Elasticstack-日志分析平台

最新推荐文章于 2024-08-28 22:46:30 发布
置顶 最新推荐文章于 2024-08-28 22:46:30 发布
阅读量332 收藏
点赞数 1
文章标签: linux kafka centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47919821/article/details/120901315
版权

 

# ElasticStack-日志分析平台

## 1.Filebeat

```shell
vim  /etc/hosts
ip1 dijia
ip2 meimei
ip3 biaobei
```

### Filebeat安装

 ```shell
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.13.2-linux-x86_64.tar.gz
tar xzcf filebeat-7.13.2-linux-x86_64.tar.rz -C /usr/local
mv /usr/local/filebeat-7.13.2-linux-x86_64 /usr/local/filebeat
 ```

Filebeat启动管理

1.前台运行 

采用前台运行的方式查看Filebeat获取的日志结果 

2.后台运行 

使用nohup方式启动Filebeat到后台,日志结果可查看nohup.out文件 

使用systemd管理的后台方式启动Filebeat进程不能查看输出日志,**测试阶段勿用** 

配置systemd方式的Filebeat启动管理文件

```shell
vim /usr/lib/systemd/system/filebeat.service 
[Unit]
Description=Filebeat sends log files to Logstash or directly to Elasticsearch. 
Wants=network-online.target
After=network-online.target
[Service]
ExecStart=/usr/local/filebeat/filebeat -c /usr/local/filebeat/filebeat.yml
Restart=always
[Install]
WantedBy=multi-user.target

# systemctl daemon-reload # systemctl start filebeat
```

### 配置Filebeat输出到kafka

```shell
vim /usr/local/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true #改
  paths: 
    - /tmp/*.log #改 指定需要收集日志的路径,支持通配符可以写多个
filebeat.config.modules:# 内置的收集日志的模块配置文件的存放路径
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false # 当模块的配置文件有更新时,此程序是否要自动加载,false不加载,true 加载
setup.template.settings:
  index.number_of_shards: 1
# 修改输出目标为kafka集群
output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ["dijia:9092", "meimei:9092", "meimei:9092"]
  
  topic: 'nginx'
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
```

## 2.配置Kafka集群

高吞吐量:kafka每秒可以处理几十万条消息。 

可扩展性:kafka集群支持热扩展- 持久性、 

可靠性:消息被持久化到本地磁盘,并且支持数据备份防止数据丢失 

容错性:允许集群中节点失败(若副本数量为n,则允许n-1个节点失败) 

高并发:支持数千个客户端同时读写 

它主要包括以下组件 :话题(Topic)、生产者(Producer)、消费者(Consumer)、中间人(Broker)、区(partition):每个 topic 包含一个或多个 partition。 

replication:partition 的副本,保障 partition 的高可用。 

leader:replica 中的一个角色, producer 和 consumer 只跟 leader 交互。 

follower:replica 中的一个角色,从 leader 中复制数据。 

zookeeper:kafka 通过 zookeeper 来存储集群的信息。

**ZooKeeper**是一个分布式协调服务,它的主要作用是为分布式系统提供一致性服务,提供的功能包括:配置维护、分布式同步等。**Kafka的运行依赖ZooKeeper**

### **安装kafka**

### **安装kafka**

```shell
yum install -y java-1.8.0-openjdk
wget https://mirrors.tuna.tsinghua.edu.cn/apache/kafka/2.8.0/kafka_2.12-2.8.0.tgz
tar xzvf kafka_2.12-2.8.0.tgz -C /usr/local/
mv /usr/local/kafka_2.12-2.8.0/ /usr/local/kafka/
```

### **配置ZOOKEEPER**

```shell
sed -i 's/^[^#]/#&/' /usr/local/kafka/config/zookeeper.properties
vim /usr/local/kafka/config/zookeeper.properties	#添加如下配置
dataDir=/opt/data/zookeeper/data	# 需要创建,所有节点一致
dataLogDir=/opt/data/zookeeper/logs	# 需要创建,所有节点一致
clientPort=2181	#客户端连接ZK服务的端口
tickTime=2000	#ZK服务器之间或客户端与服务器之间维持心跳的时间间隔。
initLimit=20	#允许follower连接并同步到Leader的初始化连接时间,当初始化连接时间超过该值,则表示连接失败。
syncLimit=10	#Leader与Follower之间发送消息时如果follower在设置时间内不能与leader通信,那么此follower将会 被丢弃。
# 以下 IP 信息根据自己服务器的 IP 进行修改
server.1=ip1:2888:3888	#//kafka集群IP:Port
server.2=ip2:2888:3888
server.3=ip3:2888:3888	#2888是follower与leader交换信息的端口,3888是当leader挂了时用来执 行选举时服务器相互通信的端口。
```

