日志对互联网应用的运维尤为重要,它可以帮助我们了解服务的运行状态、了解数据流量来源甚至可以帮助我们分析用户的行为等。当进行故障排查时,我们希望能够快速的进行日志查询和过滤,以便精准的定位并解决问题。
传统的日志获取方法比较单一。一般是,到日志所在机器节点上,找到日志目录,并查看和过滤日志信息。如果服务有多实例,并部署在多台机器上,就需要遍历查看多台机器的日志文件。随着服务数量和服务实例数量的增加,日志获取变得越来越艰难,另外日志一般设置滚动策略,当日志文件超过限定值,会进行日志压缩,这使得查看历史日志信息更是难上加难。
随着计算机产品复杂性的增加,主机可能部署在不同的区域,甚至是跨国界部署,即使是部署在同一个地方的主机系统,也会根据操作系统,应用服务,业务逻辑等的不同而有所差别。面对如此海量的数据,通过传统的方法,登陆到不同的机器节点上去查看,显然有些耗费人力,并略显笨拙。传统的日志文件获取方法已经不能再满足正常的日志分析需求了,于是搭建集中式的日志系统,将日志集中整合并可视化分析展示,逐渐进入大家的视野。这就引入,我们今天的主角ELK。ELK可以帮助我们稳定可靠的获取,分析并展示收集到的数据,并能够屏蔽输入数据格式。
当前ELK已经成为最流行的集中式日志解决方案。ELK创建了一个端到端的流程,可以从几乎任何类型的结构化或非结构化的数据源实时获取数据,并可视化的对数据进行分析展示。ELK是Elasticsearch、Logstash、Kibana三个开源软件的首字母缩写,这三者先后被Elastic.co公司纳入名下。 Elasticsearch 是一个分布式RESTful搜索和分析引擎,基于Apache Lucene构建,作为ELK Stack的核心,它集中存储用户的数据,以便用户可以快速发现想要搜索的数据。它具有高可伸缩性、高可靠和易管理等特点。Logstash 作为数据收集的引擎,它支持动态的从各种数据源来收集数据,并对数据进行过滤、分析,并统一格式输出,然后存储到用户指定的位置。 Kibana是一个数据分析和可视化平台,通常跟Elasticsearch配合使用,对存储在Elasticsearch中的数据进行搜索,分析并以各种统计图表的形式进行展示。
最简单的ELK架构只需要一个Elasticsearch实例用于数据存储, 一个Logstash实例用于日志搜集和一个kibana实例用于数据分析和展示。Logstash通过输入插件从多种数据源获取数据,再经过过滤插件加工数据,最后通过输出插件,将数据输出到Elasticsearch中进行存储,最终通过Kubana展示。因为Logstash仅有一个实例,那么只能获取到Logstash实例所在节点的日志信息。如果想要获取到更多的日志信息,需要在不同的节点上都安装Logstash实例。然而Logstash会占用节点的内存和CPU。为了解决Logstash占用较高节点CPU和内存的问题,引入Beats作为日志搜集器,Beats将搜集到的数据发送到Logstash,经Logstash解析、过滤后,将其发送到Elasticsearch存储。与Logstash相比,Beats所占用的系统CPU和内存几乎可以忽略不计。另外Beats和Logstash之间支持SSL/TLS加密传输,客户端和服务器端双向认证,保证了通信安全。
网络上常见各种安装ELK的详细介绍,一般,在虚拟机上安装ELK服务,大致需要先后安装和配置Elasticsearch、
最低0.47元/天 解锁文章
1643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
