

生产环境Elk Stack部署文档
生产环境Elk Stack部署文档

weixin_34212189
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK环境部署(一)--基础环境配置
u012721974的博客
03-29 4066
背景介绍: 单机部署ELK,进行日志筛选、可视化界面查看,使用nginx作为日志生产工具 环境介绍 2C4G CentOS7.9 40G 1、准备虚拟机 步骤略 2、修改网卡 vi /etc/sysconfig/network-scripts/ifcfg-ens33 需要修改项: BOOTPROTO=static ONBOOT=yes IPADDR=192.168.6.251 NETMASK=255.255.255.0 GATEWAY=192.168.6.2 DNS=114.114..
ELK简介以及安装部署
热门推荐
m0_54255157的博客
09-05 1万+
ELK 是 Elasticsearch、Logstash、Kibana 三大开源框架的首字母大写简称。市面上也被称为Elastic Stack。其中 Elasticsearch 是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。像类似百度、谷歌这种大数据全文搜索引擎的场景都可以使用 Elasticsearch作为底层支持的框架,可见 Elasticsearch 提供的搜索能力确实强大,市面上很多时候我们称Elasticsearch 为 es。
open***生产环境部署文档
weixin_34099526的博客
11-02 206
1、环境:cat/etc/redhat-release CentOS release 6.8(Final)uname -aLinuxnfs_server_177 2.6.32-642.4.2.el6.x86_64 #1 SMP Tue Aug 23 19:58:13 UTC 2016x86_64 x86_64 x86_64 GNU/Linuxntpdatepool.ntp....
Logstash部署与使用
qq_19283249的博客
06-04 6833
Logstash是一个收集与处理数据的引擎,就像ElasticSearch是专门用来检索的引擎一样,Logstash用于收集、处理和转换各种数据源(文件、数据库、网站等)的数据,并将其转换为统一的格式。Logstash支持多种插件,进行数据过滤、转换和输出,可以方便地与 ES 和 Kibana 集成使用。还支持多线程处理和事件模型,可以在大规模数据处理场景下提供高性能、高可用的服务。
第二章 ELKstack部署及配置
weixin_30736301的博客
04-04 135
一:elasticsearch部署: 1.1:环境初始化: 最小化安装Centos 7.2 x86_64操作系统的虚拟机,vcpu 2,内存4G或更多,操作系统盘50G,主机名设置规则为linux-hostX.exmaple.com,其中host1和host2为elasticsearch服务器,为保证效果特额外添加一块单独的数据磁盘大小为50G并格式化挂载到/data。 1.1.1:...
elk 部署全过程详细
qq_44539351的博客
06-03 9512
elk完整部署文档编写超详细
elk stack中文教程
02-17
ELK Stack,全称为Elasticsearch、Logstash、Kibana,是三个开源软件的组合,用于日志管理和分析。这个中文教程基于5.0版本,涵盖了这三个组件的基础知识、安装配置、使用方法以及高级特性,是学习和理解ELK Stack的...
elk-stack-project1:ELK Stack配置
03-30
ELK Stack配置 自动化ELK堆栈部署 该存储库中的文件用于配置以下所示的网络。 这些文件已经过测试,并用于在Azure上生成实时ELK部署。 它们可用于重新创建上图所示的整个部署。 (Ansible / elk-playbook.yml) ...
ElkProj1-GS:Elk Stack项目
03-04
**ElkStack项目详解** **一、什么是ELK Stack** ELK Stack,全称为Elasticsearch、Logstash、Kibana,是三个开源工具的组合,用于日志管理和日志分析。Elasticsearch是一个分布式、实时的搜索和分析引擎,用于处理...
ELK安装文档 - 副本.doc
02-07
1. **安装环境**:通常需要一个运行Linux的操作系统,如Ubuntu、CentOS等,因为ELK Stack主要针对这类系统优化。确保系统满足最低硬件需求,特别是内存和磁盘空间,因为日志数据量可能很大。 2. **安装JDK**:...
Elk_Stack
03-11
Elk_Stack 自动化ELK堆栈部署 该存储库中的文件用于配置以下所示的网络。 这些文件已经过测试,并用于在Azure上生成实时ELK部署。 它们可用于重新创建上图所示的整个部署。 或者,可以使用剧本文件的选定部分来仅...
ELK 8.4.3 docker 保姆级安装部署详细步骤
cz860410的专栏
11-03 3063
ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 是用Java 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。
ELK详细安装部署
song12345xiao的博客
07-26 4902
ELK详细安装部署
CentOS 7.2下Filebeat+Kafka+ELK生产部署(安全加固)
qq_40907977的博客
07-30 2051
01架构说明 在需要采集日志的服务器上部署Filebeat服务,它将采集到的日志数据推送到Kafka集群; Logstash服务通过input插件读取Kafka集群对应主题的数据,期间可以使用filter插 数据做自定义过滤解析处理,然后通过output插件将数据推送到Elasticsearch集群中; 最后用户通过Kibana服务提供的web界面,对索引数据做汇总,分析,搜索和展示等功能 本文旨在部署安全可靠的生产架构,对ELK做XPack安全加固,对Kafka做SASL安全加固! 02准备工作
ELK分布式日志集群在本地虚拟机部署(可应用于生产环境),后台服务基于RuoYi项目———全网最详细
m0_45901080的博客
06-27 842
elk集群部署,集成ruoyi项目
ELK概述部署和Filebeat 分布式日志管理平台部署
最新发布
fyb012811的博客
10-22 3323
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
ELK部署
faoids的博客
04-06 295
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
Elk(日志收集分析工具) 基础知识、部署ElasticSearch集群环境
m0_60379130的博客
03-03 1248
什么是Elk? ELK是一整套解决方案,是三个软件产品的首字母缩写。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 ELK分别代表: Elasticsearch:负责日志检索和存储 特点:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash:负责日志的收集分析,处理 一般工作方式为c/s架构,c
ELKStack入门篇(一)之ELK部署和使用
段晓舟的博客
02-06 2149
一、ELKStack简介 1、ELK介绍 中文指南:https://www.gitbook.com/book/chenryn/elk-stack-guide-cn/details ELK Stack包含:ElasticSearch、Logstash、Kibana ElasticSearch是一个搜索引擎,用来搜索、分析、存储日志。它是分布式的,也就是说可以横向扩容,可以自动发现,索引自动分片,总之很强大。文档https://www.elastic.co/guide/cn/elasticsearch.
ELKStack安装与部署实战指南
ELKStack是这三者集成的简称,它提供了一个高效且灵活的日志管理方案。" 在实施ELK整体解决方案时,首先需要在测试环境中进行操作,确保所有步骤都在安全的环境下执行,避免对生产环境造成影响。以下是一份详细的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值