ELK日志分析系统

最新推荐文章于 2024-05-18 19:04:45 发布
最新推荐文章于 2024-05-18 19:04:45 发布
阅读量473 收藏
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67033111/article/details/125610943
版权

一、ELK日志分析系统简介

1.1、日志服务器

1.1.1、提高安全性

1.1.2、集中存放日志

1.1.3、缺陷

对日志的分析困难

1.2、ELK日志分析系统

1.2.1、Elasticsearch

1.2.2、Logstash

1.2.3、Kibana

1.3、日志处理步骤

1.3.1、将日志进行集中化管理

1.3.2、将日志格式化(Logstash)并输出到(Elasticsearch)

1.3.3、对格式化后的数据进行索引和存储(Elasticsearch)

1.3.4、前端数据的展示(Kibana)

Top

二、ELK组件介绍

2.1、ELasticsearch的概述

  • 提供了一个分布式多用户能力的全文搜索引擎

2.2、Elasticsearch核心概念

2.2.1、接近实时

  • elasticsearch是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟(通常是1秒)

2.2.2、集群

  • 一个集群就是由一个或多个节点组织在一起,它们共同持有你整个的数据,并一起提供索引和搜索功能。其中一个节点为主节点,这个主节点是可以通过选举产生的,并提供跨节点的联合索引和搜索的功能。集群有一个唯一性标示的名字,默认是elasticsearch,集群名字很重要,每个节点是基于集群名字加入到其集群中的。因此,确保在不同环境中使用不同的集群名字。一个集群可以只有一个节点。强烈建议在配置elasticsearch时,配置成集群模式。

2.2.3、节点

  • 节点就是一台单一的服务器,是集群的一部分,存储数据并参与集群的索引和搜索功能。像集群一样,节点也是通过名字来标识,默认是在节点启动时随机分配的字符名。当然,你可以自己定义。该名字也很重要,在集群中用于识别服务器对应的节点。节点可以通过指定集群名字来加入到集群中。默认情况,每个节点被设置成加入到elasticsearch集群。如果启动了多个节点,假设能自动发现对方,他们将会自动组建一个名为elasticsearch的集群。

2.2.4、索引

  • 索引(库)→类型(表)→文档(记录)

2.2.5、分片和副本

  • 在实际情况下,索引存储的数据可能超过单个节点的硬件限制。如一个10亿文档需1TB空间可能不适合存储在单个节点的磁盘上,或者从单个节点搜索请求太慢了。为了解决这个问题,elasticsearch提供将索引分成多个分片的功能。当在创建索引时,可以定义想要分片的数量。每一个分片就是一个全功能的独立的索引,可以位于集群中任何节点上。
  • 每个索引可以被分成多个分片。一个索引也可以被复制0次(意思是没有复制)或多次。一旦复制了,每个索引就有了主分片(作为复制源的原来的分片)和复制分片(主分片的拷贝)之别。分片和副本的数量可以在索引创建的时候指定。
  • 在索引创建之后,你可以在任何时候动态地改变副本的数量,但是你事后不能改变分片的数量。
    默认情况下,Elasticsearch中的每个索引被分片5个主分片和1个副本,这意味着,如果你的集群中至少有两个节点,你的索引将会有5个主分片和另外5个副本分片(1个完全拷贝),这样的话每个索引总共就有10个分片。

2.3、Logstash介绍

2.3.1、Logstash介绍

  • 一款强大的数据处理工具
  • 可实现数据传输、格式处理、格式化输出
  • 数据输入、数据加工(如过滤,改写等)以及数据输出

2.3.2、Logstash主要组件

  • Shipper:日志收集者,负责监控本地日志文件的变化,及时把日志文件的最新内容收集起来。通常,远程代理端(agent)只需要运行这个组件即可
  • Indexer:日志存储者,负责接收日志并写入到本地文件
  • Broker:日志hub,负责连接多个shipper和多个indexer
  • Search and Storage:允许对事件进行搜索和存储
  • Web Interface:基于Web的展示界面

