ELK 日志分析系统
- 了解 ELK 日志分析系统
- 安装和配置 elasticsearch 集群
- 安装和配置 logstash 进行日志收集
- 安装和配置 kibana 进行日志查看
介绍:(Elasticsearch Logstash Kibana)
Elasticsearch介绍:
Elasticsearch 是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自 动分片,索引副本机制,restful 风格接口,多数据源,自动搜索负载等
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎, 基于 RESTful web 接口。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布, 是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使 用方便。
Elasticsearch 的基础核心概念:
接近实时(NRT):
elasticsearch 是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索 到有一个轻微的延迟(通常是 1 秒
集群(cluster):
一个集群就是由一个或多个节点组织在一起,它们共同持有你整个的数据,并一起提供索引和 搜索功能。其中一个节点为主节点,这个主节点是可以通过选举产生的,并提供跨节点的联合索引 和搜索的功能。集群有一个唯一性标示的名字,默认是 elasticsearch,集群名字很重要,每个节点是 基于集群名字加入到其集群中的。因此,确保在不同环境中使用不同的集群名字。一个集群可以只 有一个节点。强烈建议在配置 elasticsearch 时,配置成集群模式。
节点(node):
节点就是一台单一的服务器,是集群的一部分,存储数据并参与集群的索引和搜索功能。像集 群一样,节点也是通过名字来标识,默认是在节点启动时随机分配的字符名。当然,你可以自己定 义。该名字也很重要,在集群中用于识别服务器对应的节点。 节点可以通过指定集群名字来加入到集群中。默认情况,每个节点被设置成加入到 elasticsearch 集群。如果启动了多个节点,假设能自动发现对方,他们将会自动组建一个名为 elasticsearch 的集群。
索引(index):
一个索引就是一个拥有几分相似特征的文档的集合。比如说,你可以有一个客户数据的索引, 另一个产品目录的索引,还有一个订单数据的索引。一个索引由一个名字来标识(必须全部是小写 字母的),并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删除的时候,都要使 用到这个名字。在一个集群中,如果你想,可以定义任意多的索引。 索引相对于关系型数据库的库
类型(type) :
在一个索引中,你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区, 其语义完全由你来定。通常,会为具有一组共同字段的文档定义一个类型。比如说,我们假设你运 营一个博客平台并且将你所有的数据存储到一个索引中。在这个索引中,你可以为用户数据定义一 个类型,为博客数据定义另一个类型,当然,也可以为评论数据定义另一个类型。 类型相对于关系型数据库的表
文档(document) :
一个文档是一个可被索引的基础信息单元。比如,你可以拥有某一个客户的文档,某一个产品 的一个文档,当然,也可以拥有某个订单的一个文档。文档以 JSON(Javascript Object Notation)格 式来表示,而 JSON 是一个到处存在的互联网数据交互格式。 在一个 index/type 里面,只要你想,你可以存储任意多的文档。注意,虽然一个文档在物理上 位于一个索引中,实际上一个文档必须在一个索引内被索引和分配一个类型。 文档相对于关系型数据库的列
分片和副本(shards & replicas):
在实际情况下,索引存储的数据可能超过单个节点的硬件限制。如一个 10 亿文档需 1TB 空间 可能不适合存储在单个节点的磁盘上,或者从单个节点搜索请求太慢了。为了解决这个问题, elasticsearch 提供将索引分成多个分片的功能。当在创建索引时,可以定义想要分片的数量。每一个 分片就是一个全功能的独立的索引,可以位于集群中任何节点上
分片的两个最主要原因:
- 水平分割扩展,增大存储量
- 分布式并行跨分片操作,提高性能和吞吐量
副本也有两个最主要原因:
- 高可用性,以应对分片或者节点故障。出于这个原因,分片副本要在不同的节点上
- 提供性能,增大吞吐量,搜索可以并行在所有副本上执行。
总之,每个索引可以被分成多个分片。
logstash介绍
Logstash 由 JRuby 语言编写,基于消息(message-based)的简单架构,并运行在 Java 虚拟 机(JVM)上。不同于分离的代理端(agent)或主机端(server),LogStash 可配置单一的代理 端(agent)与其它开源软件结合,以实现不同的功能
Logstash 的理念很简单,它只做 3 件事情:
- Collect:数据输入
- Enrich:数据加工,如过滤,改写等
- Transport:数据输出
logStash 的主要组件:
- Indexer:日志存储者。 负责接收日志并写入到本地文件
- Broker:日志 Hub。 负责连接多个 Shipper 和多个 Indexer
- Search and Storage:允许对事件进行搜索和存储;
- Web Interface:基于 Web 的展示界面 正是由于以上组件在 LogStash 架构中可独立部署,才提供了更好的集群扩展性
LogStash 主机分类:
- 代理主机(agent host):作为事件的传递者(shipper),将各种日志数据发送至中心主机; 只需运行 Logstash 代理(agent)程序
- 中心主机(central host):可运行包括中间转发器(Broker)、索引器(Indexer)、搜索和 存储器(Search and Storage)、Web 界面端(Web Interface)在内的各个组件,以实现对日 志数据的接收、处理和存储
Kibana 介绍
Kibana 是一个针对 Elasticsearch 的开源分析及可视化平台,用来搜索、查看交互存储在 Elasticsearch 索引中的数据
