ELK学习记录

最新推荐文章于 2023-09-03 22:23:57 发布
最新推荐文章于 2023-09-03 22:23:57 发布
阅读量176 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsylina/article/details/116255617
版权

ELK学习记录

是什么

Filebeat是一个轻量化的日志监测、传输工具,最大的特点就是性能稳定、配置简单、占用系统资源少。

架构

  • Prospector探测器

    发现日志文件

  • Harvester收集器

    收集发送日志

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

IP地址主机名角色所属集群
192.168.1.10filebeatserver业务服务器+filebeat业务服务器
192.168.1.20kafkazk1kafka+zookeeperKafka集群
192.168.1.30kafkazk2kafka+zookeeperKafka集群
192.168.1.40kafkazk3kafka+zookeeperKafka集群
192.168.1.50logstashserverlogstash数据转发
192.168.1.60server1ES Master,ES DataNodeES集群
192.168.1.70server2ES Master,KibanaES集群
192.168.1.80server3ES Master,ES DataNodeES集群

部署ELK集群

环境部署

  • 安装JDK

    yum -y install java-1.8.0-openjdk.x86_64

  • 设置各主机间的免密登录

    设置公私钥
ssh-keygen -t rsa
把公钥传给其他主机
ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.1.*

  • 安装Elasticsearch集群
    在这里插入图片描述

  • 安装Elasticsearch集群

    • 解压

      tar -axvf elasticsearch*

我们将ES安装到/usr/local/文件目录下,ES在5.0版本以后,为了安全,禁止使用root用户启动ES,需要重新创建用户来启动

useradd elastic
chown -R elastic:elastic /usr/local/elasticsearch/

  • 对elasic的优化

    • linux操作系统优化

      修改 /etc/sysctl.conf
fs.file-max=655360   #配置系统最大打开的文件描述符数目,建议修改为655360或者更高
vm.max_map_count=262144   #影响java线程数量,用于限制一个进程可以拥有的VMA(虚拟内存区域)的大小,系统默认65530,建议修改为262114或者更高

另外,还需要调整进程最大打开文件描述符(nofile)、最大用户进程数(nproc)和最大锁定内存地址空间(memlock),添加如下内容到/etc/security/limits.conf文件中:
* soft nproc   20480
* hard nproc   20480
* soft nofile  65536
* hard nofile  65536
* soft memlock unlimited
* hard memlock unlimited

最后,还需要修改/etc/security/limits.d/20-nproc.conf文件,将:
soft nproc  4096
修改为:
soft nporc  20480
或者直接删除这个文件也可以!
加载配置:
sysctl -p
ulimit -a


JVM调优
 需要调整的文件位于ES安装目录下面的conf目录下的jvm.options,打开以后的内容如下:
 -Xms4g
 -Xmx4g
 可以看到,默认的JVM内存为4G,可以根据服务器内存大小,修改为合适的值,一设置为服务器物理内存的一半为最佳!

    • 配置ES配置文件

      elasticsearch.yml文件
cluster.name: elkbigdata  #配置ES集群的名称,如果在同一个网段下有多个集群,可以通过这个名称来区分不同集群
node.name: ESserver1   #指定节点的名称,可以任意命名
node.master: true    # 指定该节点是否有权利成为master,默认为true
node.data: true    #指定该节点是否为存储索引的节点(数据节点),默认为true
path.conf: /usr/local/elasticsearch/config  #设置配置文件的存储路径
path.data:/path/to/data  #设置索引存储的路径,可以设置多个,不设置的话,默认存储到安装目录下的data目录
path.logs: /path/to/logs  # 指定日志存储的路径,默认在安装目录下的log目录
path.plugins:  # 插件的存放路径
bootstrap.memory_lock: true #是否用来锁住物理内存,linux物理内存的效率远远高于swap内存,建议设置为true
network.host: 0.0.0.0 #ES集群提供服务的IP
http.port: 9200 #对外端口
discovery.zen.minimum_master_nodes: 1 # 配置集群中最少的master节点数,master节点数不能低于这个值
discovery.zen.ping.timeout: 3s #自动发现超时时间
discovery.zen.ping.multicast.enabled: false #
discovery.zen.ping.unicast.hosts: ["192.168.1.70:9300","192.168.1.80:9300","192.168.1.60:9300"] #master节点初始化列表

ELK(FileBeat+Zookeeper+Kafka+Logstash+Elasticsearch+Kibana)

