秒懂!ELK日志分析系统

最新推荐文章于 2022-07-08 08:28:12 发布
最新推荐文章于 2022-07-08 08:28:12 发布
阅读量1.3k 收藏
点赞数
分类专栏: Linux系统管理 web服务器 文章标签: elk 分布式 可视化 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48191082/article/details/109367133
版权

**

ELK日志分析系统简介

**Elasticsearch
是一个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。详细可参考 Elasticsearch 权威指南
Logstash
主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为 c/s 架构,client 端安装在需要收集日志的主机上,server 端负责将收到的各节点日志进行过滤、修改等操作在一并发往 Elasticsearch 上去。
Kibana
Kibana 可以为 Logstash 和 ElasticSearch 提供一个针对Elasticsearch的开源分析及可视化平台,通过各种图表进行高级数据分析及展示,可以帮助汇总、分析和搜索重要数据日志。

日志处理步骤
将日志进行集中化管理
将日志格式化( Logstash )并输出到Elasticsearch
对格式化后的数据进行索引和存储( Elasticsearch )
前端数据的展示( Kibana )

部署ELK日志分析系统
1、需求描述
配置ELK日志分析群集
使用Logstash收集日志
使用Kibana查看分析日志

Elasticsearch的核心概念
接近实时 :响应速度非常的快,从索引一个文档直到能够被搜索到只有一个轻微的延迟(通常是1s)
集群 :群集就是由一个或多个节点组织在一起,在所有的节点上存放用户数据,并一起提供索引和搜索功能。
节点 :是指一台单一的服务器,多个节点组织为一个群集,每个节点都存储数据并参与群集的索引和搜索功能。
索引:类似于关系型数据库中的“库”,当索引一个文档后,就可以使用elasticsearch搜索到该文档,也可以简单地将索引理解为存储数据库的地方,可以方便地进行全文索引。
●索引(库)→>类型(表)→>文档(记录)·
分片和副本:集群索引中可能由多个分片构成,并且每个分片可以拥有多个副本,将一个单独的索引分为多个分片,可以处理不能在单一服务器上运行的大型索引.

Elasticsearch部署
设置主机名

[root@promote ~]# hostnamectl set-hostname node1
[root@promote ~]# su
[root@node1 ~]# vi /etc/hosts
192.168.10.10 node1
192.168.10.20 node2

两节点安装Elasticsearch相关软件包

[root@node1 ~]# ls   ##查看rpm包
……  elasticsearch-5.5.0.rpm 
[root@node1 ~]# rpm -ivh elasticsearch-5.5.0.rpm   ##rpm安装
[root@node1 ~]# systemctl daemon-reload    ##重载系统参数
[root@node1 ~]# systemctl enable elasticsearch.service   ##开机自启

修改ES配置文件

[root@node1 ~]# cd /etc/elasticsearch/
[root@node1 elasticsearch]# cp -p elasticsearch.yml elasticsearch.yml-bak  ##带属性备份配置文件
[root@node1 elasticsearch]# vim elasticsearch.yml
'17行//'  cluster.name: my-elk-cluster   ##群集名称,自定义,但要保持两个节点相同
'23行//'  node.name: node1               ##节点名称,节点间唯一有区别的地方,不能相同
'33行//'  path.data: /data/elk_data      ##数据存放位置,需要手动创建
'37行//'  path.logs: /var/log/elasticsearch/   ##日志存放位置,安装时自动建好了
'43行//'  bootstrap.memory_lock: false  
                      ##内存加固,true表示允许将溢出的内存保存到swap缓存中,false则表示不允许
'55行//'  network.host: 0.0.0.0       ##监听地址,写任意网段
'59行//'  http.port: 9200  ##开启9200端口
'68行//'  discovery.zen.ping.unicast.hosts: ["node1", "node2"]  ##群集内部通讯使用的是非广播包的形式,”[ ]”内写节点名称
[root@node1 elasticsearch]# grep -v "^#" /etc/elasticsearch/elasticsearch.yml 
                    ##可以反向过滤出我们配置的信息,默认文件内所有信息都被注释掉了
cluster.name: my-elk-cluster
node.name: node1
path.data: /data/elk_data
path.logs: /var/log/elasticsearch/
bootstrap.memory_lock: false
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: ["node1", "node2"]

