ELK日志收集方案

已于 2023-10-26 14:52:14 修改
阅读量124 收藏
点赞数
文章标签: elasticsearch zookeeper kafka
于 2023-10-26 14:40:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50591390/article/details/134055767
版权

总体流程

日志–>filebeat–>kafka–>logstash–>ES–>kibana

在这里插入图片描述

1.Filebeat

  • 官网下载并安装Filebeat

  • 编写Filebeat配置文件:在Filebeat配置文件中指定需要收集的日志文件路径和输出方式

    filebeat.inputs:
- type: log
  enabled: true
  paths:
     - /path/to/log/file   # 文件路径
  fields:
     type: java-log

output.kafka:              # 输出方式
  hosts: ["192.168.96.131:9092"]
  topic: "my-topic"

    指定需要收集的日志文件路径和输出方式。Filebeat将从指定路径中读取日志文件,并将日志数据发送到Kafka的my-topic主题中。

  • 配置Java应用程序:在Java应用程序中添加Log4j或Logback等日志框架,并将日志输出到指定的日志文件中

  • 启动Filebeat服务,让它开始收集日志并将日志数据发送到Kafka中

    [root@elktest1 filebeat-7.8.0-linux-x86_64]# nohup ./filebeat -e -c filebeat.yml &

  • 在Kafka中查看收集到的日志数据,并在Elasticsearch和Kibana中进行搜索和分析

2.Kafka

  • 官网下载kafka(注:因 Kafka 依赖于zookeeper,如果想要使用 Kafka,就必须安装 ZK,Kafka 中的消费偏置信息、Kafka集群、topic信息会被存储在 ZK 中,新版本的 kafka 自带有 zookeeper)

  • 修改zk配置文件zookeeper.properties,指定Zookeeper的数据目录和端口号等信息

    [root@elktest2 config]# vim /usr/local/elk/kafka_2.13-2.6.0/config/zookeeper.properties
# 添加如下配置
dataDir=/opt/data/zookeeper/data
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181
tickTime=2000  # 心跳间隔时间,每隔两秒发送一个心跳
initLimit=20  # Leader - Fllower 初始通信时限,表示20个心跳间隔
syncLimit=10  # Leader - Follower同步通信时限,表示10个心跳间隔,即tickTime*10

# 设置 broker id 的服务地址
server.1=192.168.96.131:2888:3888           # kafka 集群 IP:Port

# 修改主机 zookeeper 配置
 
# 创建 data、log 目录
[root@elktest2 config]# mkdir -p /opt/data/zookeeper/{data,logs}

# 创建 myid 配置文件,写入服务 broker.id 的属性值
[root@elktest2 config]# echo 1 > /opt/data/zookeeper/data/myid     # myid号按顺序排
kafka1    echo 1 > /opt/data/zookeeper/data/myid

  • 修改kafka配置文件server.properties

    # 加入如下配置信息
[root@elktest2 config]# vim /usr/local/elk/kafka_2.13-2.6.0/config/server.properties  # 在最后添加
broker.id=1                                  
listeners=PLAINTEXT://192.168.96.131:9092    # 注意!! 此处 ip 地址为每台主机的本机 IP 
num.network.threads=3                        
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6 # 分区数量
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=192.168.96.131:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0

    创建 kafka 日志文件目录

    [root@elktest2 config]# mkdir -p /opt/data/kafka/log

    Kafka 节点按以上步骤依次配置

  • 启动ZK

    [root@elktest2 config]# cd /usr/local/elk/kafka_2.13-2.6.0
[root@elktest2 kafka_2.13-2.6.0]# nohup bin/zookeeper-server-start.sh config/zookeeper.properties &

  • 启动Kafka(说明:启动Kafka之前,请确保已经启动 ZK,否则Kafka会报错而导致无法启动。)

    [root@elktest2 ~]# cd /usr/local/elk/kafka_2.13-2.6.0/
[root@elktest2 kafka_2.13-2.6.0]# nohup bin/kafka-server-start.sh config/server.properties &

  • 创建Kafka主题

    [root@elktest2 kafka_2.13-2.6.0]#  bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic log-topic
Created topic log-topic.

3.Logstash

  • 官网下载Logstash

  • 设置配置文件

    [root@elktest2 logstash-7.8.0]# mkdir -p /usr/local/elk/logstash-7.8.0/etc/conf.d
[root@elktest2 logstash-7.8.0]# cd /usr/local/elk/logstash-7.8.0/etc/conf.d/
[root@elktest2 conf.d]# vim kafka-input.conf
# 加入以下内容
input {
  kafka {
      type => "kafka-input_log"
      client_id => "kafka-input_cli"
      group_id => "kafka-input_grp"
      topics => "log-topic"
      bootstrap_servers => "192.168.96.131:9092"
    }
}

output {
    stdout {codec => rubydebug}
    elasticsearch {
      hosts => ["http://192.168.96.131:9200"]
      index => "%{type}"
   }
}
    • 启动Logstash
    [root@elktest2 ~]# cd /usr/local/elk/logstash-7.8.0/
[root@elktest2 logstash-7.8.0]# nohup bin/logstash -f etc/conf.d/test-tmp.conf  --config.reload.automatic &

