ELK部署

CoodGeek

已于 2024-07-06 13:04:27 修改

阅读量1k

点赞数 10

文章标签： elk

于 2024-07-06 13:03:08 首次发布

本文链接：https://blog.csdn.net/weixin_58475203/article/details/140227758

版权

本章概述

日志收集准备工作-部署ELK
日志收集方式

前言
日志收集的目的：
分布式日志数据统一收集，实现集中式查询和管理
故障排查
安全信息和事件管理
报表功能
日志收集的价值：
日志查询，问题排查，故障恢复，故障自愈
应用日志分析，错误报警
性能分析，用户行为分析
日志收集流程图：

日志收集流程
1、在k8s集群内部（node、pod、容器）内置filebeat客户端收集日志（日志主要为业务access日志和kubernetes集群的系统日志）
2、日志发送给kafka集群，kafka集群进行缓存（削峰填谷）
注意：在业务高峰期，k8s集群会产生大量日志，如果日志直接发送给logstash，会占用logstash大量磁盘IO，负载很高，如果logstash无法及时处理，就会产生阻塞造成数据丢失。为了防止此类问题，在中间加上kafka缓存，消息先缓存在kafka中，由kafka投递给logstash进行处理。
3、logstash从kafka消费日志，并对日志进行过滤
4、然后将日志发送给elasticsearch，elasticsearch对日志进行分析
5、kibana用来展示elasticsearch的分析结果

15.1 日志收集准备工作-部署ELK

由于日志收集是基于ELK架构进行的，要先部署ELK，部署完成后，便于演示通过不同的日志收集方式实现kubernetes日志收集
机器准备：

kafka1  172.31.7.161
kafka2  172.31.7.162
kafka3  172.31.7.163
zookeeper1   172.31.7.171
zookeeper2   172.31.7.172
zookeeper3   172.31.7.173
elasticsearch01   172.31.7.181
elasticsearch02   172.31.7.182
elasticsearch03   172.31.7.183
kibana  172.31.7.181 （和elasticsearch01共用一台机器）
logstash  172.31.7.185

15.1.1 部署zookeeper

1、zookeeper三个节点执行：yum安装jdk
yum -y install java-1.8.0-openjdk
验证java是否可用
java -version

2、三个zookeeper节点执行：创建目录/apps，并将zookeeper安装存放在该目录下
mkdir -p /apps
将zookeeper安装放在该目录下
cd /apps
wget https://downloads.apache.org/zookeeper/zookeeper-3.6.3/apache-zookeeper-3.6.3-bin.tar.gz
3、三个zookeeper节点执行：解压安装包并做软链接
tar xvf apache-zookeeper-3.6.3-bin.tar.gz
ln -sv /apps/apache-zookeeper-3.6.3-bin /apps/zookeeper
4、修改zookeeper配置
在三zookeeper个节点分别执行：
cd /apps/zookeeper/conf
cp zoo_sample.cfg zoo.cfg
vim zoo.cfg

tickTime=2000
initLimit=10
syncLimit=5
dataDir=/data/zookeeper
clientPort=2181

server.1=172.31.7.171:2888:3888
server.2=172.31.7.172:2888:3888
server.3=172.31.7.173:2888:3888

创建数据目录
mkdir -p /data/zookeeper
5、配置zookeeper节点id（注意，zookeeper集群每个节点的id都不一样）

在zookeeper1节点172.31.7.171上执行：
echo 1 > /data/zookeeper/myid
在zookeeper2节点172.31.7.172上执行：
echo 2 > /data/zookeeper/myid
在zookeeper3节点172.31.7.173上执行：
echo 3 > /data/zookeeper/myid

6、运行zookeeper集群
三个节点分别执行

/apps/zookeeper/bin/zkServer.sh start
注意：zookeeper配置的初始化时间为10*2000ms，即20s，因此三个节点服务拉起时间不能超过20s，超过20s将会集群初始化失败
查看集群各节点角色
/apps/zookeeper/bin/zkServer.sh status     #当前集群zookeeper3为leader角色。

