ELK小结

最新推荐文章于 2022-03-30 11:24:21 发布
最新推荐文章于 2022-03-30 11:24:21 发布
阅读量193 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40956863/article/details/79472236
版权

因为某些原因需要使用到ELK,所以在这里总结下

准备工作

架构:filebeat->logstash->elasticsearch

filebeat-5.5.1、elasticsearch-2.4.1、logstash-2.4.0、kilbana-4.6.1

filebeat安装部署:

修改配置文件/etc/filebeat/filebeat.yml

加入以下内容:

- input_type: log

    paths:

        - /opt/logs/nginx.log

    fields:

        tag: nginx

########################################################

output.logstash:

  # The Logstash hosts,logstash机器ip加端口,配置到该机器上存储日志内容
  hosts: ["xx.xx.xx.xx:5044"]

2.elasticsearch安装部署

1.下载存放在/opt/下面
2.解压安装
tar -zxvf elasticsearch-2.4.1.tar.gz
cd elasticsearch-2.4.1
3.因为elasticsearch不能用root去启动,新建用户elk
groupadd -g 77 elkuseradd -u 77 -g elk -d /home/elk -s /bin/bash elk
mkdir -p /data/es-data
普通用户启动,报错权限不够
chown -R elk.elk /data/
chown -R elk.elk /opt/elasticsearch-2.4.1/
3.修改配置文件
vim /opt/elasticsearch-2.4.1/config/elasticsearch.yml

cluster.name: elk
node.name: elk-1
path.data: /data/es-data
path.logs: /var/log/elasticsearch/
network.host: 0.0.0.0
http.port: 9200

4.启动
cd /opt/elasticsearch-2.4.1/
./bin/elasticsearch
5.验证
打开浏览器,访问X.X.X.X:9200
检查是否真正开启
netstat -antlp |grep 9200 查看9200是否正被监听

elasticsearch就安装好了!
下面使用插件head来完善
1.安装插件
cd /opt/elasticsearch-2.4.1
使用命令 /bin/plugin install mobz/elasticsearch-head

2.使用浏览器看效果

x.x.x.x:9200/_plugin/head

未解决问题:一直到最后还是有一个log4j报错问题,搜索的解决方法是给权限,但是给过之后仍然无法解决,但是不影响使用

3.Logstash安装与部署

1.下载
2.解压
cd /opt/
tar -zxvf l ogstash-2.4.0.tar.gz
数据测试:
./bin/logstash -e 'input { stdin{} } output { stdout{} } '
启动成功

将logstash中的内容写到elasticsearch中去,然后通过logstash查看
./bin/logstash -e 'input { stdin{} } output { elasticsearch { hosts => ["localhost:9200"]} }'
通过Browser查看数据分析,添加的内容

l ogstash的配置
1.简单的文件配置
vim /opt/logstash-2.4.0/config/file.conf

input{srdin{}}

output{elasticsearch{hosts=>["localhost:9200"]}}

启动命令: ./bin/logstash -f config/file.conf

2.收集系统日志配置
vim system.conf
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning"
}
}

output {
elasticsearch {
hosts => ["localhost:9200"]
index => "system-% {+YYYY.MM.dd}"
}
}

4.kibana部署与使用

1.下载解压安装
tar -xzvf kibana-4.6.1-linux-x86_64.tar.gz
2.关联Elasticsearch配置
cd kibana-4.6.1-linux-x86_64
cd config/
vim kibana.yml
server.port: 5601
server.host: localhost
elasticsearch.url: http://localhost:9200
3.启动
cd /opt/kibana-4.6.1-linux-x86_64/bin
./kibana
可以看到服务启动状况




这里的安装部署流程是很简单的,难点在logstash的转发到elasticsearch的正则

本人使用的是创建自定义正则文件,然后匹配正则,所以,这里要和开发人员沟通日志格式,将所有日志以json形式存储

filebeat在转发的时候会把日志自动进行一次json格式转换,先解json,然后对日志内容进行解析,remove掉多余的内容

以上是粗版本,之后还会根据使用详细记录




因为所有日志文件会堆积在elasticsearch机器上,所以需要定时清理

看到别人的定时清理脚本,觉得自己还有很长的运维路走,这里放上自己的定时清理脚本

#!/bin/sh
CS_DATE1=`date +%s`
sec_10day=$((CS_DATE1 - 1728000))
sec_30day=$((CS_DATE1 - 2592000))
day_10before=`date -d @$sec_10day +%Y.%m.%d`
day_30before=`date -d @$sec_30day +%Y.%m.%d`
curl -XDELETE https://x.x.x.x/logstash-$day_30before
curl -XDELETE https://x.x.x.x/logstash-$day_10before