使用 Kibana,可以通过各种图表进行高级数据分析及展示。Kibana 让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard) 实时显示 Elasticsearch 查询动态。设置 Kibana 非常简单。无需编写代码,几分钟内就可以完成 Kibana 安装并启动 Elasticsearch 索引监测。
主要功能:
- Elasticsearch 无缝之集成
- 整合你的数据
- 复杂数据分析
- 让更多团队成员受益
- 接口灵活,分享更容易
- 配置简单
- 可视化多数据源
- 简单数据导出
配置 ELK 日志分析系统 :
环境准备:
ELK-node1 | 192.168.1.10 |
ELK-node2 | 192.168.1.20 |
apache | 192.168.1.30 |
操作步骤:
配置主机名,并配置名称解析:
elk-node1配置:
[root@localhost ~]# hostnamectl set-hostname elk-node1
[root@localhost ~]# bash
[root@elk-node1 ~]# vim /etc/hosts
[root@elk-node1 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.10 elk-node1
192.168.1.20 elk-node2
elk-node2配置:
[root@localhost ~]# hostnamectl set-hostname elk-node2
[root@localhost ~]# bash
[root@elk-node1 ~]# vim /etc/hosts
[root@elk-node1 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.10 elk-node1
192.168.1.20 elk-node2
需要java环境:
[root@elk-node1 ~]# java -version
openjdk version "1.8.0_102"
OpenJDK Runtime Environment (build 1.8.0_102-b14)
OpenJDK 64-Bit Server VM (build 25.102-b14, mixed mode)
[root@elk-node2 ~]# java -version
openjdk version "1.8.0_102"
OpenJDK Runtime Environment (build 1.8.0_102-b14)
OpenJDK 64-Bit Server VM (build 25.102-b14, mixed mode)
安装 elasticsearch ,两个节点操作一样:
通过rpm方式进行安装:
[root@elk-node1 ~]# rpm -ivh elasticsearch-5.5.3.rpm
配置成系统服务并设置自动开机启动:
[root@elk-node1 ~]# systemctl daemon-reload
[root@elk-node1 ~]# systemctl enable elasticsearch.service
更改配置文件:
[root@elk-node1 ~]# vim /etc/elasticsearch/elasticsearch.yml
[root@elk-node1 ~]# grep -v ^# /etc/elasticsearch/elasticsearch.yml | grep -v ^$
cluster.name: my-elk-cluster //群集名称
node.name: elk-node1 //节点名称
path.data: /data/elk_data //数据存放路径
path.logs: /var/log/elasticsearch/ //日志存放路径
bootstrap.memory_lock: false //在启动时不锁定内存
network.host: 192.168.1.10 //提供服务绑定的IP
http.port: 9200 //侦听端口
discovery.zen.ping.unicast.hosts: ["elk-node1", "elk-node2"] //声名群集中的节点,集群发现通过单播实现
[root@elk-node2 ~]# grep -v ^# /etc/elasticsearch/elasticsearch.yml | grep -v ^$
cluster.name: my-elk-cluster
node.name: node-2
path.data: /data/elk_data
path.logs: /var/log/elasticsearch/
bootstrap.memory_lock: false
network.host: 192.168.1.20
http.port: 9200
discovery.zen.ping.unicast.hosts: ["elk-node1", "elk-node2"]
创建数据存放路径并授权:
[root@elk-node1 ~]# mkdir -p /data/elk_data
[root@elk-node1 ~]# mkdir -p /var/log/elasticsearch/
[root@elk-node1 ~]# chown -R elasticsearch:elasticsearch /data/elk_data/
[root@elk-node1 ~]# chown -R elasticsearch:elasticsearch /var/log/elasticsearch/
[root@elk-node1 ~]# /etc/init.d/elasticsearch start //启动的时候比较慢,请耐心等待
查看是否开启:
[root@elk-node1 ~]# netstat -anput | grep 9200
tcp6 0 0 192.168.1.10:9200 :::* LISTEN 3137/java
[root@elk-node2 ~]# netstat -anput | grep 9200
tcp6 0 0 192.168.1.20:9200 :::* LISTEN 3209/java