ELK实战案例(收集Nginx调度器日志可视化案例)
  • Nginx的日志格式与日志变量

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • 定义Nginx日志格式

    map $http_x_forwarded_for $clientRealIp {
""		$remote_addr;
~^(?P<firstAddr>[0-9\.]+),?.*$		$firstAddr;
}

log_format nginx_log_json
'{"accessip_list:"$proxy_addr_x_forwarded-for","client_ip":"$clientRealIp","http_host":"$host","@timestamp":"$time_iso8601","method":"$request_method","url":"$request_uri","status":"$status","http_referer":"$http_referer","body_bytes_sent":"$body_bytes_sent","request_time":"$request_time","http_user_agent":"$http_user_agent","total_bytes_sent":"$bytes_sent","server_ip":"$server_addr"}';

access_log		/var/log/nginx/logs/access.log			nginx_log_json;

  • 定义Logstash事件文件

    input{
        kafka{        
        bootstrap_servers=>"192.168.1.20:9092,192.168.1.30:9092,192.168.1.40:9092"
        topics=>["nginx_logs"]
        codec=> json {  #表明输入的数据是json格式,需要json解析
        		charset => "UTF-8" #解析特殊字段
        			}
        add_field => {"[@metadata][myid]" => "nginxaccess-log"} #增加一个字段,方便后面引用
        	}
        }