2.4、Kibana介绍

2.4.1、Kibana介绍

  • 一个针对Elasticsearch的开源分析及可视化平台
  • 搜索、查看存储在Elasticsearch索引中的数据
  • 通过各种图表进行高级数据分析及展示

2.4.2、Kibana主要功能

  • Elasticsearch无缝之集成
  • 整合数据,复杂数据分析
  • 让更多团队成员受益
  • 接口灵活,分享更容易
  • 配置简单,可视化多数据源
  • 简单数据导出

Top

三、ELK日志问及那系部署

3.1、环境说明

部署两台Elasticsearch做集群,node1做ELK日志分析系统

apache

20.0.0.30

httpd

Logstash

node1

20.0.0.10

Elasticsearch

Kinaba

node2

20.0.0.20

Elasticsearch

3.2、Elasticsearch配置(下面的操作都需要在node1、node2上配置)

3.2.1、安装密钥及elasticsearch源

 1 [root@node1 ~]# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
 2 [root@node1 ~]# cd /etc/yum.repos.d/
 3 [root@node1 yum.repos.d]# vi elasticsearch.repo
 4 [elasticsearch-2.x]
 5 name=Elasticsearch repository for 2.x packages
 6 baseurl=http://packages.e
最低0.47元/天 解锁文章
金陵小镇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK日志系统搭建完整详细步骤
qq_39093474的博客
05-23 940
为什么需要引进这个ELK日志采集系统呢?
ELK 日志分析系统
lcy913的博客
01-20 1624
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash 和 Kiabana三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)●input:表示从数据源采集数据,常见的数据源如Kafka、日志文件等●filter:表示数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式。
ELK 日志监控平台(二)- 优化日志格式
最新发布
AHAO的博客
05-18 1139
其实细心一点就会发现一个问题,输出到 ES 的日志格式一点也不友好,实际的应用日志信息都集中在message索引字段中,而且日志的实际输出时间也不是应用中打印日志的时间,而是输出到 ES 的时间。插件可以用来转换你的日志记录中的时间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里。一个良好的日志格式可以确保日志信息易于阅读、解析和分析,便于在日志分析和故障排查中发挥作用。仔细查看可知,输出的日志信息与预期一致,并且我们日志打印时间也和实际的时间一致。
Docker安装ELK并实现JSON格式日志分析的方法
01-10
ELK是什么 ELK是elastic公司提供的一套完整的日志收集以及前端展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash和Kibana。 其中Logstash负责对日志进行处理,如日志的过滤、日志格式化等;ElasticSearch具有强大的文本搜索能力,因此作为日志的存储容器;而Kibana负责前端的展示。 ELK搭建架构如下图: 加入了filebeat用于从不同的客户端收集日志,然后传递到Logstash统一处理。 ELK的搭建 因为ELK是三个产品,可以选择依次安装这三个产品。 这里选择使用Docker安装ELk。 Docker安装ELk
ELK+logstash配置日志报警
qq_40907977的博客
03-31 1838
需求 通过读取日志文件监控,过滤日志信息的异常关键词,如ERR,error,Failed,warning等信息,将这些带有异常关键词的异常日志信息过滤出来,然后输出到zabbix,通过zabbix告警机制实现触发告警,下面环境是filebeat作为采集端,最后由logsatsh拉取日志并过滤,输出到zabbix 2 客户端——tomcat日志格式统一 修改tomcat7 默认catalina .o...
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。...它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