创建data、log目录 
mkdir -p /opt/data/zookeeper/{data,logs} 

创建myid文件 

echo 1 > /opt/data/zookeeper/data/myid #myid号按顺序排

**其他机器如上配置**:只需更改myid序号

### 配置kafka

```shell
sed ‐i 's/^[^#]/#&/' /usr/local/kafka/config/server.properties
vim /usr/local/kafka/config/server.properties #在最后添加
broker.id=1	#每一个broker在集群中的唯一标识
listeners=PLAINTEXT://ip1:9092	#监听地址
num.network.threads=3	#broker 处理消息的最大线程数,一般情况下不需要去修改
num.io.threads=8	#broker处理磁盘IO 的线程数 ,数值应该大于你的硬盘数
socket.send.buffer.bytes=102400	#socket的发送缓冲区
socket.receive.buffer.bytes=102400	#socket的接收缓冲区
socket.request.max.bytes=104857600	#socket请求的最大数值,防止serverOOM,message.max.bytes必然要小于socket.request.max.bytes,会 被topic创建时的指定参数覆盖
log.dirs=/opt/data/kafka/logs	#日志文件目录
num.partitions=6	#
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=ip1:2181,ip2:2181,ip3:2181	#ZK主机地址,如果zookeeper是集群则以逗号隔开
zookeeper.connection.timeout.ms=6000	#连接到Zookeeper的超时时间。
group.initial.rebalance.delay.ms=0
```

**mkdir -p /opt/data/kafka/logs**

**其余机器如上配置**:只需更改broker-id、与ip.listens

启动zookeeeper、kafka

```shell
cd /usr/local/kafka
nohup bin/zookeeper-server-start.sh config/zookeeper.properties   &
nohup bin/kafka-server-start.sh config/server.properties & #后台运行
```

验证kafka

```shell
在ip1上创建topic-dijia
[root@es03 kafka]bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication‐factor 1 --partitions 1 --opic dijia
  Created topic "lijie".
在19.22上面查询ip2上的topic
[root@es03 kafka]bin/kafka-topics.sh --zookeeper 192.168.19.20:2181 --list
```

## 3.Logstash安装

```shell
curl -OL https://artifacts.elastic.co/downloads/logstash/logstash-7.13.2-linux-x86_64.tar.gz
tar -xf logstash-7.13.2-linux‐x86_64.tar.gz -C /usr/local/
mv /usr/local/logstash-7.13.2/ /usr/local/logstash
```

### 配置logstash从kafka获取数据输出到es集群

```shell
vim /usr/local/logstash/config/lijie.conf
input {
	kafka {
		type => "nginx_log"
		codec => "json"
		topics => ["nginx"]
		decorate_events => true
		bootstrap_servers => "ip1:9092, ip2:9092, ip3:9092"
		}
	}
filter {
	grok {
	match => { "message" => "%{COMBINEDAPACHELOG}" } 
		}
	}
output {
	stdout {}
	if [type] == "nginx_log" { #和上面的type一致
	elasticsearch {
	index => "%{[host][hostname]}-nginx-%{+YYYY.MM.dd}"
	codec => "json"
	hosts => ["ip1:9200","ip2:9200","ip3:9200"]
				}
		}
   } 
```

启动logstash

```shell
cd /usr/local/logstash
./bin/logstash -f config/dijia.conf --config.reload.automatic
```

## 3.ES集群

yum -y install elasticsearch‐7.10.0-linux-x86_64.rpm

tar -xf elasticsearch-7.10.0-linux-x86_64.rpm -C /usr/local/

日志消息:/var/log/elasticsearch/elasticsearch.log

### 在每个节点设置如下集群参数 

```shell
vim /usr/local/elasticsearch-7.10.0/config/elasticsearch.yml
cluster.name: xf	#集群名称
node.name: dijia-1	#节点名称
node.data: true	#指示节点是否为数据节点
network.host: 0.0.0.0	#绑定节点IP。
http.port: 9200	#监听端口
discovery.seed_hosts: #官方指定写法如下,3台机器一样
  - jiejie #节点1主机名称
  - ip2:9300
  - ip3
cluster.initial_master_nodes: ["dijia-1", "dijia-2", "dijia-3"] 
```

```shell
sysctl -w vm.max_map_count=262144 > /etc/sysctl.conf

sysctl -p
tail /etc/security/limits.conf
#@student 
#end of file 
####下面是添加的内容
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096

```

sysctl -w vm,max_map_count=262144 > /etc/sysctl.conf

sysctl -p

启动集群(按顺序启动):

```shell
systemctl daemon-reload

systemctl start elasticsearch.service
```

查看集群健康状态

```shell
curl -X GET "localhost:9200/_cat/health?v"
```

查看集群节点信息

```shell
curl -X GET "localhost:9200/_cat/nodes?v"
```

验证 Elasticsearch 集群中的索引 

```shell
curl -X GET "192.168.19.20:9200/_cat/indices"
```

