企业级日志中心ELK部署清单
一、版本说明
Jdk1.8、Elasticsearch6.5.4、Logstash6.5.4、Kibana6.5.4、kafka2.11.1、Filebeat6.5.4
相应的版本最好下载对应插件
二、搭建架构
相关地址:
官网地址:https://www.elastic.co
官网搭建:https://www.elastic.co/guide/index.html
三、实施部署
下载并上传软件包到对应机器上
1、Elasticsearch集群部署
系统类型:Centos7.5
节点IP:192.168.1.190、192.168.1.191、192.168.1.192
软件版本:jdk1.8u211-linux-x64.tar.gz、elasticsearch-6.5.4.tar.gz
1.1安装配置jdk1.8
ES运行依赖jdk8
tar zxvf /usr/local/src/jdk1.8u211-linux-x64.tar.gz -C /usr/local/
mv /usr/local/jdk1.8.0_211 /usr/local/java
echo ‘
JAVA_HOME=/usr/local/java
PATH=
J
A
V
A
H
O
M
E
/
b
i
n
:
JAVA_HOME/bin:
JAVAHOME/bin:PATH
export JAVA_HOME PATH
‘ >>/etc/profile.d/java.sh
source /etc/profile.d/java.sh
#java -version
1.2机器配置
查看服务器ip
cat /etc/sysconfig/network-scripts/ifcfg-ens33
关闭防火墙
systemctl status firewalld
添加主机名iP映射
vim /etc/hosts
n6
192.168.1.190 master
192.168.1.191 node1
192.168.1.192 node2
192.168.1.193 node3
1.3安装配置ES
(1)创建运行ES的普通用户
useradd ela
echo “12345” | passwd --stdin ela
(2)安装配置ES
tar zxvf /usr/local/src/elasticsearch-6.5.4.tar.gz -C /usr/local/
#echo ‘
cluster.name: qf01-elk
node.name: elk01
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: true
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: [“192.168.1.191”,“192.168.1.192”]
discovery.zen.minimum_master_nodes: 2
discovery.zen.ping_timeout: 150s
discovery.zen.fd.ping_retries: 10
client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: “*”
’ >>/usr/local/elasticsearch-6.5.4/config/elasticsearch.yml
配置项含义
cluster.name 集群名称,各节点配成相同的集群名称。
node.name 节点名称,各节点配置不同。
node.master 指示某节点是否符合成为主节点的条件
node.data 指示节点是否为数据节点,数据节点包含并管理索引的一部份
path.data 数据存储目录
path.logs 日志目录
bootstrap.memory_lock 内存锁定,是否禁用交换
bootstrap.system_call_filter 系统调用过滤器
network host 绑定节点ip
http.port rest api端口
discovery.zen.ping.unicast.hosts 提供其他Elasticsearch服务节点的单点广播发现功能。
discovery.zen.minimum_master_nodes 集群中可工作的具有Master节点资格的最小数量,官方的推荐值是(N/2)+1,其中N是具有master资格的节点的数量。
discovery.zen.ping_timeout 节点在发现过程中的等待时间。
discovery.zen.fd.ping_retries 节点发现重试次数。
client.transport.ping_timeout: 60s ping命令的响应时间默认为5s
#http.cors.enabled 是否允许跨源 REST 请求,用于允许head插件访问ES
#http.cors.allow.origin 允许的源地址
(3) 设置JVM堆大小
sed -i ‘s/- Xms1g/-Xms2g/’ /usr/local/elasticsearch-6.5.4/config/jvm.options
sed -i ‘s/- Xmx1g/-Xmx2g/’ /usr/local/elasticsearch-6.5.4/config/jvm.options
注意:
1.确保堆内存最小值(Xms)与最大值(Xmx)的大小相同,防止程序在运行时改变堆内存大小。
2.如果系统内存足够大,将堆内存最大值和最小值设置为31G,因为有一个32G性能瓶颈问题。
3.堆内存大小不要超过系统内存的50%
(4) 创建ES数据及日志存储目录
mkdir -pv /data/elasticsearch/data
mkdir -pv /data/elasticsearch/logs
(5) 修改安装目录及存储目录权限
#chown -R ela:ela /data/elasticsearch