创建数据目录,并改变属性,启动Elasticsearch

[root@node1 ~]# mkdir -p /data/elk_data   ##创建数据存放目录
[root@node1 ~]# id elasticsearch  ##安装时,系统自动创建了elasticsearch用户,可以使用id命令查看 
          
uid=990(elasticsearch) gid=985(elasticsearch) groups=985(elasticsearch)
[root@node1 ~]# chown elasticsearch.elasticsearch /data/elk_data  ##改变属性
[root@node1 elasticsearch]# systemctl start elasticsearch  ##启动elasticsearch服务
[root@node1 elasticsearch]# netstat -anupt |grep 9200   ##启动较慢,可能要等几秒
tcp6       0      0 :::9200                 :::*                    LISTEN      38188/java

ES访问测试

192.168.100.110:9200 节点1 node1
在这里插入图片描述

192.168.100.100:9200 节点2 node2在这里插入图片描述
查看集群节点状态信息
http://192.168.100.100:9200/_cluster/state?pretty
在这里插入图片描述
安装elasticsearch-head插件
首先安装node组件依赖包

[root@node1 elasticsearch]# yum -y install gcc gcc-c++ make
[root@node2 ~]# ls
 node-v8.2.1.tar.gz  
……省略部分
[root@node1 ~]# tar zxvf node-v8.2.1.tar.gz  ##解压
[root@node1 ~]# cd node-v8.2.1/
[root@node1 node-v8.2.1]# ./configure   
[root@node1 node-v8.2.1]# make -j3 && make install

安装phantomjs前端框架

[root@node1 ~]# ls
……省略部分
  phantomjs-2.1.1-linux-x86_64.tar.bz2 
[root@node1 ~]# tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2
[root@node1 ~]# cd phantomjs-2.1.1-linux-x86_64/bin/   ##/bin目录下有执行脚本
[root@node1 bin]# ls
phantomjs
[root@node1 bin]# cp phantomjs /usr/local/bin/

安装elasticsearch-head,数据的可视化工具

[root@node1 ~]# ls
……省略部分
 elasticsearch-head.tar.gz 
[root@node1 ~]# tar zxvf elasticsearch-head.tar.gz
[root@node1 ~]# cd elasticsearch-head/
[root@node1 elasticsearch-head]# npm install  ##npm是一种前端工具

修改ES配置文件

[root@node1 ~]# vim /etc/elasticsearch/elasticsearch.yml
http.cors.enable: true     ##在末尾插入这两行,自动开启
http.cors.allow-origin: "*"     ##允许任意域名访问
[root@node1 ~]# systemctl restart elasticsearch.service

启动elasticsearch-head(npm方式启动)

[root@node1 ~]# cd /root/elasticsearch-head/
[root@node1 elasticsearch-head]# npm run start &   ##使用npm后台启动
[root@node1 elasticsearch-head]# netstat -lnuapt |grep 9100  
tcp        0      0 0.0.0.0:9100            0.0.0.0:*               LISTEN

部署Logstash日志采集器

[root@logstash ~]# ls   ##查看相关软件包
……省略部分
 logstash-5.5.1.rpm
[root@logstash ~]# rpm -ivh logstash-5.5.1.rpm ##安装Logstash软件包
[root@logstash ~]# rpm -qc logstash   ##查看logstash配置文件位置
/etc/logstash/jvm.options
/etc/logstash/logstash.yml
/etc/logstash/startup.options
[root@logstash ~]# systemctl start logstash.service   ##开启logstash日志收集器
[root@logstash ~]# systemctl enable logstash.service   ##开机自启
[root@logstash ~]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/  ##建立软连接

将logstash的信息输出到Elasticsearch

[root@logstash ~]# logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.100.10:9200"] } }'
 ……省略部分
13:23:21.475 [[main]-pipeline-manager] INFO  logstash.pipeline - Pipeline main started
The stdin plugin is now waiting for input:
13:23:21.568 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
    ##提示成功开启了logstash的接口,接下来就可以输入数据到ES中显示了
www.baidu.com   ##插入数据

访问ES验证对接情况Elasticsearch 192.168.100.100:9100(在生产环境中一般都是访问Keepalived的VIP地址)

