EFK 搭建简单的日志分析系统(详细)

最新推荐文章于 2024-04-24 10:30:47 发布
最新推荐文章于 2024-04-24 10:30:47 发布
阅读量1.9k 收藏 21
点赞数 2
分类专栏: 其他知识补充总结 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44898311/article/details/110181566
版权

用途

▷ 通过filebeat实时收集 nginx访问日志、传输至elasticsearch集群 ▷ filebeat将收集的日志传输至elasticsearch集群 ▷ 通过kibana展示日志

实验架构

▷ 服务器配置

▷ 架构图

EFK软件安装

版本说明

▷ elasticsearch 7.3.2
▷ filebeat 7.3.2
▷ kibana 7.3.2

注意事项

▷ 三个组件版本必须一致
▷ elasticsearch必须3台以上且总数量为单数

安装路径

▷ /opt/elasticsearch
▷ /opt/filebeat
▷ /opt/kibana

elasticsearch安装:3台es均执行相同的安装步骤

 

  1. mkdir -p /opt/software && cd /opt/software

  2. wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.3.2-linux-x86_64.tar.gz

  3. tar -zxvf elasticsearch-7.3.2-linux-x86_64.tar.gz

  4. mv elasticsearch-7.3.2 /opt/elasticsearch

  5. useradd elasticsearch -d /opt/elasticsearch -s /sbin/nologin

  6. mkdir -p /opt/logs/elasticsearch

  7. chown elasticsearch.elasticsearch /opt/elasticsearch -R

  8. chown elasticsearch.elasticsearch /opt/logs/elasticsearch -R

  9.  

  10. # 限制一个进程可以拥有的VMA(虚拟内存区域)的数量要超过262144,不然elasticsearch会报max virtual memory areas vm.max_map_count [65535] is too low, increase to at least [262144]

  11. echo "vm.max_map_count = 655350" >> /etc/sysctl.conf

  12. sysctl -p

filebeat安装

 

  1. mkdir -p /opt/software && cd /opt/software

  2. wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.3.2-linux-x86_64.tar.gz

  3. mkdir -p /opt/logs/filebeat/

  4. tar -zxvf filebeat-7.3.2-linux-x86_64.tar.gz

  5. mv filebeat-7.3.2-linux-x86_64 /opt/filebeat

kibana安装

 

  1. mkdir -p /opt/software && cd /opt/software

  2. wget https://artifacts.elastic.co/downloads/kibana/kibana-7.3.2-linux-x86_64.tar.gz

  3. tar -zxvf kibana-7.3.2-linux-x86_64.tar.gz

  4. mv kibana-7.3.2-linux-x86_64 /opt/kibana

  5. useradd kibana -d /opt/kibana -s /sbin/nologin

  6. chown kibana.kibana /opt/kibana -R

nginx安装(用于生成日志,被filebeat收集)

 

  1. # 只在192.168.1.11安装

  2. yum install -y nginx

  3. /usr/sbin/nginx -c /etc/nginx/nginx.conf

elasticsearch配置

▷ 192.168.1.31 /opt/elasticsearch/config/elasticsearch.yml

 

  1. # 集群名字

  2. cluster.name: my-application

  3.  

  4. # 节点名字

  5. node.name: 192.168.1.31

  6.  

  7. # 日志位置

  8. path.logs: /opt/logs/elasticsearch

  9.  

  10. # 本节点访问IP

  11. network.host: 192.168.1.31

  12.  

  13. # 本节点访问

  14. http.port: 9200

  15.  

  16. # 节点运输端口

  17. transport.port: 9300

  18.  

  19. # 集群中其他主机的列表

  20. discovery.seed_hosts: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  21.  

  22. # 首次启动全新的Elasticsearch集群时,在第一次选举中便对其票数进行计数的master节点的集合

  23. cluster.initial_master_nodes: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  24.  

  25. # 启用跨域资源共享

  26. http.cors.enabled: true

  27. http.cors.allow-origin: "*"

  28.  

  29. # 只要有2台数据或主节点已加入集群,就可以恢复

  30. gateway.recover_after_nodes: 2

▷ 192.168.1.32 /opt/elasticsearch/config/elasticsearch.yml

 

  1. # 集群名字

  2. cluster.name: my-application

  3.  

