Linux运维番外篇 高效且清晰的日志分析系统--ELK日志系统

最新推荐文章于 2024-05-15 11:04:53 发布
最新推荐文章于 2024-05-15 11:04:53 发布
阅读量985 收藏 44
点赞数 14
文章标签: 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49172531/article/details/116666943
版权

文章目录

一、ELK日志分析系统的概念

组成

elk系统由三部分组成
Elasticsearch:提供了一个分布式多用户能力的全文搜索引擎
Logstash:一款强大的数据处理工具
Kibana:针对Elasticsearch的开源分析及可视化平台

优缺点

优点
提高安全性
集中化管理
缺点
日志分析困难

日志的处理过程

将日志进行集中化管理(beats)其中包含四个服务
Packetbeat(搜集网络流量数据)
Topbeat(搜集系统、进程和文件系统级别的CPU和内存使用情况等数据)
Filebeat(搜集文件数据)
Winlogbeat(搜集Windows事件日志数据)
将日志格式化(Logstash)并输出到Elasticsearch
对格式化后的数据进行索引和存储(Elasticsearch)
前端数据的展示(Kibana)
在这里插入图片描述

二、ELK组件和各自的特性

1.Elasticsearch五个特性

接近实时

Elasticsearch在文件搜索上速度接近实时 用索引来搜索一个文件大约只有1秒的延迟 类似于一个数据库

集群

集群由一个或者多个节点组成 所有从beast收集数据都汇总在这里 并提供索引和搜索功能
有一个主节点 通过选取产生 可以跨节点来联合搜索和索引
集群名是一个唯一的标识符 默认是Elasticsearch,节点通过不同的主机名加入集群 不同的环境要使用不同的集群名
在集群中每个节点有不同的主机民 通过不同的主机名来区分 不可以有相同的主机名 主机名在集群中为节点的唯一身份标识

节点

单台服务器组成一个节点 用来存储数据并提供索引的检索 节点也是通过主机名来进行标识 不可以重复,默认是在节点启动时随机分配的字符名。也可自己定义 名字对应节点
节点通过指定集群名来加入集群 如果集群名为默认的 在几个节点搭建成后 可以发现对方的时候 可以自行搭建集群

索引

用来检索数据 一个索引可以找到若干个数据
索引名由小写字母组成 在对一个特定的数据进行索引时需要用这个索引来搜索

文档

存储数据的基本单位 可以被索引检索到
在一个index和type中 可以创建任意个文档来存数据 位置位于一个索引的物理位置上 要分配一个类型 这样才可以被索引

分片和副本

实际情况下,索引存储的数据可能超过单个节点的硬件限制。为了解决这个问题,Elasticsearch提供将索引分成多个分片的功能。当在创建索引时,可以定义想要的分片数量。每一个分片就是一个全功能的独立的索引,可以位于集群中任何节点上。
分片的主要原因:
水平分割扩展,增大存储量
分布式并跨越分片操作,提高性能和吞吐量
分布式分片机制和搜索请求的文档如何火鬃完全是由Elasticsearch控制的,这些对用户是完全透明的。
为了健壮性,建议有一个故障切换机制,为此,Elasticsearch让我们将索引分片复制一份或多份,称之为分片副本
分片副本的原因:
高可用性,以应对分片或者节点故障。处于这个原因,分片副本要在不同的节点上
增大吞吐量,搜索可以并行在所有副本上执行
总之,每个索引可以被分成多个分片。一个索引可以被复制0次或者多次。一旦复制了,每个索引就有了主分片 (作为复制源的原来的分片)和复制分片(主分片的拷贝)之别。分片和副本的数量可以在索引创建的时候指定。在索引创建之后,你可以在指定任何时候动态的改变副本的数量,但是你事后不能改变分片的数量。
默认情况下,Elasticsearch中的每个索引被分片5个主分片和1个副本,这意味着,如果你的集群中至少有两个节点,你的索引将会有5个主分片和另外的5个副本分片(一个完全拷贝),这样的话每个索引总共有10个分片。