#chown -R ela:ela /usr/local/elasticsearch-6.5.4
1.4系统优化
(1)增加最大文件打开数
永久生效方法:
echo “* - nofile 65536”>> /etc/security/limits.conf
(2)增加最大进程数
echo “* soft nproc 31717”>> /etc/security/limits.conf
更多的参数调整可以直接用这个
- soft nofile 65536
- hard nofile 131072
- soft nproc 2048
- hard nproc 4096
(3)增加最大内存映射数
echo “vm.max_map_count=262144”>> /etc/sysctl.conf
sysctl -p
(4)启动如果报下列错误
memory locking requested for elasticsearch process but memory is not locked
修改elasticsearch.yml文件
bootstrap.memory_lock : false
vim /etc/sysctl.conf文件
vm.swappiness=0
错误:
max file descriptors [4096] for elasticsearch process is too low, increase to at least[65536]
意思是elasticsearch 用户拥有的客串建文件描述的权限太低,知道需要65536个
解决:
切换到root用户下面,
vim /etc/security/limits.conf
在最后添加
- hard nofile 65536
- hard nofile 65536
重新启动elasticsearch ,还是无效?
必须重新登录启动elasticsearch的账户才可以,例如我的账户名是elasticsearch,退出重新登录。另外也可以切换启动elasticsearch的账户也可以, 代表所有,其实比较不合适
启动还会遇到另外问题,就是
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
意思是:elasticsearch用户拥有的内存权限太小了,至少需要262144,这个比较简单,也不需要重启,直接sysctl -w vm.max_map_count=262144执行就可以了
1.5启动ES
su - ela -c “cd /usr/local/elasticsearch-6.5.4 && nohup bin/elasticsearch &”
测试:浏览器访问http://192.168.1.190:9200
1.6安装配置head监控插件
(1)安装node
wget https://npm.taobao.org/mirrors/node/latest-v4.x/node-v4.4.7-linux-x64.tar.gz
#tar -zxf node-v4.4.7-linux-x64.tar.gz -C/usr/local
echo ‘
NODE_HOME=/usr/local/node-v4.4.7-linux-x64.tar.gz
PATH=
N
O
D
E
H
O
M
E
/
b
i
n
:
NODE_HOME/bin:
NODEHOME/bin:PATH
export NODE_HOME PATH
‘ >>/etc/profile.d/node.sh
#source /etc/profile
node --version #检查node版本号
(2)下载head插件
wget https://github.com/mobz/elasticsearch-head/archive/master.zip
unzip -d /usr/local master.zip
(3)安装grunt
cd /usr/local/elasticsearch-head-master/
npm install -g grunt-cli
grunt --version #检查grunt版本号
grunt-cli v1.3.2
(4)修改head源码
vi /usr/local/elasticsearch-head-master/Gruntfile.js (95行左右)
vi /usr/local/elasticsearch-head-master/_site/app.js (4374行左右)
原本是http://localhost:9200,如果head和ES不在同一台机器上,注意修改成ES的IP地址,
如果在同一台机器,可以不修改
(5)下载head必要的文件
#wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
mkdir /tmp/phantomjs/
#cp /usr/local/src/phantomjs-2.1.1-linux-x86_64.tar.bz2 /tmp/phantomjs/
(6)运行head
cd /usr/local/elasticsearch-head-master/
#npm install --registry=https://registry.npm.taobao.org #添加淘宝镜像
#nohup grunt server &
(7)测试
访问:http://192.168.1.190:9100
注意
1.Master与Data节点分离,当Data节点大于3个的时候,建议责任分离,减轻压力
2.Data Node内存不超过32G,建议设置成32G,具体原因可以看上一篇文章
3.Discovery.zen.minimum_master_node设置成(total/2+1),避免脑裂情况
4.最重要的一点,不要将ES暴露在公网中,建议都安装X-PACK,来加强其安全性
2、Kibana部署
系统类型:Centos7.5
节点IP:192.168.1.190