遇到的问题:1.当接收到的日志量太大时会导致,elastisearch上面日志是正常接收的,但是在kibana上展示内容显示不出来

2.logstash上转存的程序因为启动后会日志输出会占满屏幕,所以使用的后台运行的screen

3.关于时间戳UTC更改,

match => {"message" => "\[%{TIMESTAMP_ISO8601:datetime1}\]"}

date {

                match => ["datetimei1", "yyyy-MM-dd HH:mm:ss.SSS Z"]
                target => "@timestamp"
        }






正则匹配规则:

一般而言,logstash有自己的正则,可以到书里面去找找对应的字段规则,但是想要自由的匹配正则要怎么办呢?

1.建立一个自己的正则库,把文件命名为grok_runlog,放在patterns下面,方便调用

需要的字段,举个例子:

LINE1 \line\:\w*
FILENAME .*
EXECUTETIME \w*\:\w*

2.调用

 grok {
                patterns_dir => "/opt/logstash-2.4.0/patterns/grok_runlog"
                match => {
                        "message" => "\[%{TIMESTAMP_ISO8601:datetime1}\] \[%{LEVEL:level}\] \[%{CLASS:class}\] \[%{ACTION:action}\] \[%{LINE1:line}\] %{INFORMATION:information}"
                        }

        }

因为这里面的字段要一一对应,但是常常会导致information里面的字段匹配到前面的字段,所以,这里可以在包含更多内容的字段前面直接匹配字符,保证前后正常对应

weixin_40956863
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ELK 性能优化实践
方志朋的博客
01-17 346
点击上方蓝色“方志朋”,选择“设为星标”回复“666”获取独家整理的学习资料!一、背景介绍近一年内对公司的 ELK 日志系统做过性能优化,也对 SkyWalking 使用的 ES 存储进行...
ELK总结
小东的博客
06-23 749
文章目录1、 ELK 简介2、 Elastic Stack3、 安装部署3.1 ElasticSearch安装3.2 Kibana安装3.3 Elasticsearch-head 安装安装 gruntinstallGruntfile.js修改配置3.4 Logstash 安装3.5 Filebeat安装4.1栗子nginx日志Grok 模式 1、 ELK 简介 ELK是Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称。市面上也被成为Elastic Stack。其
ELK--总结
seapeak007的博客
08-09 158
1.安装、搭建环境 参考下面2个地址: https://www.cnblogs.com/huangxincheng/p/7918722.html https://blog.csdn.net/bluetjs/article/details/78770447
ELK学习总结
weixin_43478453的博客
11-02 854
最近学习ELK(ElasticSearch, Logstash, Kibana),总结了一些内容,东西不全,欢迎大家补充,主要是写怎么集成,如果有不正确的地方,也请大家纠正。 安装参考官网: https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html 1.简析 Logstash:收集、解析日...
ELK 资料ELK 资料ELK 资料ELK 资料ELK 资料ELK 资料
11-01
"ELK 资料总结" ELK(ElasticSearch、Logstash、Kibana)是一款功能强大且广泛应用的数据分析、搜索和可视化工具集,下面是 ELK 的知识点总结: 一、搜索的介绍 搜索是指通过一定手段来检索到我们需要的信息,...
elk 5.6.4 三件套
10-27
**ELK 5.6.4 三件套详解** ELK是三个开源软件的缩写,它们分别是Elasticsearch、Logstash和Kibana。这个组合被广泛用于日志管理和数据分析,尤其在IT运维、安全监控以及大数据分析领域有着重要作用。ELK 5.6.4版本...
ELK原理与介绍
01-27
一般我们需要进行日志分析场景:直接在日志文件中grep、awk就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。...
ELK全量安装包宝宝
05-27
ELK(Elasticsearch, Logstash, Kibana)是一个流行的开源日志分析栈,用于收集、解析、存储和可视化各种日志数据。这个“ELK全量安装包宝宝”是一个包含所有必需组件的压缩包,确保用户在一次性下载后,无需因网络...
docker 搭建 ELK
最新发布
03-26
1.下载解压 2. 进入 elk 目录,执行下列命令 docker-compose up -d。 3. 使用 docker ps 查看容器状态。