Logstash收集对接ES

[root@logstash ~]# chmod o+r /var/log/messages   ##授予系统日志给其他用户读取的权限
[root@logstash ~]# cd /etc/logstash/conf.d/   ##进入/etc/logstash/conf.d/下创建配置文件
[root@logstash conf.d]# vi system.conf   ##编写配置,可以编写多个,每个采集一大类日志,配置文件名称自定义,但是必须要以 .conf 结尾
input {
        file{           ##输入点是文件
        path => "/var/log/messages"     ##采集的文件位置
        type => "system"        ##设置标签
        start_position => "beginning"     ##采集开始位置,从开头开始
        }
}

output {
        elasticsearch{        ## 输出点是ES
        hosts => ["192.168.10.10:9200"]   ##ES的主机地址及端口,生产环境用的是VIP地址,而不是单个节点地址
        index => "system-%{+YYYY.MM.dd}"     ##ES索引的形式,‘-年月日’的形式
        }
}

重启logstash服务

[root@logstash ~]systemctl restart logstash

访问 192.168.100.100:9100
在这里插入图片描述
部署Kibana
在node1上部署

[root@node1 ~]# cd /usr/local/src/   ##Kibana的rpm包直接放在了src/目录下
[root@node1 src]# ls   ##查看软件包
kibana-5.5.1-x86_64.rpm
[root@node1 src]# rpm -ihv kibana-5.5.1-x86_64.rpm
[root@node1 src]# cd /etc/kibana/
[root@node1 kibana]# cp -p kibana.yml kibana.yml.bak   ##保留属性备份配置文件
[root@node1 kibana]# vim kibana.yml
2 行//  server.port: 5601   ##开启5601端口
7 行//  server.host: "0.0.0.0"   ##设置监听主机地址为0.0.0.0,任意地址
21行//  elasticsearch.url: "http://192.168.10.10:9200"   ##指定ES的访问地址,真是环境为VIP地址
30行//  kibana.index: ".kibana"    ##开启Kibana索引
[root@node1 kibana]# systemctl restart kibana.service