查看节点信息:
[root@elk-node1 ~]# curl 192.168.1.10:9200
[root@elk-node1 ~]# curl 192.168.1.20:9200
查看群集的健康状态:
可以看到status为green绿色
[root@elk-node2 ~]# curl 192.168.1.10:9200/_cluster/health?pretty
以上方式查看集群状态都不是很直观,可以安装 elasticsearch-head 插件,以方便管理集群
安装elasticsearch-head 插件:
首先安装nodejs:
[root@elk-node1 ~]# tar -xf node-v12.13.0-linux-x64.tar.xz
[root@elk-node1 ~]# mv node-v12.13.0-linux-x64 /usr/local/nodejs
[root@elk-node1 ~]# vim /etc/profile
添加:
VERSION=v10.15.0
DISTRO=linux-x64
export PATH=/usr/local/nodejs/bin:$PATH
[root@elk-node1 ~]# source /etc/profile
安装es-head:
[root@elk-node1 ~]# git clone https://github.com/mobz/elasticsearch-head.git
[root@elk-node1 ~]# cd elasticsearch-head/
[root@elk-node1 elasticsearch-head]# npm config set registry https://registry.npm.taobao.org
[root@elk-node1 elasticsearch-head]# npm config get registry
https://registry.npm.taobao.org/
[root@elk-node1 elasticsearch-head]# npm install
[root@elk-node1 elasticsearch-head]# npm install phantomjs-prebuilt@2.1.14 --ignore-scripts
[root@elk-node1 elasticsearch-head]# npm run start & //在后台运行
[root@elk-node1 elasticsearch-head]# netstat -anput | grep 9100
tcp 0 0 0.0.0.0:9100 0.0.0.0:* LISTEN 4236/grunt
修改 elasticsearch 主配置文件,添加如下内容,然后重启 elasticsearch 服务 :
[root@elk-node1 ~]# vim /etc/elasticsearch/elasticsearch.yml
在最后添加:
http.cors.enabled: true //开启跨域访问支持,默认为 false
http.cors.allow-origin: "*" //跨域访问允许的域名地址
[root@elk-node1 ~]# /etc/init.d/elasticsearch restart
浏览器访问:
http://192.168.1.10:9100
插入一个测试索引,索引为 index-demo,类型为 test,可以看到成功创建:
[root@elk-node1 ~]# curl -XPUT '192.168.1.20:9200/index-demo/test/1?pretty&pretty' -H 'Content-Type: application/json' -d '{ "user": "zhangsan","mesg":"hello world" }'
刷新浏览器就可以看到:
这里可以看到默认被分片 5 个,且副本为 1 个
安装logstash:
[root@elk-node1 ~]# rpm -ivh logstash-5.5.3.rpm
[root@elk-node1 ~]# systemctl start logstash.service
[root@elk-node1 ~]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
logstash 基本使用 :
Logstash 使用管道方式进行日志的搜集处理和输出。有点类似 linux 系统的管道命令 xxx | ccc
| ddd,xxx 执行完了会执行 ccc,然后执行 ddd
在 logstash 中,包括了三个阶段:
输入 input --> 处理 filter(不是必须的) --> 输出 output
logstash 命令行中常用的命令:
-f:通过这个命令可以指定 Logstash 的配置文件,根据配置文件配置 logstash
-e:后面跟着字符串,该字符串可以被当做 logstash 的配置(如果是“” 则默认使用 stdin作为输入,stdout 作为输出)
-t:测试配置文件是否正确,然后退出
启动一个 logstash,-e:在命令行执行;input 输入,stdin 标准输入,是一个插件;output 输出,stdout:标准输出
[root@elk-node1 ~]# logstash -e 'input { stdin{} } output { stdout{} }'
16:14:44.840 [Api Webserver] INFO logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com //输入
2019-11-06T08:14:55.581Z elk-node1 www.baidu.com //输出
www.taobao.com //输入
2019-11-06T08:15:03.454Z elk-node1 www.taobao.com //输出
使用 rubydebug 显示详细输出,codec 为一种编解码:
[root@elk-node1 ~]# logstash -e 'input { stdin{} } output { stdout{ codec =>rubydebug} }'
www.souhu.com //输入
{