和数据库的类似概念

Elasticsearch和数据库中的一些概念有些类似
在这里插入图片描述

2 Logstash

Logstash由JRuby语言编写,基于meassage-based架构,运行在jvm虚拟机上,Logstash可配置单一的代理端与其他开源软件结合,以实现不同的功能。

插件

input:收集源数据(访问日志、错误日志等)
Filter Plugin:用于过滤日志和格式处理
Output:输出日志

主要组件

Shipper(日志收集):负责监控本地日志文件的变化,及时把日志文件的最新内容收集起来。通常,远程代理端(agent)只需要运行这个组件即可
Indexer(日志存储):负责接收日志并写入到本地文件
Broker(日志Hub):负责连接多个Shipper和多个Indexer
Search and Storage:允许对事件进行搜索和存储
Web Interface:基于Web的展示界面

主机分类

代理主机是将从beats收集的数据发送至中心服务器处理 只需要运行代理程序
中心主机可运行包括中间转发器(Broker)、索引器(Indexer)、搜索和存储器(Search and Storage)、Web界面端(Web Interface)在内的各个组件,以实现对日志数据的接收、处理和存储

3 kibana

一款可以将Elasticsearch数据进行可视化操作的工具 用浏览器进行查看软件
主要特点
与Elasticsearch无缝衔接
整合数据
对复杂的数据进行分析
可以让各个成员得到数据
api灵活 可以进行分享
配置简单
对数据进行可视化操作
数据的导出和导入