软件版本:nginx-1.14.2、kibana-6.5.4-linux-x86_64.tar.gz
2.1安装配置kibana
(1)安装
tar zxf kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/
(2)配置
echo ‘
server.port: 5601
server.host: “192.168.1.190”
elasticsearch.url: “http://192.168.1.190:9200”
kibana.index: “.kibana”
‘>>/usr/local/kibana-6.5.4-linux-x86_64/config/kibana,yml
配置项含义:
server.port kibana服务器端口,默认5601
server.host kibana主机IP地址,默认localhost
elasticsearch.url 用来做查询的ES节点的URL,默认http://localhost:9200
kibana.index kibana在elasticsearch中使用索引来存储保存的searches,visualizations和dashboards,默认 .kibana
其他配置项可参考:
https://www.elastic.co/guide/en/kibana/6.5/settings.html
(3)启动
#cd /usr/local/kibana-6.5.4-linux-x86_64/
#nohup ./bin/kibana &
2.2安装配置Nginx反向代理
3、Kafka集群部署
系统类型:Centos7.5
节点IP:192.168.1.190、192.168.1.191、192.168.1.192
软件版本:jdk1.8u211-linux-x64.tar.gz、kafka_2.11-2.0.0.tgz
示例节点:192.168.1.190
3.1安装配置jdk8
3.2安装配置zk
kafka运行依赖ZK,kafka官网提供的tar包中,已经包含了ZK,这里不再下载ZK。
(1)安装
tar xzvf /usr/local/src/kafka_2.11-2.0.0.tgz -C /usr/local
(2)配置
sed -i ‘s/[#]/#&/’ /usr/local/kafka_2.11-2.0.0/config/zookeeper.properties
#echo ‘
dataDir=/opt/data/zookeeper/data
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181
tickTime=2000
initLimit=20
syncLimit=10
server.1=192.168.1.190:2888:3888 //kafka集群IP:port
server.2=192.168.1.191:2888:3888
server.3=192.168.1.192:2888:3888
‘>>/usr/local/kafka_2.11-2.0.0/config/zookeeper.properties
配置项含义
dataDir ZK数据存放目录。
dataLogDir ZK日志存放目录
clientPort 客户端连接ZK服务的端口
tickTime ZK服务器之间或客户端与服务器之间维持心跳的时间间隔
initLimit 允许follwer(相对于Leader 而言的)连接并同步到Leader 的初始化连接时间,以ticTime为单位,当初始化连接时间超过改值,则表示连接失败。
syncLimit Leader与follwer之间发送消息时,请求和应达时间长度,如果follwer在设置时间内不能与Leader通信,那么此follwer将被丢弃。
server.1=192.168.1.190:2888:3888 2888 是follwer与Leader交换信息的端口,3888是当leader挂了时用来执行选举时服务器相互通信的端口
创建data、log目录
mkdir -p /opt/data/zookeeper/{data,logs}
创建myid文件
#echo 1> /opt/data/zookeeper/data/myid #每台kafka机器都要做成唯一的ID
3.3配置kafka
(1)配置
sed -i ‘s/[#]/#&/’ /usr/local/kafka_2.11-2.0.0/config/server.properties
#echo ‘
broker.id=1
listeners=PLAINTEXT://192.168.1.190:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.receive.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=192.168.1.190:2181,192.168.1.191:2181,192.168.1.192:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
‘ >>/usr/local/kafka_2.11-2.0.0/config/server.properties
配置项含义
创建log目录
mkdir -p /opt/data/kafka/logs
3.4其他节点配置
只需把配置好的安装包直接分发到其他节点,然后修改ZK的myid,Kafka的broker.id和listeners就可以了。
3.5启动、验证ZK集群
(1)启动 zk
在三个节点依次执行:
cd /usr/local/kafka_2.11-2.0.0/
nohup bin/zookeeper-server-start.sh config/zookeeper.properties &
(2)验证zk