ELK日志分析系统搭建
05-01
ELK(Elasticsearch、Logstash和Kibana) 日志分析 系统搭建
elk日志分析系统
02-16
Centos7下搭建ELK日志分析系统
11-02
本文档记录了个人在centos7环境下搭建ELK日志分析系统的步骤及遇到的问题、处理记录。明细罗列了本次搭建的系统环境和软件版本,操作系统为centos7.6,elk对应版本为7.9.3, redis版本为6.0.6。受限于更明细的环境差别...
ELK日志处理
fang.lovest.yang的博客
07-17 4034
Linux ELK初体验 ELK实际上是三个工具,Elastricsearch + LogStash + Kibana,通过ELK,用来收集日志还有进行日志分析,最后通过可视化UI进行展示。一开始业务量比较小的时候,通过简单的SLF4J+Logger在服务器打印日志,通过grep进行简单查询,但是随着业务量增加,数据量也会不断增加,所以使用ELK可以进行大数量的日志收集和分析。 安装步骤:Spring Boot 搭建 ELK,这才是正确看日志的方式! 注意问题: 1.配置JDK...
ELK日志处理之使用Grok解析日志
热门推荐
1.02^365=1377.41
03-17 2万+
介绍如何在logstash中使用Grok和正则表达式解析任意格式日志,以及Grok Debugger的使用。
使用ELK搭建日志收集和分析系统
lonely_baby的博客
03-05 464
总之,使用ELK搭建日志收集和分析系统可以帮助企业和组织更好地管理和分析日志数据,识别问题和优化系统,提高系统的性能和稳定性。同时,也可以结合其他工具和技术使用,以满足不同场景和需求的要求。配置Kibana进行数据可视化和分析。配置Logstash收集日志数据。安装Elasticsearch。扩展和优化日志收集和分析系统。安装Java运行环境。安装Logstash。
ELK日志收集
u010864567的博客
04-16 5193
搭建ELK ELK是由elasticsearch、logstash、kibana三个开源软件组成的一个组合体,ELK是elastic公司公司研发的一套完整的日志收集、分析和展示的企业级解决方案,在这三个软件当中,每个软件用于完成不同的功能,官方域名为elastic.io,ELK stack的主要优点: 处理方式灵活:elasticsearch是实时全文索引,具有强大的搜索功能 配置相当简单:elasticsearch的API全部使用JSON接口,logstash使用模块配置,kibana的配置文件部分
使用 ELK 收集日志
Huangjiazhen711的博客
09-13 1572
在当前分布式、微服务架构下,各个应用都部署在不同的服务器上,每个应用都在记录着自己重要或者不重要的日志信息。当我们要通过日志信息来排查错误时,可以根据出错应用在对应的机器上找报错相关的日志信息。但是,可能我们不具有相应服务器的访问权限,也可能相同的应用部署在多台服务器上,导致根本不知道在哪台服务器上找日志。遇到类似这样的尴尬,想要通过日志来排查错误就搞得很麻烦。在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。
ELK系列(六)、修改Nginx日志为Json格式并使用Logstash导入至ES
王义凯 的博客
05-23 3875
前面我们介绍了使用logstash监控nginx日志,nginx日志默认是httpd格式日志,对于开发人员来说,json格式更加友好,因此本篇我们就介绍如何修改nginx的默认日志格式,以及如何使用logstash的插件解析json格式日志,然后写入到ES中。 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0 ELK系列(二)、在Kibana中使用RESTful操作ES库 ELK系列(三)、安装Logstash插件及打包离线安装.
创业公司做数据分析(四)ELK日志系统
茅庐
01-07 1万+
本文将重点探讨数据采集层中的ELK日志系统,结合自身实践来介绍如何使用ELK系统、使用中的问题以及如何解决。ELK是一套开源的集中式日志数据管理的解决方案,由Elasticsearch、Logstash和Kibana三个系统组成。
运维必备——ELK日志分析系统
礁之的博客
12-17 1万+
日志分析是运维工程师解决系统故障、发现问题的主要手段
ELK日志分析系统的工作原理
02-28
ELK日志分析系统是由三个主要组件组成的:Elasticsearch、Logstash 和 Kibana。 1. Elasticsearch 是一个开源搜索引擎,它能够存储和查询大量的日志数据。 2. Logstash 是一个数据收集和处理工具,它能够从多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值