7、使用插件在windows主机上进行验证
（1）首先在windows主机安装java环境
java下载链接：https://download.oracle.com/java/18/latest/jdk-18_windows-x64_bin.exe
（2）安装完成后使用ZooInspector工具连接zookeeper

ZooInspector百度网盘下载链接：
链接：https://pan.baidu.com/s/1m8v0Ni9Fql1n_Y19vVKXsg 
提取码：lh7t

下载完成后进行解压，然后进入build文件夹，双击打开zookeeper-dev-ZooInspector.jar（注意使用java打开该工具）
点击工具栏第一个按钮（如果第一次打开不显示工具栏，需要关闭，然后重新打开）

连接zookeeper

如果左侧能显示zookeeper，并且在其子列表中点击config，右侧可以显示zookeeper集群各节点地址，说明zookeeper正常

15.1.2 部署kafka

1、kafka三个节点分别执行：安装java并下载kafka安装包
yum -y install java-1.8.0-openjdk
创建目录
mkdir -p /apps
wget https://archive.apache.org/dist/kafka/2.4.1/kafka_2.13-2.4.1.tgz
2、kafka三个节点分别执行：解压安装包并做软连接

tar xvf kafka_2.13-2.4.1.tgz
ln -sv /apps/kafka_2.13-2.4.1  /apps/kafka

3、修改kafka配置文件（注意三个kafka节点配置不同，要分别进行配置）

（1）kafka1节点172.31.7.161配置：
cd  /apps/kafka/config
vim  server.properties
broker.id=161     #指定borkerid，每个节点都不一样，这里以节点ip最后一位作为brokerid
listeners=PLAINTEXT://172.31.7.161:9092    #指定监听地址和端口，指定监听本地地址
log.dirs=/data/kafka-logs          #指定日志目录
log.retention.hours=168           #指定日志保存时长
zookeeper.connect=172.31.7.171:2181,172.31.7.172:2181,172.31.7.173:2181   #指定zk地址和端口
创建日志目录
mkdir -p /data/kafka-logs

（2）kafka2节点172.31.7.162配置：
cd  /apps/kafka/config
vim  server.properties
broker.id=162     #指定borkerid，每个节点都不一样，这里以节点ip最后一位作为brokerid
listeners=PLAINTEXT://172.31.7.162:9092    #指定监听地址和端口，指定监听本地地址
log.dirs=/data/kafka-logs          #指定日志目录
log.retention.hours=168           #指定日志保存时长
zookeeper.connect=172.31.7.171:2181,172.31.7.172:2181,172.31.7.173:2181   #指定zk地址和端口
创建日志目录
mkdir -p /data/kafka-logs

（3）kafka3节点172.31.7.163配置：
cd  /apps/kafka/config
vim  server.properties
broker.id=163     #指定borkerid，每个节点都不一样，这里以节点ip最后一位作为brokerid
listeners=PLAINTEXT://172.31.7.163:9092    #指定监听地址和端口，指定监听本地地址
log.dirs=/data/kafka-logs          #指定kafka存储数据的目录
log.retention.hours=168           #指定日志保存时长
zookeeper.connect=172.31.7.171:2181,172.31.7.172:2181,172.31.7.173:2181   #指定zk地址和端口

创建日志目录
mkdir -p /data/kafka-logs
4、启动kafka
（1）三个节点分别执行：
/apps/kafka/bin/kafka-server-start.sh -daemon /apps/kafka/config/server.properties
注意：如果多台机器是通过克隆同一个快照创建的，注意要更改主机名称，否则会报以下错误（日志为/app/zookeerper/logs/kafkaServer.out）

解决方法：修改主机名
hostnamectl set-hostname XXX #通过命令更改，临时生效
vim /etc/hosts #修改hosts文件，永久生效

（2）查看各主机9092端口是否起来
ss -ntl

（3）通过ZooInspector工具连接zookeeper，查看kafka是否已经注册到zookeeper集群中
查看左侧brokers--ids，然后看到三个以kafka节点ip最后一位命名的三个文件，分别点击可以看到kafka的地址，说明kafka已经注册到zookeeper集群