  4. # 节点名字

  5. node.name: 192.168.1.32

  6.  

  7. # 日志位置

  8. path.logs: /opt/logs/elasticsearch

  9.  

  10. # 本节点访问IP

  11. network.host: 192.168.1.32

  12.  

  13. # 本节点访问

  14. http.port: 9200

  15.  

  16. # 节点运输端口

  17. transport.port: 9300

  18.  

  19. # 集群中其他主机的列表

  20. discovery.seed_hosts: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  21.  

  22. # 首次启动全新的Elasticsearch集群时,在第一次选举中便对其票数进行计数的master节点的集合

  23. cluster.initial_master_nodes: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  24.  

  25. # 启用跨域资源共享

  26. http.cors.enabled: true

  27. http.cors.allow-origin: "*"

  28.  

  29. # 只要有2台数据或主节点已加入集群,就可以恢复

  30. gateway.recover_after_nodes: 2

▷ 192.168.1.33 /opt/elasticsearch/config/elasticsearch.yml

 

  1. # 集群名字

  2. cluster.name: my-application

  3.  

  4. # 节点名字

  5. node.name: 192.168.1.33

  6.  

  7. # 日志位置

  8. path.logs: /opt/logs/elasticsearch

  9.  

  10. # 本节点访问IP

  11. network.host: 192.168.1.33

  12.  

  13. # 本节点访问

  14. http.port: 9200

  15.  

  16. # 节点运输端口

  17. transport.port: 9300

  18.  

  19. # 集群中其他主机的列表

  20. discovery.seed_hosts: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  21.  

  22. # 首次启动全新的Elasticsearch集群时,在第一次选举中便对其票数进行计数的master节点的集合

  23. cluster.initial_master_nodes: ["192.168.1.31", "192.168.1.32", "192.168.1.33"]

  24.  

  25. # 启用跨域资源共享

  26. http.cors.enabled: true

  27. http.cors.allow-origin: "*"

  28.  

  29. # 只要有2台数据或主节点已加入集群,就可以恢复

  30. gateway.recover_after_nodes: 2

filebeat配置

192.168.1.11 /opt/filebeat/filebeat.yml

 

  1. # 文件输入

  2. filebeat.inputs:

  3. # 文件输入类型

  4. - type: log

  5. # 开启加载

  6. enabled: true

  7. # 文件位置

  8. paths:

  9. - /var/log/nginx/access.log

  10. # 自定义参数

  11. fields:

  12. type: nginx_access # 类型是nginx_access,和上面fields.type是一致的

  13.  

  14. # 输出至elasticsearch

  15. output.elasticsearch:

  16. # elasticsearch集群

  17. hosts: ["http://192.168.1.31:9200",

  18. "http://192.168.1.32:9200",

  19. "http://192.168.1.33:9200"]

  20.  

  21. # 索引配置

  22. indices:

  23. # 索引名

  24. - index: "nginx_access_%{+yyy.MM}"

  25. # 当类型是nginx_access时使用此索引

  26. when.equals:

  27. fields.type: "nginx_access"

  28.  

  29. # 关闭自带模板

  30. setup.template.enabled: false

  31.  

  32. # 开启日志记录

  33. logging.to_files: true

  34. # 日志等级

  35. logging.level: info

  36. # 日志文件

  37. logging.files:

  38. # 日志位置

  39. path: /opt/logs/filebeat/

  40. # 日志名字

  41. name: filebeat

  42. # 日志轮转期限,必须要2~1024

  43. keepfiles: 7

  44. # 日志轮转权限

  45. permissions: 0600

kibana配置

192.168.1.21 /opt/kibana/config/kibana.yml

 

  1. # 本节点访问端口

  2. server.port: 5601

  3.  

  4. # 本节点IP

  5. server.host: "192.168.1.21"

  6.  

  7. # 本节点名字

  8. server.name: "192.168.1.21"

  9.  

  10. # elasticsearch集群IP

  11. elasticsearch.hosts: ["http://192.168.1.31:9200",

  12. "http://192.168.1.32:9200",

  13. "http://192.168.1.33:9200"]

启动服务

 

  1. # elasticsearch启动(3台es均启动)

  2. sudo -u elasticsearch /opt/elasticsearch/bin/elasticsearch

  3.  