访问Kibana 192.168.100.100:5601
在这里插入图片描述
在这里插入图片描述

高性能零售IT系统的建设01-一场HTTP组件引发的血灾
lifetragedy的专栏
10-07 1431
项目中大量对内、对外都使用restful api,简单的HTTP竟然引起了HTTP“风暴”。导致了系统整体吞吐量上不去、时不时会“耦尔卡一下”,经过调研结果发觉是项目中的HTTP组件使用在作怪。
家乐福618保卫战二-零售O2O场景中的万级并发交易情况下的极限性能调优
lifetragedy的专栏
10-05 1388
结合了3个大规模全渠道零售中台从0到1建设的实例,全景、深入式介绍零售电商场景中当面临每万级并发时的系统调优知识。这个系列可以帮助普通程度员们深刻的意识到平时工作中到底还有什么不足以及如何进一步进化成真正意义上的架构师、CTO的道路是如何走的。其内容涉及微服务、云原生、IT体系化建设、攻城狮团队文化建设的系统理论及实战。即深入到了单个技术讲解也深入剖析如何建设一支有战斗力的IT团队的实战经验。
ELK企业级日志分析系统概述及部署(图文详解)
weixin_51613313的博客
03-05 907
主机 操作系统 IP地址 软件 node1 Centos7.4 192.168.153.10 Elasticsearch Kibana node2 Centos7.4 192.168.153.20 Elasticsearch apache Centos7.4 192.168.153.30 Logstash Apache 宿主机 Windows 192.168.153.1 ①关闭防火墙及安全机制 systemctl stop firewalld.service seten...
ELK 日志分析系统
weixin_34302798的博客
10-08 615
大纲:一、简介二、Logstash三、Redis四、Elasticsearch五、Kinaba一、简介1、核心组成ELK由Elasticsearch、Logstash和Kibana三部分组件组成;Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash...
ELK日志分析系统详细讲解&&实验部署
CN_LiTianpeng的博客
10-29 2497
ELK日志分析系统简介ELK日志分析系统的组成部分:日志处理步骤Elasticsearch介绍Elastcsearch概述Elasticsearch的核心概念Logstash介绍概述相关组件LogStash主机分类:Kibana介绍概述Kibana的主要功能部署ELK日志分析系统 ELK日志分析系统简介 ELK日志分析系统的组成部分: Elasticsearch Logstash Kibana 日志处理步骤 将日志进行集中化管理 将日志格式化(Logstash)并输出到Elasticsearch .
ELK 企业级日志分析系统(理论加实战部署详解)
Chenwei的博文
03-03 1529
ELK 企业级日志分析系统(理论加实战部署详解) 文章目录一、ELK 概述1.1 ELK 的工作原理二、部署详解(一)、ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)(二)、 ELK Logstash 部署(在 Apache 节点上操作)(三)、 ELK Kiabana 部署(在 Node1 节点上操作) 安装包:ELK安装包 一、ELK 概述 ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana三个开源工具配合使用,
ELK日志分析系统概述及部署
m0_64651064的博客
05-04 249
目录 一、ELK日志分析系统 二、Elasticsearch概述 三、LogStash概述 四、Kibana概述 五、部署ELK日志分析系统 1、实验需求 2、环境配置 3、配置elasticsearch环境(node1、node2) 1、此时可真机访问,查看节点信息 2、真机检测集群健康、查看集群状态 4、 安装elasticsearch-head插件 5、安装logstash 1、使用logstash将信息写入elasticsearch中,输入 输出 对接 6、在..
elk7.10.2安装(vm版)
leveretz的博客
02-18 414
elk7.10.2分布式集群安装(centos7) ELK安装 主机规划 192.168.31.101 cancer01 es master/es datanode/logstash 192.168.31.102 cancer02 es master/es datanode/logstash 192.168.31.103 cancer03 es master/es datanode/logstash/kibana ...
apm飞控日志怎么看_APM,日志和BI:这三个方面的应用程序监视您看不到的内容...
danpu0978的博客
05-25 1057
apm飞控日志怎么看 建立一个完整的监控仪表板的追求正在达到顶峰,您的工具希望帮助您实现它 在过去的几个月中,我们深入了解了应用程序性能监视工具以及日志管理工具/分析器的领域,以更好地了解如何使用从中获取的数据。 尽管这不是一个新趋势,但似乎最近的公司已经意识到这两个要素是密不可分的,应该将它们组合在一起。 在下面的文章中,我们将尝试了解此举背后的动机,产品中的内容以及它是否确实是完整...
ELK-日志分析系统
热门推荐
二十同学
09-23 5万+
为什么要建立日志分析系统: 当我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。 解决办法是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构
ELK日志分析系统概述及部署(图文详解)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
03-04 3396
文章目录一、ELK日志分析系统1、日志服务器2、日志处理步骤二、Elasticsearch概述1、Elasticsearch特性三、LogStash概述1、LogStash主要组件四、Kibana概述1、Kibana主要功能五、部署ELK日志分析系统1、实验需求2、环境配置 一、ELK日志分析系统 ELK有三部分组成 E:Elasticsearch L:Logstash K:Kibana 1、日志服务器 优点 提高安全性 集中化管理 缺点 对日志分析困难 2、日志处理步骤 1、将日志进行集中化管理
搭建ELK日志分析系统详解
小健健的博客
09-28 2839
日志分析是运维工程师解决系统故障、发现问题的主要手段。日志包含多种类型,包括程序日志、系统日志以及安全日志等。通过对日志的分析,既可以做到未雨绸缪、预防故障的发生,又可以在故障发生时,寻找蛛丝马迹、快速定位故障点。管理员也可以通过体制了解到服务器的软件信息、硬件信息、服务器负荷以及安全性相关的信息,如服务器是否被攻击、磁盘空间是否即将耗尽、内存是否严重不足等。通过这些分析,管理员可以及时采取措施。...
ELK 日志分析系统的部署
Kiro君的博客
07-08 508
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、 Logstash 和Kiabana三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch: 是基于Lucene (一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Logstash: 作为数据收集引擎。 它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析 、丰富、统一格式等操作,然后存储到用户指定的位置,一般会发送给Elasticsearch。Kiabana: 是
ELK日志分析系统部署
LS19990712的博客
12-19 455
⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ ⭐ELK日志分析系统简介⭐ (1)日志服务器 提高安全性 集中存放日志 缺陷:对日志的分析困难 收集数据:LogstashAgent 建立索引:ElasticSearchCluster ...
手把手教你搭建ELK日志分析系统
"快速搭建ELK日志分析系统,包括Elasticsearch、Logstash和Kibana的核心组件,用于日志收集、分析和可视化。Elasticsearch是一个强大的搜索和分析引擎,Logstash处理各种日志源,而Kibana则提供图形化界面。" 在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值