（4）在windows主机使用kafka tool工具连接kafka查看kafka内是否有数据
kafka tool下载页面：Offset Explorer
windows版本下载链接：https://www.kafkatool.com/download2/offsetexplorer_64bit.exe
安装完成后打开kafka tool，进行配置

高级配置：

链接测试，如果返回connection successful，表示连接成功。点击“是”按钮查看集群情况

查看集群各节点

15.1.3 部署elasticsearch

elasticsearch依赖java环境，需要提前安装jdk，但elasticsearch有自带java环境的安装包，可以不用安装jdk，此时使用自带java环境的安装包。
elasticsearch对主机内存配置有要求，最少需要2G内存。
另外，elasticsearch，logstash，kibana三个组件都有相同的版本，下载时可以下载同一个版本。
官网下载页面：https://www.elastic.co/cn/downloads/past-releases#enterprise-search

1、下载elasticsearch并安装
三个节点分别执行：
下载elasticsearch rpm包，放到/usr/local/src/目录下
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.1-x86_64.rpm
安装elasticsearch
rpm -ivh /usr/local/src/elasticsearch-7.12.1-x86_64.rpm
2、修改配置文件并启动服务

（1）elasticsearch01节点172.31.7.181上执行：
vim /etc/elasticsearch/elasticsearch.yml
cluster.name: es-cluster-n66       #指定集群名称，三个节点集群名称配置一样
node.name: es01         #指定node名称，每个节点配置不能一样，这里将主机名配置文件node name
path.data: /var/lib/elasticsearch    #指定数据目录，如果要保存数据，可以挂载存储到该目录
path.logs: /var/log/elasticsearch   #指定日志目录，如果要保存数据，可以挂载存储到该目录
#bootstrap.memory_lock: true   #是否开启内存锁定，即当elasticsearch启动时为其分配多大内存，通过修改vim /etc/elasticsearch/jvm.options文件来配置，这里暂不开启。
network.host: 172.31.7.181      #指定监听地址，这里写本机地址
http.port: 9200               #客户端监听端口，9200是给客户端使用的端口
discovery.seed_hosts: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #发现配置，发现消息后通告给目标主机，这里填写集群内各节点ip地址或主机名
cluster.initial_master_nodes: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #集群内哪些节点可以被选举为master，一般会将集群内各节点都加上
action.destructive_requires_name: true      #通过严格匹配删除索引，防止误删除索引
http.cors.enabled: true                 #支持跨域访问
http.cors.allow-origin: "*"              #云允许所有域名访问
配置完成后启动elasticsearch服务
systemctl start elasticsearch.service

（2）elasticsearch01节点172.31.7.182上执行：
vim /etc/elasticsearch/elasticsearch.yml
cluster.name: es-cluster-n66       #指定集群名称，三个节点集群名称配置一样
node.name: es02         #指定node名称，每个节点配置不能一样，这里将主机名配置文件node name
path.data: /var/lib/elasticsearch    #指定数据目录，如果要保存数据，可以挂载存储到该目录
path.logs: /var/log/elasticsearch   #指定日志目录，如果要保存数据，可以挂载存储到该目录
#bootstrap.memory_lock: true   #是否开启内存锁定，即当elasticsearch启动时为其分配多大内存，通过修改vim /etc/elasticsearch/jvm.options文件来配置，这里暂不开启。
network.host: 172.31.7.182      #指定监听地址，这里写本机地址
http.port: 9200               #客户端监听端口，9200是给客户端使用的端口
discovery.seed_hosts: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #发现配置，发现消息后通告给目标主机，这里填写集群内各节点ip地址或主机名
cluster.initial_master_nodes: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #集群内哪些节点可以被选举为master，一般会将集群内各节点都加上
action.destructive_requires_name: true      #通过严格匹配删除索引，防止误删除索引
http.cors.enabled: true                 #支持跨域访问
http.cors.allow-origin: "*"              #云允许所有域名访问
配置完成后启动elasticsearch服务
systemctl start elasticsearch.service

（3）elasticsearch01节点172.31.7.183上执行：
vim /etc/elasticsearch/elasticsearch.yml
cluster.name: es-cluster-n66       #指定集群名称，三个节点集群名称配置一样
node.name: es03         #指定node名称，每个节点配置不能一样，这里将主机名配置文件node name
path.data: /var/lib/elasticsearch    #指定数据目录，如果要保存数据，可以挂载存储到该目录
path.logs: /var/log/elasticsearch   #指定日志目录，如果要保存数据，可以挂载存储到该目录
#bootstrap.memory_lock: true   #是否开启内存锁定，即当elasticsearch启动时为其分配多大内存，通过修改vim /etc/elasticsearch/jvm.options文件来配置，这里暂不开启。
network.host: 172.31.7.183      #指定监听地址，这里写本机地址
http.port: 9200               #客户端监听端口，9200是给客户端使用的端口
discovery.seed_hosts: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #发现配置，发现消息后通告给目标主机，这里填写集群内各节点ip地址或主机名
cluster.initial_master_nodes: ["172.31.7.181", "172.31.7.182","172.31.7.183"]    #集群内哪些节点可以被选举为master，一般会将集群内各节点都加上
action.destructive_requires_name: true      #通过严格匹配删除索引，防止误删除索引
http.cors.enabled: true                 #支持跨域访问
http.cors.allow-origin: "*"              #云允许所有域名访问
配置完成后启动elasticsearch服务
systemctl start elasticsearch.service

3、验证，查看9200端口是否被监听

4、通过谷歌浏览器插件elasticsearch-head连接elasticsearch进行验证。由于该插件需要访问谷歌商店才可以下载，因此无法加载，可以通过以下链接进行下载
（1）下载插件
插件下载地址：https://files.cnblogs.com/files/sanduzxcvbnm/elasticsearch-head.7z
（2）下载完成后进行解压elasticsearch-head.7z
（3）在浏览器加载elasticsearch-head插件步骤：
打开谷歌浏览器，点击右上角选项—更多工具—扩展程序

如果没有开启开发者模式，要开启开发者模式

选择加载已解压的扩展程序

加载完成

选择浏览器右上角插件图标，在下拉列表中选择elasticsearch head插件点击打开

在框内输入elasticsearch集群内随意一个节点ip地址，点击连接，即可显示集群内节点信息。节点前带有*号（星号）的为master节点，不带星号的是从节点

15.1.4 部署kibana

这里将kibana和elasticsearch01部署在同一台机器，因此kibana地址为172.31.7.181
1、下载kibana安装包并安装

wget https://artifacts.elastic.co/downloads/kibana/kibana-7.12.1-x86_64.rpm
cd /usr/local/src
rpm -ivh kibana-7.12.1-x86_64.rpm

2、修改kibana配置文件并启动服务
vim /etc/kibana/kibana.yml

server.port: 5601         #kibana监听端口
server.host: "172.31.7.181"           #kibana地址
elasticsearch.hosts: ["http://172.31.7.181:9200"]          #elasticsearch的地址和端口
i18n.locale: "zh-CN"           #修改kibana页面显示语言为中文

启动kibana服务
systemctl start kibana
3、验证
查看5601端口是否被监听

浏览器访问：172.31.7.181:5601

这里需要添加数据，由于k8s集群中尚未部署完成，没有收集到数据，因此需要等到收集到数据后再进行配置

CoodGeek

关注

10
点赞
踩
19

收藏

觉得还不错? 一键收藏
0
评论
ELK部署

日志收集的目的：分布式日志数据统一收集，实现集中式查询和管理故障排查安全信息和事件管理报表功能日志收集的价值：日志查询，问题排查，故障恢复，故障自愈应用日志分析，错误报警性能分析，用户行为分析日志收集流程图：日志收集流程1、在k8s集群内部（node、pod、容器）内置filebeat客户端收集日志（日志主要为业务access日志和kubernetes集群的系统日志）2、日志发送给kafka集群，kafka集群进行缓存（削峰填谷）
复制链接

扫一扫