  4. # filebeat启动

  5. /opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d "publish"

  6.  

  7. # kibana启动

  8. sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml

上面的启动方法是位于前台运行。systemd配置方法,会在《EFK教程》系列后续文章中提供,敬请关注!

kibana界面配置

1️⃣ 使用浏览器访问192.168.1.21:5601,看到以下界面表示启动成功

2️⃣ 点"Try our sample data"

3️⃣ "Help us improve the Elastic Stack by providing usage statistics for basic features. We will not share this data outside of Elastic"点"no”

4️⃣ "Add Data to kibana"点"Add data"

5️⃣ 进入视图

测试

访问nginx,生成日志

curl -I "http://192.168.1.11"
来世做夕阳
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EFK+kafka+head日志分析集群部署.rar
07-04
日志分析集群,在本地centos7虚拟机搭建的Es+firebeat+logstash+kibana+kafka+head的完整集群部署文档,很详细,通常的EFK日志分析,加上kafka的消息队列,可以处理PB级别的日志内容。
EFK日志系统安装配置文档
08-01
ELK、EFK安装及配置文档,详细的阐述了EFK架构,其中包括了kafka、elasticsearch、elasticsearch-head、nodejs、kibana、logstash、filebeat等的安装配置。
filebeat常用配置文件总结
许诗宇的博客
11-13 7401
filebeat配置文件例子 filebeat.prospectors: - input_type: log tags: ["wap-accesslog-tags-include","www1"] ignore_older: 2h enabled: true paths: ["/root/logs/wap.*","/root/logs/wap_iv.*"] include...
LINUX - EFK(elastic + filebeat + kibana)日志审计系统小白构建过程 日记 手册
weixin_58308185的博客
06-27 1019
首先来的filebeat目录下 ,对filebeat.yml文件进行配置根据实际情况 配置Kibana的host根据实际情况配置elastic的hosts保存退出 启动filebeat在filebeat 目录下 输入 ./filebeat -e 启动启动成功后 我们用刚才浏览器打开的kibana页面点击添加日志 :由于我需要的是系统日志,这里点击的系统日志进入页面后翻到最底下,直接点击检查数据(上面的配置我们都配置好了 不用再配置了)出现(此模块成功收到数据)表示 日志审计服务搭建成功。
EFK(filebeat日志收集案例)
最新发布
manongwangziqi的博客
04-24 1476
在新版本中 log 类型被弃用,更换为了filestream,用法也有了一些小改变。
搭建EFK(Elasticsearch+Filebeat+Kibana)日志收集系统[windows]
文若书生的专栏
04-11 3271
EFK简介Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大量日志数据,也可用于搜索许多不同类型的文档。FileBeats 是数据采集的得力工具。将 Beats 和您的容器一起置于服务器上,或者将 Beats 作为函数加以部署,然后便可在 Elastisearch 中集中处理数据。如果需要更加强大的处理性能,Beats 还能将数据输送到 Logstash 进行转换和解析。
使用docker部署EFK-7.8版本详细教程
W1124824402的博客
03-30 743
使用docker部署EFK7.8版本,部署简单详细
电商大数据日志收集系统EFK
ACTIONTIME的博客
03-15 1557
EFK
k8s搭建EFK日志中心需要的部署文件
06-10
k8s搭建EFK日志中心需要的部署文件,适用于搭建elasticsearch + fluentd + kibana组成的日志分析平台。适合新手小白直接拿来执行使用的k8s部署脚本文件。因为镜像文件较大,所以需要对应镜像文件的请私聊。此种方案...
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
前言 由于logstash内存占用较大,灵活性相对没那么好,ELK正在被EFK逐步替代.其中本文所讲的EFK是Elasticsearch+Fluentd+Kfka,实际上K应该是Kibana用于...每一个服务都可以横向扩展,添加服务到日志系统中. 配置文件 dock