2021-10-20 14:34:12,755 main ERROR RollingFileManager (/usr/local/skywalking/elasticsearch-7.15.1/lo
爪哇人的博客
10-20 1418
报错:2021-10-20 14:34:12,755 main ERROR RollingFileManager (/usr/local/skywalking/elasticsearch-7.15.1/logs/elasticsearch_server.json) java.io.FileNotFoundException: /usr/local/skywalking/elasticsearch-7.15.1/logs/elasticsearch_server.json (权限不够) java.io.Fi.
ELK(elasticsearch,logstash,kibana)实战安装部署
cai750415222的博客
08-06 837
wwww
ELK的崛起(Rise of the ELK)
allwefantasy的专栏
10-06 2425
前言 忽如一夜春风来,千树万树梨花开,恍惚之间,ELK亦是遍地开花,甚至提供类似ELK解决方案的专业公司数量已然可观。 ELK的用途 传统意义上,ELK是作为替代Splunk的一个开源解决方案。Splunk 是日志分析领域的领导者。日志分析并不仅仅包括系统产生的错误日志,异常,也包括业务逻辑,或者任何文本类的分析。而基于日志的分析,能够在其上产生非常多的解...
Elasticsearch启动时,出现Permission denied,权限不足报错
一个标题
09-27 9555
原因分析:检查报错文件/home/elasticsearch/logs/my-application_server.json在系统里面的权限。通过下面的命令可以看到的owner是root账号 不是ES的启动账号,问题应该就在这里。实际操作执行命令修改ES所在目录的owner为ES账号,执行后通过命令重新查看owner信息,可以看到owner已经更新。切换到ES账号下重新启动ES,root账号下会报下面的error。切换ES账号,执行ES启动,问题成功解决。
filebeat-5.1.1配置详解
谭谦的博客
12-12 6936
#=========================== Filebeat prospectors============================= filebeat.prospectors:    #指定文件的输入类型log(默认)或者stdin。 -     input_type: log         # paths指定要监控的日志       paths:    
linux启动es权限不够,在linux上安装与启动Elasticsearch
weixin_29323049的博客
05-04 1910
环境要求:jdk至少需要在1.8.0_73以上版本linux的内核版本需要在2.6以上(我用的是centos7.x)把下载好的tar包解压至/usr/local目录下[root@localhost local]# tar -zxvf elasticsearch-5.2.2如果此时只接启动elasticsearch的话,会报错[root@localhost elasticsearch-5.2.2]#...
启动elasticsearch时/home/edouardzyc/ELK/elasticsearch-2.3.3/logs/elasticsearch.log (权限不够)
phubing
03-18 3325
启动elasticsearch的时候需要使用非root用户启动, 但是启动Java.io.FileNotFoundException: /home/edouardzyc/ELK/elasticsearch-2.3.3/logs/elasticsearch.log (权限不够) at java.io.FileOutputStream.open(Native Method) ...
CentOS7下搭建ES,踩到的坑
学习中踩坑
03-30 673
1、使用root用户启动失败 es 启动,不能使用root用户,须切换到普通用户。 异常点 Caused by: java.lang.RuntimeException: can not run elasticsearch as root 解决办法:新建一个普通用户elk groupadd elk useradd -g elk elk 2、使用elk普通用户,启动es时,访问权限不够 异常点 Exception in thread "main" java.nio.file.Acce..
阿里云服务器部署ELK,采集业务日志和分析
peng_0129的博客
01-14 733
选择日志源,配置logstash采集并输送到elasticSeach 常见问题解决                    1、JVM内存溢出导致的 ES或者Logstash服务启不来,报错 insufficient memory                             解决:升级机器的内存和CPU;                             或者改elasti...
ELK Stack操作与实战指南
"ELK操作手册" ELK是三个开源软件Elasticsearch、Logstash和Kibana的缩写,它们组合在一起,形成了一个强大的日志管理和分析解决方案。本手册将详细介绍如何使用ELK栈来处理、存储和可视化数据。 1. Logstash - ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值