## 4.安装es可视化窗口Kibana 

```shell
curl -L -O https://artifacts.elastic.co/downloads/kibana/kibana-7.13.2-linux-x86_64.tar.gz
tar xzvf kibana-7.13.2-linux‐x86_64.tar.gz -C /usr/local/
mv /usr/local/kibana-7.13.2-linux‐x86_64 /usr/local/kibana
```

### 配置主配置文件 

```shell
vim /usr/local/kibana/config/kibana.yml
server.port: 5601 #改
server.host: "0.0.0.0" #改
# 用于连接到 ES 集群的地址和端口
elasticsearch.hosts: ["http://ip1:9200"] #改
# 日志文件路径
# logging.dest: stdout
logging.dest: /var/log/kibana/kibana.log #改
# 设置页面的字体为中文
i18n.locale: "zh‐CN" #改
```

运行kabana通过普通用户运行

useradd ela
mkdir /run/kibana   /var/log/kibana/
chown ela.ela /run/kibana /var/log/kibana/ /usr/local/kibana ‐R
su ‐ ela
#运行于后台
nohup /usr/local/kibana/bin/kibana &
#####使用root运行
nohup /usr/local/kibana/bin/kibana ‐‐allow‐root &

尼古拉斯-邓
关注
Elastic Stack ELK日志分析平台介绍及使用
AI天才研究院
08-04 1515
18年,Elasticsearch、Logstash、Kibana(ELK)以及Apache Kafka等开源技术在数据处理和日志分析领域广受关注。作为一款开源分布式搜索和分析引擎,Elastic Stack 无疑是最热门的企业级日志解决方案之一。基于它的ELK组件架构可以快速搭建日志分析平台,支持复杂日志检索、提取、分析功能,具备强大的可视化能力,还可以通过RESTful API接口调用或Python客户端进行扩展。ELK是ELK Stack中的最后一环,用于将日志信息实时地收集、存储、分析并呈现给用户。
elasticsearch-8.1.2-windows-x86_64
04-02
Elastic Stack,又称ELK StackElasticsearch、Logstash、Kibana),是用于日志管理和分析的一整套解决方案: 1. **Logstash**:数据收集和预处理工具,可以从各种源收集数据,转换并发送到Elasticsearch。 2. **...
如何使用ElasticSearch自建日志系统
u013643074的博客
06-09 489
我们如何使用 Elasticsearch 实现自定义日志记录机制?我们自定义审计机制的方式
Elastic日志分析
最新发布
山兔的博客
08-28 1140
Elasticsearch 是在 Apache Lucene 上构建的分布式搜索和分析引擎。Elasticsearch常用于日志分析、全文搜索、安全智能、业务分析和运维智能使用案例。可以使用 JSON 文档形式或通过 API 等将数据发送到 Elasticsearch。Elasticsearch 自动存储原始文档,并在集群的索引中添加该文档的可搜索引用。然后,您就可以使用 Elasticsearch API 搜索和检索该文档。还可以利用可视化数据并构建交互式控制面板。
Elasticsearch及ELK使用(二):日志数据采集
zyplanke的专栏
06-26 4787
上一篇结束了Elasticsearch和kibana的安装和基本使用。本文介绍日志数据采集(也叫日志采集),涉及filebeat的软件和logstash软件。 本文分别介绍了从日志文件采集和从数据库(MySQL)中采集。
【详解】 ELK (ElasticStack) 实现日志监控
热门推荐
weixin_47255175的博客
05-10 1万+
目录 ElasticStack 介绍: Demo 实现 说在前面 案例实现流程图 创建Spring Boot 项目 项目部署、运行 Logstash配置 FileBeat配置 ES配置 Kibana配置 最终效果 前言 关于日志监控、日志管理,对于任何一个成型的系统来说都是必不可少的,之前使用Commons-IO实现过日志监控功能,实践告诉我们这个过程很繁琐,当然,并不是难实现的意思。最终是数据存在MongoDB,可是实际应用中一般没人选择这种方式。但听说ElasticS..
ELK 日志监控平台(一)- 快速搭建
AHAO的博客
05-18 6510
ELK(Elasticsearch, Logstash, Kibana)是一个目前主流的开源日志监控平台Elasticsearch:是一个开源的分布式搜索和分析引擎,可以用于全文检索、结构化检索和分析,它构建在Lucene搜索引擎库之上,是当前使用较为广泛的开源搜索引擎之一。Logstash:一个用于收集、处理和转发日志数据的数据处理管道。
最新版windows elasticsearch-8.7.0-windows-x86-64.zip
04-05