利用EFK实现k8s集群日志收集系统
06-21
本章基于k8s集群部署gitlab、sonarQube、 Jenkins等工具,并把上述工具集成到Jenkins中,以Django项目为例,通过多分支流水线及Jenkinsfle实现项目代码提交到不同的仓库分支,实现自动代码扫描、单元测试、docker...
ELK全套视频教程(共计141节)
04-21
详细讲述ELK技术栈全套教程, 包括技术讲解, 项目实战.非常详细, 包括讲师的语速, 语调, 不墨迹, 不拖拉. 干脆利落
 Kibana:使用 Scripted fields 来提高数据的可观测性
Elastic 中国社区官方博客
07-23 3596
脚本化字段根据 Elasticsearch 索引中的数据即时计算数据。 数据作为文档数据的一部分显示在 “Discover” 所展示的数据中,并且你可以在可视化文件中使用脚本化字段。 你可以使用 Kibana 查询语言查询脚本化字段,并可以使用过滤器栏过滤它们。 脚本字段值是在查询时计算的,因此不会被索引,也无法使用 Kibana 默认查询语言进行搜索。 在我之前的文章 “Kibana: 如何在Kibana中生成Scripted fields” 中,我已经展示了如何使用 Scripted fields 来
Kibana:在 Kibana 中对数据进行深入分析 (drilldown)
Elastic 中国社区官方博客
03-30 1786
我们可以在Kibana中对数据进行分析,并生产表格等。我们是否可以为我们展示的数据生产超链接呢?比如: 在我们上面的表格中在左边的表格中,上面所示的US是一个超链接。我们点击这个超链接后,它会帮我们启动一个搜索。 动手实践 我们先打开Kibana并添加数据: 在上面点击Load a data set and a Kibana dashboard: 点击Add data,...
最全Flume、ElasticSearch、Kibana实现日志实时展示
夜阑听风
03-20 7645
今天一天的时间,成功使用flume把日志扇入ElasticSearch中,并运行Kibana实现日志的初步展示,记录于此。1:ES集群的搭建不予赘述,可参考:如何搭建ES集群2:Flume与ES协同这一部分堪称是重中之重,主要的时间就是花费在这上面了。flume的sink里,其实是有ElasticSearchSink的,我的打算,也是想直接使用其实现功能即可,后发现,ES使用的版本过高,但又不想照...
原创|利用ELK分析Nginx日志生产实战(高清多图)
weixin_33851604的博客
03-28 1336
本文以api.mingongge.com.cn域名为测试对象进行统计,日志为crm.mingongge.com.cn和risk.mingongge.com.cn请求之和(此二者域名不具生产换环境统计意义),生产环境请根据具体需要统计的域名进行统计。由于涉及生产线上服务器,故本文部分服务器IP做了打码处理。一、服务介绍1.1、ELKELK是三个开源软件的缩写,分别表示:Elasticsearch ,...
kubernetes集群中部署EFK日志管理系统
weixin_38320674的博客
04-29 4910
前言在生产环境中,日志对于排查问题至关重要,我们需要有一个日志管理系统,如efk就是目前最受欢迎的日志管理系统。kubernetes可以实现efk的快速部署和使用,通过statefuls...
[elk] filebeat-配置日志logging记录自己踩过的坑
weixin_43424738的博客
12-17 1433
官方关于filebeat运行自定义输出路径配置如下: logging.level: info logging.to_files: true logging.files: path: /var/log/filebeat name: filebeat keepfiles: 7 permissions: 0644 然后启动: /usr/local/filebeat/filebeat -e -c /us...
docker efk
08-27
EFK是一种用于日志管理的解决方案,其中包括Elasticsearch、Fluentd和Kibana。这三个组件相互配合,使您能够收集、存储和可视化应用程序日志数据。 - Elasticsearch是一个开源的分布式搜索和分析引擎,用于存储和查询大量结构化和非结构化数据。 - Fluentd是一个开源的日志收集器,它可以从不同的来源(如应用程序、容器、操作系统等)收集日志数据,并将其发送到Elasticsearch进行存储和处理。 - Kibana是一个开源的数据可视化工具,它提供了一个用户友好的界面,用于搜索、分析和可视化存储在Elasticsearch中的日志数据。 使用Docker部署EFK意味着您可以使用容器化的方式快速部署和运行EFK,而不需要手动安装和配置每个组件。您可以使用Docker Compose或Kubernetes等工具来定义和管理EFK的容器化部署。这样,您可以更轻松地扩展和管理日志收集和分析环境。 请注意,以上是对EFK的简要介绍,实际部署和配置可能需要更详细的步骤和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值