    --config.reload.automatic 选项的意思是启用自动配置加载,以至于每次修改完配置文件以后无需停止然后重启Logstash

4.ElasticSearch

  • 配置JDK环境(es 要依赖与 java 环境运行)

  • 下载和安装Elasticsearch

  • 找到 config 目录下的 elasticsearch.yml 文件,修改配置

    cluster.name: es-application  
node.name: node-1  
#对所有 IP 开放  
network.host: 0.0.0.0  
#HTTP 端口号  
http.port: 9200  
#ElasticSearch 数据文件存放目录  
path.data: /usr/elasticsearch-7.9.3/data  
#ElasticSearch 日志文件存放目录  
path.logs: /usr/elasticsearch-7.9.3/logs

  • 配置完之后,因为 ElasticSearch 使用非 root 用户启动,所以创建一个用户

    # 创建用户  
useradd yehongzhi  
# 设置密码  
passwd yehongzhi  
# 赋予用户权限  
chown -R yehongzhi:yehongzhi /usr/elasticsearch-7.9.3/

  • 然后切换用户,启动。

    # 切换用户  
su yehongzhi  
# 启动 -d 表示后台启动  
./bin/elasticsearch -d

5.Kibana

  • 官网下载压缩包,然后解压

  • 找到 /config 目录下的 kibana.yml 文件,修改配置

    server.port: 5601  
server.host: "192.168.96.131"  
elasticsearch.hosts: ["http://192.168.96.131:9200"]

  • 和 ElasticSearch 一样,不能使用 root 用户启动,需要创建一个用户

    # 创建用户  
useradd kibana
# 设置密码
passwd kibana
# 赋予用户权限
chown -R kibana:kibana /usr/kibana/

  • 启动服务(启动 Kibana前,需确保 ES 至少有一台可用)