三 部署ELK系统

架构图
在这里插入图片描述
2台节点都要执行以下操作

systemctl stop firewalld  关闭防火墙
setenforce 0  
#修改各个节点的主机名
host
最低0.47元/天 解锁文章
鹧鸪鹄
关注
  • 14
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
C++高级编程(92)高效日志系统设计
m0_51768024的博客
05-01 59
通过本篇博客的学习,我们应该能够理解如何设计一个高效日志系统,并掌握了C++中实现日志系统的基本方法。一个好的日志系统对于维护和调试软件系统至关重要。在实践中,我们需要根据具体的需求和场景来选择合适的日志策略和技术。随着技术的发展,我们期待有更多先进的工具和方法论来帮助我们更好地实现日志系统。如果您有任何疑问或想要进一步讨论,请随时在评论区留言。让我们继续探索C++的奥秘,共同提高我们的编程技能!
超详细 ELK 日志分析系统
m0_50854537的博客
01-07 8938
文章目录一、ELK日志分析系统简介1:ELK日志分析系统组成2:日志处理步骤二:三款软件简介1:Elasticsearch(1)Elasticsearch的概述(2)Elasticsearch核心概念2:Logstash(1)Logstash介绍(2)Logstash的主要组件三:ELK日志分析系统部署1:拓扑图2:实验环境 一、ELK日志分析系统简介 ELK日志分析系统Logstash、Elastcsearch、Kibana开源软件的集合,对外是作为一个日志管理系统的开源方案,它可以从任何来源、任何格式
ELK beat篇
qq_41616955的博客
06-07 290
启动Filebeat时,它会启动一个或多个查找器,查看你为日志文件指定的本地路径。每个harvester都会为新内容读取单个日志文件,并将新日志数据发送到libbeat,后者将聚合事件并将聚合数据发送到你为Filebeat配置的输出。beat介绍: 负责采集数据的一款软件,实时洞查日志(filebeat),分析网络数据包(packetbeat),指标采集(metricbeat),等等,将采集的数据发送给elasticsearch,redis,等等。Heartbeat:运行时间监控(收集系统运行时的数据)
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 五)
Elastic 中国社区官方博客
03-26 1520
在之前的一系列文章: Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 (一)- SIEM 介绍 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)- Elastic Stack 安装及processors的配置,Winlogbeat Solutions:Elastic SIEM - 适用于家庭和企业的安全...
ELK+filebeat+metricbeat+heartbeat+auditbeat安装配置及汉化_filebeat heartbeat(2)
最新发布
m0_55004058的博客
05-15 251
【代码】ELK+filebeat+metricbeat+heartbeat+auditbeat安装配置及汉化_filebeat heartbeat(2)
运维必备——ELK日志分析系统
热门推荐
礁之的博客
12-17 1万+
日志分析运维工程师解决系统故障、发现问题的主要手段
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署02-ELK介绍.mp4
智能运维(AiOps)之日志监控及日志分析系统分析
2401_84138890的博客
04-09 354
设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!Logstash设计了自己的DSL,包括有区域,注释,数据类型(布尔值,字符串,数值,数组,哈希),条件判断,字段引用等。Logstash用jruby实现,类似一个数据管道,把输入的数据进行处理,变形,过滤,然后输出到其它地方。7、Tomcat和Resin有什么区别,工作中你怎么选择?
一个简单又高效日志系统
06-13
一个性能高,使用简单的日志解决方案。本模块实现日志信息的批量写入文件,定时自动flush到文件中,写入文件的日志级别可动态调整,单个日志文件大小可配置,循环对日志文件写入,这样不会造成机器空间被日志文件耗尽。
简单高效:用Swatch做Linux日志分析
09-16
简单高效:用Swatch做Linux日志分析
日志管理和分析系统的设计与实现
03-31
日志 管 理系统的设计和实现中首先分析了日志管理系统实现的常用技术,还详细 分析了日志格式一Windows操作系统事件日志、UNIX系统日志和通用防火墙日志系统 通过采集、筛选分析法、特征匹配分析法、统计网络设备日志数据,并提供Web应用向 用户提供关于网络设备的运行状态和安全事件的统计报表,为网络安全和网络管理提供 有效数据。整个日志管理系统日志收集模块、日志分析模块、日志存储模块、报表生 成模块和前台Web应用程序几个模块构成,满足了日志管理和监控的功能,为网络安全 管理奠定了基础
基于ext3的内核日志模块分析
12-04
基于ext3的内核日志模块分析,源码分析,里面内容丰富,比较系统,供大家学习!
部署ELK日志分析系统
xiazhui1的博客
03-11 1022
Elasticsearch是一个基于Lucene的搜索服务器。它稳定、可靠、快速,而且具有比较好的水平扩展能力,为分布式环境设计,在云计算中被广泛应用。Elasticsearch提供了一个分布式多用户能力的全文搜索引擎,基于RESTful Web接口,通过该接口,用户可以通过浏览器和Elasticsearch 通信。
ELK企业级日志分析系统
m0_67156403的博客
07-04 367
ELK日志分析系统是开源软件的集合,对外是作为一个日志管理系统的开源方案,它可以从任何来源、任何格式进行日志搜索、分析与可视化展示。组成ELK日志分析系统(传统)是Elasticsearch+Logstash+Kibanaelasticsearch(es):通过搭建群集;存储日志数据,索引日志数据;logstash :收集日志,收集到了后给es数据库存储;kibana :视图形式展现日志信息,更加人性化。也可以使用EFK:包含es数据库+Logstash+kafka+redis缓存数据库+Kibana1、E
喜闻乐见ELK(日志管理分析系统)
u011211476的博客
11-12 1676
@[TOC] # 1. 简介 ELK日志管理分析系统),一款能将系统日志进行分析处理,并且展示到界面上面。集各种强大功能于一身。妈妈再也不用担心我为查日志感到烦恼了。 ELK核心的组件是由elasticsearch、kibana、logstash组成且不仅限于该三个组件。最舒服的就是,该三个组件开源,且封装ok,只需要开箱即用。好了,废话不多说,我们开始正片。 第一次写博客哈。有些不对的地方大家多多指出,希望能不能赐教了哈。 # 2. 需要的材料以及环境 java8...
系统架构教程——开发篇】之二:高效开发之Log日志系统2.0
唐三十胖子的博客
10-31 451
      本文由@唐三十胖子出品,转载请注明出处。  文章链接:https://blog.csdn.net/iceSony/article/details/83585404       这篇文章由唐三胖ヾ(•ω•`)o网络整理总结,将告诉你如何开发一个高效率的日志系统。 通过这篇文章,你可以知道 1)C#特性Condtional 2)开发2.0版的日志系统 开篇介...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值