查看zk配置
echo conf | nc 127.0.0.1:2181
(3)查看zk状态
echo stat | nc 127.0.0.1:2181
(4)查看zk端口
lsof -i:2181
3.6启动、验证Kafka
(1)启动
在三个节点上依次执行:
cd /usr/local/kafka_2.11-2.0.0/
nohup bin/kafka-server-start.sh config/server.properties &
(2)验证
在192.168.1.190上创建topic
bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic
(3)查询192.168.1.190的topic
bin/kafka-topics.sh --zookeeper 192.168.1.190:2181 --list
(4)查询192.168.1.191的topic
bin/kafka-topics.sh --zookeeper 192.168.1.191:2181 --list
(5)查询192.168.1.192的topic
bin/kafka-topics.sh --zookeeper 192.168.1.192:2181 --list
(6)模拟消息生产和消费
发送消息到192.168.1.190
bin/kafka-console-producer.sh --broker-list 192.168.1.190:9092 --topic testtopic
从192.168.1.191接受消息
bin/kafka-console-consumer.sh --bootstrap-server 192.168.1.191:9092 --topic testtopic --from-beginning
3.7监控 kafka Manager
注:需添加部署部分
Kafka-manager 是Yahoo 公司开源的集群管理工具
可以在Github 上下载安装:https://github.com/yahoo/kafka-manager
4、Logstash部署
系统类型:Centos7.5
节点IP:192.168.1.190
软件版本:jdk1.8u211-linux-x64.tar.gz、logstash-6.5.4.tar.gz
3.1安装配置jdk8
3.2 logstash安装配置
(1)安装
tar xzvf /usr/local/src/logstash-6.5.4.tar.gz -C /usr/local/
(2)配置
创建目录,我们将所有的input、filter、output配置文件全部放到该目录中。
mkdir -p /usr/local/logstash-6.5.4/etc/conf.d
vim /usr/local/logstash-6.5.4/etc/conf.d/input.conf
input{
kafka {
type=> “nginx_kafka”
codec => “json”
tipics => “nginx”
decorate_events => true
bootstrap_servers => “10.221.164.121:9092,10.221.164.120:9092,10.221.164.116:9092”
}
}
vim /usr/local/logstash-6.5.4/etc/conf.d/output.conf
output{
if[type]==”nginx_kafka” {
elasticsearch {
hosts => [“10.221.164.121”,”10.221.164.120”,”10.221.164.116”]
index => ‘logstash-nginx-%{+YYYY-MM-dd}’
}
}
}
(3)启动
cd /usr/local/logstash-6.5.4
nohup bin/logstash -f etc/conf.d/ --config.reload.automatic &
5、Filebeat部署
为什么用filebeat,而不用原来的Logstash呢?原因很简单,资源消耗比较大。
由于Logstash是java开发的,要跑在jvm上,资源消耗比较大,后来作者用Go写了一个功能较少但是资源消耗也小的轻量级的Agent叫logstash-forwarder.
后来作者加入elastic.co公司,logstash-forwarder的开发工作给公司内部Go团队来搞,最后命名为filebeat.
filebeat需要部署在每台应用服务器上,可以通过Ansible来推送并安装配置
(1)安装
tar xzvf filebeat-6.5.4-linux-x86_64.tar.gz -C /usr/local/
cd /usr/local/
mv filebeat-6.5.4-linux-x86_64 filebeat
cd filebeat/
(2)修改配置
修改filebeat 配置,支持收集本地目录日志,并输出日志到kafka集群中
#cd /usr/local/filebeat/
vim fileat.yml
filebeat.prospectors:
- type: log
paths: - /opt/logs/server/nginx.log
json.keys_under_root: true
json.add_error_key: true
json.message_key: log
output.kafka:
hosts: [“10.221.164.121:9092”,”10.221.164.120:9092”,”10.221.164.116:9092”]
topic: ‘nginx’
启动nohup ./filebeat -e -c filebeat.yml > filebeat.log &
注意:非root用户启动 exit关闭窗口,要不然进程会被杀掉。