    #切换用户
su kibana
#非后台启动,关闭 shell 窗口即退出
./bin/kibana  
#后台启动
nohup ./bin/kibana &

启动步骤

启动ES–>启动Kibana–>启动Kafka–>启动Logstash–>启动Filebeat

啊松同学
关注
ELK日志采集方案
NIO4444
02-10 565
filebeat 原始日志数据采集 kafka 原始数据存储 logstash 日志内容分析/解析 ES 数据存储 kibana 数据分析、查询 grafana 数据展示 zipkin 数据全链路检索
数据采集 | 分布式日志采集-ELK方案设计
十年呵护的专栏
04-04 1427
前言 分布式日志采集在比较大型的项目中经常用到,用来采集分析用户/系统产生的海量日志 但是在微服务架构下每个提供者(provider)都要收集日志,需要安装采集组件,无疑是对系统部署以及正常运行压力带来不小的挑战,那什么场景下选用该组件比较合适呢? 其实ELK架构设计可应用于该日志采集场景的技术栈选型,个人觉得首先要从业务场景考虑,要有助于推动产品的发展 近期项目发展需要主要基于以...
ELK 日志收集系统方案
qq_38130094的博客
03-31 1947
背景 在项目初期的时候,大家都是赶着上线,一般来说对日志没有过多的考虑,当然日志量也不大,所以用log4j就够了,随着应用的越来越多,日志散落在各个服务器的logs文件夹下,确实有点不大方便。或者是分布式系统:当我们需要日志分析的时候你大概会这么做:直接在日志文件中 grep、awk就可以获得自己想要的信息。这就造成了日志查询极其繁琐;如果日志中有敏感数据,也要考虑是否开放给所有人 可能遇到的问题: 日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询 应用太多,面临数十上百台应用时你该怎么办,随意登录
搭建ELK日志采集与分析系统
最新发布
Linux运维老纪的博客
08-22 1273
ELKElasticsearch(ES) , Logstash, Kibana的结合,是一个开源日志收集软件。 Elasticsearch:开源分布式搜索引擎,提供搜集、分析、存储数据功能。 Logstash:日志搜集、分析、过滤,支持大量数据获取。其自带输入(input)、过滤语法(grok)、输出(output)三部分。其输入有两种方式:①由各beat采集器输入,经过滤后输出到ES ②本机数据输入,经过滤后输出到ES。Kibana:提供日志分析友好的 Web 界面。本章详细介绍如何搭建elk日志分析系
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1606
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
ELK日志收集(Logstash)
manongwangziqi的博客
05-03 2440
ELK常用案例
docker-compose部署多个微服务,ELK日志收集方案
ILoveRiceee的博客
11-18 2495
一、背景描述 项目是微服务架构,一共包含了二十几微服务,通过docker-compose部署到docker,即二十几个container。 需求:项目集成ELK,实现日志的集中可视化管理,方便查阅。 方案:在日志所在服务器安装filebeat,通过filebeat将日志发送到logstash集群,日志经logstash过滤处理生成索引并发送到ES集群存储,最后通过kibana做日志可视化管理。 二、初始方案 三、最终方案 ...
ELK日志收集
Stephencurr的博客
01-09 5634
目录前言一、ELK 日志分析系统1. ELK 简介2. 组件说明2.1 ElasticSearch2.2 Logstash2.3 Kibana2.4 Filebeat3. 完整日志系统的基本特征4. ELK的工作原理二、部署 ELK 日志分析系统1. 服务器配置2. 关闭防火墙3. ElasticSearch集群部署(node1、node2)3.1 环境准备3.2 部署 ElasticSearch 软件3.2.1 安装 elasticsearch-rpm 包3.2.2 加载系统服务3.2.3 修改 elas
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册 ELK(日志收集系统)是三个开源软件的缩写,分别表示Elasticsearch、Logstash、Kibana,它们都是开源软件。下面是对ELK日志收集系统操作手册的详细介绍: 一、ELK简介 Elasticsearch是开源...
ELK日志收集系统.docx
01-16
总结来说,ELK日志收集系统是一个强大的日志管理和分析工具,它提供了从收集、传输、存储到分析的全套解决方案,帮助企业或组织有效地管理和理解其系统的日志数据。通过优化配置和合理选择架构,可以应对大规模数据...
ELK日志收集系统完全实现
01-27
ELKElasticsearch, Logstash, Kibana)日志收集系统是一种广泛使用的日志管理和分析解决方案。它能够高效地收集、解析、存储和展示应用程序及系统的日志数据,帮助运维人员监控系统状态,排查问题,进行数据分析。...
基于ELK日志收集分析系统(Elasticsearch+Filebeat+Kibana)
泛音青年的博客
07-20 583
前言 痛点: 传统意义上,查找日志都是通过shell等工具登陆服务器后台去相应的日志目录下查看log文件,特别是联调、测试时,我们需要通过tail -f 、grep 'xxx’等命令,肉眼观察日志,如果是一个复杂的业务流程,则需要辗转多个日志目录下,并且没有统计分析等功能。 思考: 对于我们的业务系统,现在已经存在了一套日志收集系统(syslog+flume+kafka+elasticsearch),但是是基于核心业务,收集的都是需要做分析统计和机器学习的业务日志,对于研发人员来说,需要关心的是程序运行时l
ELK分布式日志采集
gaopin649969364的博客
04-26 1443
ELK常见部署架构 1. Logstash作为日志收集器 2. Filebeat作为日志收集器 3 引入缓存队列的部署架构 4. 以上三种架构的总结 问题及解决方案 1. 问题:如何实现日志的多行合并功能? 2. 问题:如何将Kibana中显示日志的时间字段替换为日志信息中的时间? 3. 问题:如何在Kibana中通过选择不同的系统日志模块来查看数据 总结 ELK ..
日志采集系统ELK
手写我对你的温柔
05-08 574
ELK: ElasticSearch(数据库 json存储 全文索引) + Logstash(日志采集中心,配置一些正则等分割解析处理日志)+ Kibarna(图形化展示) Logstash做日志采集,监听5044,采集的节点都将数据传递到5044上来。 采集的节点叫Beat。(例如File beat等) logstash处理之后得到json数据,发到ES9200中存储。然后通过Ki...
golang日志收集方案ELK
weixin_30872157的博客
04-03 1156
每个系统都有日志,当系统出现问题时,需要通过日志解决问题 当系统机器比较少时,登陆到服务器上查看即可满足 当系统机器规模巨大,登陆到机器上查看几乎不现实 当然即使是机器规模不大,一个系统通常也会涉及到多种语言的开发,那么问题来了,每次系统出问题了,如何能够迅速查问题? 好一点的情况可能是python应用层查日志发现是系统底层处理异常了,于是又叫C++同事来查,如果C++这边能够迅速定位出错...
基于ELKElasticsearch、Logstash和Kibana)的日志采集与分析
runqu的博客
04-11 1697
ELKElasticsearch、Logstash和Kibana)是一个常用的日志采集和分析工具组合。它可以帮助组织收集、存储、分析和可视化大量的日志数据,以帮助发现问题、监控系统性能和提供实时的报告。在ELK中,Elasticsearch是一个分布式的搜索和分析引擎,它用于存储和索引日志数据。Logstash是一个用于日志数据采集、转换和传输的工具,可以从各种来源(如文件、数据库、消息队列等)收集日志数据,并将其发送到Elasticsearch进行索引。
ELK日志系统
qian0626的博客
03-08 169
基础环境配置 1.环境准备 规划3个节点,其中1个作为主节点,2个作为数据节点: 修改主机名(elk-1,elk-2,elk-3) 配置hosts文件[3个节点配置相同(以elk-1节点为例)] 安装JDK 部署ELK环境需要jdk1.8以上的JDK版本软件环境,我们使用opnejdk1.8,3节点全部安装(以elk-1节点为例) 安装Elasticserach 将提供的rpm包上传至3台节点的/root/目录下,之后使用rpm命令进行安装,3节点全部安装 // 参数含义:i表示安装,v表示显示安装
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值