使用Elastic Stack可以实现从数据收集、传输到分析和展示的全链路解决方案,广泛应用于日志分析、监控、安全审计等领域。 总之,Elasticsearch 8.7.0的Windows版本为Windows用户提供了一个强大、高效的搜索和分析...
最新版windows elasticsearch-8.1.1-windows-x86_64.zip
03-24
- Elastic StackElasticsearch, Logstash, Kibana, Beats)共同构成ELK或Elastic Stack,为企业提供全面的数据管理和分析解决方案。 8. **最佳实践**: - 为提高性能,建议配置足够大的堆内存,并合理分配分片...
Ansible-elastic-stack-testing.zip
09-18
Elastic Stack,又称为ELK StackElasticsearch、Logstash、Kibana),是一组开源工具,主要用于日志管理和数据分析。 1. **Ansible**:Ansible是基于Python开发的,它采用无代理的架构,通过SSH连接目标节点进行...
最新版linux elasticsearch-7.17.1-linux-x86_64.tar.gz
03-02
Elasticsearch 7.17.1提供了强大的搜索和分析能力,尤其适合大规模日志分析、实时监控和大数据应用。在Linux环境下部署时,需要注意安全配置、资源管理和集群维护,以确保系统的稳定和高效运行。
Elasticsearch】——日志搜索引擎ES介绍及使用
汤庆
01-14 2602
一、前言 最近在做elasticsearch的工作,把搭建过程记录一下。 测试环境:ubuntu 16.04 二、安装ES 安装详解:官方文档 1、本地单节点安装 #1、获取安装包并解压 $ curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.5.1-lin...
ELK日志分析平台(一)----elasticsearch实战
qwerty1372431588的博客
03-09 322
elasticsearch1. 简介2. 安装与配置(用三台虚拟机,全部一样的配置,改一下主机名即可)2.1 修改配置文件,并启动服务2.2 查看日志排错3. 插件安装3.1 做免密3.2 确保三个节点属于一个集群(uuid保持一致) 1. 简介 - Elasticsearch 是一个开源的分布式搜索分析引擎,建立在一个全文搜索引擎库 Apache Lucene基础之上。 Elasticsearch 不仅仅是 Lucene,并且也不仅仅只是一个全文搜索引擎: 一个分布式的实时文档存储,每个字段 可以
Elasticsearch的使用
柒柒柒柒
05-08 2025
Elasticsearch的各种使用
ELK日志实时分析平台--Elastic
CMLXZL的博客
08-20 378
ELK日志实时分析平台概述环境搭建ElasticSearch安装 概述 日志统一手机、管理、访问。查找问题方便安全,收集放到搜索引擎中。E:ElasticSearch:分布式搜索引擎存储库,NoSql,核心是倒排索引库,可以存TB级的数据。 ElasticSearch 基于Lucene的分布式全文搜索框架,可以对logs进行分布式存储,有点像hdfs。此为ELK的核心组件,日志的分析以及存储全部由es完成 LogStash 可以流放到各自的服务器上收集Log日志,通过内置的ElasticSearch插件解
企业 Elasticsearch日志分析平台
Howei__的博客
06-12 943
Elasticsearch介绍 安装配置 添加图形界面 ES分布式部署 Logstash数据采集 kibana数据可视化 xpack安全验证
ELK——ElasticStack日志分析平台
611 - 菜鸟运维逆袭架构师之路
07-17 2020
ELK+Kafka构建高并发分布式日志收集系统集群前言kafkakafka特性kafka与ELK相关术语ELK+kafka实战Elasticsearch集群安装配置 前言 kafka 高吞吐量的分布式发布订阅消息系统 kafka特性 通过磁盘数据结构提供消息的持久化,这种结构对于即使数以TB的消息存储也能够保持长时间的稳定性能。 高吞吐量︰即使是非常普通的硬件Kafka也可以支持每秒数百万的消息。 支持通过Kafka服务器和消费机集群来分区消息。 kafka与ELK 业务层可以直接写入到kafka
2023最新ELK日志平台elasticsearch+logstash+kibana)搭建
yy的博客
07-04 9740
去年公司由于不断发展,内部自研系统越来越多,所以后来搭建了一个日志收集平台,并将日志收集功能以二方包形式引入自研系统,避免每个自研系统都要建立一套自己的日志模块,节约了开发时间,管理起来也更加容易。这篇文章主要介绍ELK最新版本的搭建,二方包的介绍可以看小霸王的另外一篇文章。Elasticsearch 是一个分布式、Restful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。
一步步在AWS上部署ElasticStack日志分析神器
在本文中,我们将深入探讨如何在Amazon Web Services (AWS) 上一步步安装Elastic Stack,这是一个由Elasticsearch、Logstash和Kibana组成的开源日志聚合和分析工具套件。Elasticsearch作为NoSQL数据库和搜索服务器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值