"@timestamp" => 2019-11-06T08:18:05.367Z,
"@version" => "1",
"host" => "elk-node1",
"message" => "www.souhu.com"
}
wwww.goole.com //输入
{
"@timestamp" => 2019-11-06T08:18:16.675Z,
"@version" => "1",
"host" => "elk-node1",
"message" => "wwww.goole.com
使用 logstash 将信息写入到 elasticsearch 中:
[root@elk-node1 ~]# logstash -e 'input { stdin{} } output { elasticsearch { hosts=> ["192.168.1.10:9200"]} }'
16:19:40.646 [[main]-pipeline-manager] INFO logstash.pipeline - Pipeline main started
The stdin plugin is now waiting for input:
16:19:40.682 [Api Webserver] INFO logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com
www.goole.com
www.souhu.com
www.taobao.com
刷新浏览器就能看到logstash 新加的索引 :
logstash 配置文件使用 :
logstash 配置文件基本上由三部分组成,input、output 以及用户需要才添加的 filter
格式如下:
input {...}
filter {...}
output {...}
在每个部分中,也可以指定多个访问方式,例如我想要指定两个日志来源文件,则可以这样写:
input {
file { path =>"/var/log/messages" type =>"syslog"}
file { path =>"/var/log/apache/access.log" type =>"apache"}
}
收集系统日志,将将其放到/etc/logstash/conf.d/目录中:
[root@elk-node1 ~]# chmod o+r /var/log/messages
[root@elk-node1 ~]# cd /etc/logstash/conf.d/
[root@elk-node1 conf.d]# vim system.conf
input {
file { //从文件中读取
path => "/var/log/messages" //文件路径
type => "system"
start_position => "beginning" //是否从头开始读取
}
}
output {
elasticsearch { //输出到 elasticsearch 中
hosts => ["192.168.1.10:9200"] //elasticsearch 主机地址和端口
index => "system-%{+YYYY.MM.dd}" //索引名称
}
}
再刷新浏览器就能看到:
安装kibana:
在 elk-node1 服务器上安装:
[root@elk-node1 conf.d]# rpm -ivh kibana-5.5.3-x86_64.rpm
[root@elk-node1 conf.d]# systemctl enable kibana.service
[root@elk-node1 conf.d]# vim /etc/kibana/kibana.yml
[root@elk-node1 conf.d]# grep -v "^#" /etc/kibana/kibana.yml | grep -v "^$"
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.url: "http://192.168.1.10:9200"
kibana.index: ".kibana"
[root@elk-node1 conf.d]# systemctl start kibana.service
使用浏览器访问:
http://192.168.1.10:5601
第一次登录需要先加一个elasticsearch 索引
将 apache 服务器的日志添加到 elasticsearch 并通过 kibana 显示
在 apache 服务器上安装 logstash,以便将日志搜集到 elasticsearch :
[root@localhost ~]# yum -y install httpd
[root@localhost ~]# vim /var/www/html/index.html //随便写点东西
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# rpm -ivh logstash-5.5.3.rpm
[root@localhost ~]# systemctl enable logstash.service
编写 logstash 配置文件 apache_log.conf 搜集 apache 日志并执行:
[root@localhost ~]# cd /etc/logstash/conf.d/
[root@localhost conf.d]# vim apache_log.conf
input {
file {
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file {
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.1.10:9200"]
index => "apache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.1.10:9200"]
index => "apache_error-%{+YYYY.MM.dd}"
}
}
}
[root@localhost conf.d]# /usr/share/logstash/bin/logstash -f apache_log.config
再刷新浏览器查看:
登录 kibana 添加索引:
选择 discover 进行查看: