ELK日志分析平台(一)----elasticsearch

于 2021-12-24 18:19:01 发布
阅读量826 收藏
点赞数 1
文章标签: elasticsearch elk 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62615875/article/details/122123371
版权

目录

1.介绍

- 基础模块

- elasticsearch应用场景

2.ES分布式安装和配置

3.使用容器部署cerebro

4.安装head插件

5.节点优化

elasticsearch节点角色

节点的五种组合

职责划分

节点扩容

节点缩容

1.介绍

ElasticSearch是一个分布式,高性能、高可用、可伸缩、RESTful 风格的搜索和数据分析引擎。通常作为Elastic Stack的核心来使用,Elastic Stack大致是如下这样组成的:ES是一个近实时(NRT)的搜索引擎,一般从添加数据到能被搜索到只有很少的延迟(大约是1s),而查询数据是实时的。一般我们可以把ES配合logstash,kibana来做日志分析系统,或者是搜索方面的系统功能,比如在网上商城系统里实现搜索商品的功能也会用到ES。

- Elasticsearch 是一个开源的分布式搜索分析引擎,建立在一个全文搜索引擎库 Apache Lucene基础之上。
  Elasticsearch 不仅仅是 Lucene,并且也不仅仅只是一个全文搜索引擎:
        一个分布式的实时文档存储,每个字段 可以被索引与搜索
        一个分布式实时分析搜索引擎
        能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据 

- 基础模块

    cluster:管理集群状态,维护集群层面的配置信息。
    alloction:封装了分片分配相关的功能和策略。
    discovery:发现集群中的节点,以及选举主节点。
    gateway:对收到master广播下来的集群状态数据的持久化存储。
    indices:管理全局级的索引设置。
    http:允许通过JSON over HTTP的方式访问ES的API。
    transport:用于集群内节点之间的内部通信。
    engine:封装了对Lucene的操作及translog的调用。

- elasticsearch应用场景

    信息检索    
    日志分析
    业务数据分析    
    数据库加速    
    运维指标监控

2.ES分布式安装和配置

官方网站   https://www.elastic.co/cn/

- 软件下载:
	https://elasticsearch.cn/download/
  安装软件
	# rpm -ivh jdk-8u171-linux-x64.rpm
	# rpm -ivh elasticsearch-7.6.1.rpm	//7.6版本自带jdk(虚拟机内存需要在2048及以上)
  设置服务自启:
	# systemctl daemon-reload
	# systemctl enable elasticsearch

- 修改配置文件:
	# vim /etc/elasticsearch/elasticsearch.yml
		cluster.name: my-es			#集群名称
		node.name: server1			#主机名需要解析
		path.data: /var/lib/elasticsearch	#数据目录
		path.logs: /var/log/elasticsearch	#日志目录
		bootstrap.memory_lock: true	#锁定内存分配
		network.host: 0.0.0.0		#主机ip(0.0.0.0也可以)
		http.port: 9200			#http服务端口
		cluster.initial_master_nodes: ["server1","server2","server3"]
		discovery.seed_hosts: ["server1", "server2","server3"]    ##节点 

- 修改系统限制
	# vim /etc/security/limits.conf
		elasticsearch soft memlock unlimited
		elasticsearch hard memlock unlimited
		elasticsearch 	   - 	nofile 	65536
		elasticsearch	   -	nproc 	4096
	# vim jvm.options
		-Xms1g
		-Xmx1g
		Xmx设置不超过物理RAM的50%,以确保有足够的物理RAM留给内核文件系统缓存。但不要超过32G。

- 修改systemd启动文件
	# vim /usr/lib/systemd/system/elasticsearch.service
		[Service]		#在service语句块下添加
		LimitMEMLOCK=infinity
		# systemctl daemon-reload
		# systemctl start elasticsearch

修改配置文件,并启动服务

[root@server1 ~]# rpm -ivh elasticsearch-7.6.1-x86_64.rpm 
[root@server1 elasticsearch]# vim elasticsearch.yml   ##修改配置文件
[root@server1 elasticsearch]# systemctl start elasticsearch.service   ##启动失败
Job for elasticsearch.service failed because the control process exited with error code. See "systemctl status elasticsearch.service" and "journalctl -xe" for details.

##1. 查看日志错误
[root@server1 security]# cat /var/log/elasticsearch/my-es.log   ##查看日志错误
[root@server1 elasticsearch]# vim /etc/security/limits.conf  ##
	elasticsearch soft memlock unlimited
	elasticsearch hard memlock unlimited

## 2. 修改系统配置文件
[root@server1 elasticsearch]# vim /usr/lib/systemd/system/elasticsearch.service
[root@server1 elasticsearch]# cat /usr/lib/systemd/system/elasticsearch.service ##修改下面内容
	# Specifies the maximum size of virtual memory
	LimitAS=infinity
	LimitMEMLOCK=infinity     ##解除锁存问题
[root@server1 elasticsearch]# systemctl daemon-reload   ##修改系统配置需要reload

## 3.关闭交换空间
[root@server1 elasticsearch]# swapoff -a       ##关闭交换空间
[root@server1 elasticsearch]# vim /etc/fstab 
[root@server1 elasticsearch]# sysctl vm.max_map_count
vm.max_map_count = 262144

## 4. 安全限制文件配置
[root@server1 elasticsearch]# vim /etc/security/limits.conf  ##下面是添加内容,参考官网文档
	elasticsearch soft memlock unlimited
	elasticsearch hard memlock unlimited 
	elasticsearch  - nofile  65535   
	elasticsearch  - nproc  4096

## 5. 重启并测试
[root@server1 elasticsearch]# systemctl restart elasticsearch.service 
[root@server1 elasticsearch]# cat /var/log/elasticsearch/my-es.log   ##查看是否有错误
[root@server1 elasticsearch]# curl localhost:9200  ##测试

查看日志错误

修改配置文件

配置安全限制文件

检查状态

查看9200端口是否开启

server2、3同理

免密认证

检查9200端口查看server1、2、3关联性 

3.使用容器部署cerebro

安装podman拉取cerebro在web端访问图形化更方便 

4.安装head插件

- 下载elasticsearch-head插件
	# wget https://github.com/mobz/elasticsearch-head/archive/master.zip   ##本实验使用本地下载好的
	# unzip elasticsearch-head-master.zip
- head插件本质上是一个nodejs的工程,因此需要安装node:
	# wget https://mirrors.tuna.tsinghua.edu.cn/nodesource/rpm_9.x/el/7/x86_64/nodejs-9.11.2-1nodesource.x86_64.rpm
	# rpm -ivh nodejs-9.11.2-1nodesource.x86_64.rpm
	# node -v
	# npm -v

 - 更换npm源安装
	# cd elasticsearch-head-master/
	# npm install  --registry=https://registry.npm.taobao.org
- 修改ES主机ip和端口
	# vim _site/app.js
	"http://172.25.70.1:9200"
- 启动head插件
	# npm run start & 

- 修改ES跨域主持
	# vim /etc/elasticsearch/elasticsearch.yml
	http.cors.enabled: true	# 是否支持跨域
	http.cors.allow-origin: "*"	# *表示支持所有域名
- 重启ES服务
	# systemctl restart elasticsearch.service

安装rpm下载中国镜像安装  

vim elasticsearch.yml   ##修改配置文件,修改ES跨域主持。每台主机都需要修改
        http.cors.enabled: true    # 是否支持跨域
        http.cors.allow-origin: "*"    # *表示支持所有域名

web端测试 索引 

5.节点优化

elasticsearch节点角色

Master:主要负责集群中索引的创建、删除以及数据的Rebalance等操作。Master不负责数据的索引和检索,所以负载较轻。当Master节点失联或者挂掉的时候,ES集群会自动从其他Master节点选举出一个Leader。
Data Node:主要负责集群中数据的索引和检索,一般压力比较大。    
Coordinating Node:原来的Client node的,主要功能是来分发请求和合并结果的。所有节点默认就是Coordinating node,且不能关闭该属性。
Ingest Node:专门对索引的文档做预处理
Mechine Learning node:机器学习节点提供了机器学习功能,该节点运行作业并处理机器学习API请求。

在生产环境下,如果不修改elasticsearch节点的角色信息,在高数据量,高并发的场景下集群容易出现脑裂等问题。
默认情况下,elasticsearch集群中每个节点都有成为主节点的资格,也都存储数据,还可以提供查询服务。
节点角色是由以下属性控制:
node.master:  false|true        
node.data:  true|false
node.ingest:  true|false 
search.remote.connect: true|false
默认情况下这些属性的值都是true。

node.master:这个属性表示节点是否具有成为主节点的资格
注意:此属性的值为true,并不意味着这个节点就是主节点。因为真正的主节点,是由多个具有主节点资格的节点进行选举产生的。
node.data:这个属性表示节点是否存储数据。
node.ingest: 是否对文档进行预处理。
search.remote.connect:是否禁用跨集群查询

节点的五种组合

第一种   默认
node.master: true
node.data: true
node.ingest:  true
search.remote.connect: true
这种组合表示这个节点即有成为主节点的资格,又存储数据。
如果某个节点被选举成为了真正的主节点,那么他还要存储数据,这样对于这个节点的压力就比较大了。
测试环境下这样做没问题,但实际工作中不建议这样设置。
第二种  Data node
node.master: false
node.data: true
node.ingest: false
search.remote.connect: false
这种组合表示这个节点没有成为主节点的资格,也就不参与选举,只会存储数据。
这个节点称为data(数据)节点。在集群中需要单独设置几个这样的节点负责存储数据。后期提供存储和查询服务。
第三种  Master node
node.master: true
node.data: false
node.ingest: false
search.remote.connect: false
这种组合表示这个节点不会存储数据,有成为主节点的资格,可以参与选举,有可能成为真正的主节点。
这个节点我们称为master节点。
第四种  Coordinating Node
node.master: false
node.data: false
node.ingest: false
search.remote.connect: false
这种组合表示这个节点即不会成为主节点,也不会存储数据,
这个节点的意义是作为一个协调节点,主要是针对海量请求的时候可以进行负载均衡。
第五种  Ingest node
node.master: false
node.data: false
node.ingest: true
search.remote.connect: false
这种组合表示这个节点即不会成为主节点,也不会存储数据,
这个节点的意义是ingest节点,对索引的文档做预处理。

职责划分

生产集群中可以对这些节点的职责进行划分
建议集群中设置3台以上的节点作为master节点,这些节点只负责成为主节点,维护整个集群的状态。
再根据数据量设置一批data节点,这些节点只负责存储数据,后期提供建立索引和查询索引的服务,这样的话如果用户请求比较频繁,这些节点的压力也会比较大。
所以在集群中建议再设置一批协调节点,这些节点只负责处理用户请求,实现请求转发,负载均衡等功能。

节点需求
master节点:普通服务器即可(CPU、内存 消耗一般)
data节点:主要消耗磁盘、内存。
path.data: data1,data2,data3    
这样的配置可能会导致数据写入不均匀,建议只指定一个数据路径,磁盘可以使用raid0阵列,而不需要成本高的ssd。
Coordinating节点:对cpu、memory要求较高。

节点扩容

和之前安装一样,然后将集群名字改为之前所做的集群名字即可加入集群。实现扩容。

节点缩容

1.暴力一点就是之间停止节点,就会转移到别的节点
2. 正常转移方法,推荐
删除节点前迁移分片:
curl -X PUT "localhost:9200/_cluster/settings" -H 'Content-Type:application/json' -d '{"transient":{"cluster.routing.allocation.exclude._ip":"172.25.13.1"}}'
##删除节点:systemctl stop elasticsearch.service 

大V天龙123
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值