filter{
	if [@metadata][myid] == "nginxaccess-log" {
	mutate {
	gsub => ["message","\\x","\\\x"] #使中文可以正常显示的处理
		  }
	if ("method":"HEAD" in [message]) {
	drop{} # 如果请求方法是HEAD则丢弃
	}
	json {
	source => "message"  #引用字段,表示对那个字段进行解码
	remove_field => "prospector"
	remove_field => "beat"
	remove_field => "source"
	remove_field => "input"
	remove_field => "offset"
	remove_field => "fields"
	remove_field => "host"
	remove_field => "@version"
	remove_field => "message" # 前面已经被解码,现在可以删除,不然就存储两份,浪费资源
	}
	}
	}
output{
   if [@metadata][myid] == "nginxaccess-log" {
        elasticsearch {
                hosts => ["192.168.1.60:9200"]
                index => "nginx_logs-%{+YYYY-MM-dd}"
        }
}
}
WillianmsLee
关注
专栏目录
ELK学习笔记(二)【原创】
04-26
本文将深入探讨ELK学习笔记的第二部分,主要关注Logstash,一个强大的数据处理管道,以及如何配置它来作为日志接入网关。我们将通过分析提供的`logstash_gateway.conf`配置文件来理解Logstash的工作原理和设置。 ...
bootstrap.memory_lock
qq422431474的博客
03-15 6228
由于当jvm开始swapping时es的效率会降低,所以要保证它不swap,这对节点健康极其重要。实现这一目标的一种方法是将bootstrap.memory_lock设置为true。 要使此设置有效,首先需要配置其他系统设置。有关如何正确设置内存锁定的更多详细信息,请参阅启用bootstrap.memory_lock。 bootstrap.memory_lock: 是否锁住内存,避免交换(swapped)带来的性能损失,默认值是: false bootstrap.system_call_filter:..
【ElasticSearch系列(三)】性能优化之bootstrap.memory_lock: true
热门推荐
欢迎来到【战羽】的博客
03-31 2万+
es中的/home/es/elasticsearch-6.3.0/config/elasticsearch.yml配置文件,如果bootstrap.memory_lock这项使用默认配置,会导致硬盘频繁读,IOPS变高。 因此bootstrap.memory_lock需要设置成bootstrap.memory_lock: true 这个配置的意义:锁定物理内存地址,防止es内存被交换出去,也就是......
【详解配置文件系列】es7配置文件详解
最新发布
程序员朱永胜
09-03 1112
节点名称可以是任何合法的字符串,但最好选择一个具有描述性的名称,以便在集群中识别和管理节点。集群名称可以是任何合法的字符串,但最好选择一个具有描述性的名称,以便在多个集群之间区分。在配置节点时,根据集群的需求和规模,需要仔细考虑数据节点的数量和分布。是 Elasticsearch 配置文件中的一个选项,用于锁定 Elasticsearch 进程的内存,以防止内存被交换到磁盘上。在配置节点时,根据集群的规模和需求,需要仔细选择主节点的数量和分布。通常建议在较大的集群中选择多个主节点,以提高冗余性和可用性。
ERROR: bootstrap checks failed memory locking requested for elasticsearch process but memory is not
xiangjai的专栏
10-21 3249
官网说明: elasticsearch官网建议生产环境需要设置bootstrap.memory_lock: true 官网的解释 是:发生系统swapping的时候ES节点的性能会非常差,也会影响节点的稳定性。所以要不惜一切代价来避免swapping。swapping会导致Java GC的周期延迟从毫秒级恶化到分钟,更严重的是会引起节点响应延迟甚至脱离集群。 所以最好限制住elasticsearch占用的内存情况,可选少用swap 错误内容: 开启bootstrap.memory_lock: tr
Elasticsearch 常见的 8 种错误及最佳实践
hellozhxy的博客
08-05 2676
Elasticsearch 社区有大量关于 Elasticsearch 错误和异常的问题。 深挖这些错误背后的原因,把常见的错误积累为自己的实战经验甚至是工具,不仅可以节省我们的开发和运维时间,而且可以帮助确保 Elasticsearch 集群的长期健康运行。 常见的异常、原因和常规最佳实践拆解如下,这些最佳实践可以帮助我们更有效地识别、最小化定位和处理异常问题。 1、 Mapper_parsing_exception Elasticsearch 依靠映射(Mapping)定义的数据类型处理数据。
ELK学习笔记1
08-08
ELK学习笔记1
ELK学习笔记(六)【原创】
05-01
标题 "ELK学习笔记(六)【原创】" 暗示了这是一篇关于ELK Stack(Elasticsearch、Logstash、Kibana)的系列教程中的第六部分,主要聚焦于Logstash,一个用于数据收集、处理和转发的工具。在ELK Stack中,Logstash扮演...
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
02-03
### ELK环境搭建知识点详解 #### 一、Virtualbox/Vagrant安装 在搭建ELK环境时,使用虚拟化工具如Virtualbox与Vagrant可以极大地方便我们进行环境配置与管理。 **1.1 Virtualbox安装** - **安装步骤**: - 在...
Elasticsearch 弹性搜索(二)单机配制
01-20
配制 # 编辑配制文件 vim /usr/local/es1/config/elasticsearch.yml xpack.ml.enabled: false network.host: 0.0.0.0 http.port: 8301 #memory bootstrap.memory_lock: false bootstrap.system_call_filter: false 启动 注意:非常吃CPU,其次是内存,单核,2G表示OVER! 用虚拟机吧 # 尝试启动 /usr/local/es1/bin/elasticsearch # 错误 [1]: max file descriptors
解决ES6.6.0开启锁定内存后不能重新,报错“memory locking requested for elasticsearch process but memory is not locked”
Mr.李的博客
05-19 5189
错误原因就是我们在配置文件里开启了 bootstrap.memory_lock: true 不需要次需求的话,改成false就好 如果需要开启,按照下面来,亲测可行 [root@localhost ~]# !234 grep -Ev "#|^$" /etc/elasticsearch/elasticsearch.yml node.name: node-1 path.data: /data/elasticsearch path.logs: /var/log/elasticsearch bootstrap.m
elasticsearch bootstrap.memory_lock
brywzy的博客
07-17 177
检查bootstrap.memory_lock设置是否生效 get http://10.127.0.1:9200/_nodes?filter_path=**.mlockall 响应: { "nodes": { "9giihmDNRdS136KT52Gl5g": { "process": { "mlockall": ...
kibana几次崩溃问题引发的探索
墨的博客
11-17 5996
写在最前此文仅作为本人网络日志,记录工作学习经验以备忘。并非教程、论文或心得。问题近两天每天早上回来发现测试机上kibana的进程消失了假设因为之前在1G内存的机器上跑ELK时,如果安装了x-pack就会导致启动kibana时elasticsearch崩溃掉,并且在扩大内存之后问题解决,因此假设问题在于out of memory目的elasticsearch占用内存比较大,网上大多优化配置是加大el
解决ES6.6.0开启锁定内存后不能重新,报错“memory locking requested for elasticsearch process but
web18334137065的博客
03-30 1753
错误原因就是我们在配置文件里开启了 bootstrap.memory_lock: true 不需要次需求的话,改成false就好 如果需要开启,按照下面来,亲测可行 [root@localhost ~]# !234 grep -Ev "#|^$" /etc/elasticsearch/elasticsearch.yml node.name: node-1 path.data: /data/elasticsearch path.logs: /var/log/elasticsearch bootstrap.m
bootstrap.memory_lock: true
mzm018的博客
08-05 799
https://stackoverflow.com/questions/51382869/unable-to-lock-jvm-memory-error-12-reason-cannot-allocate-memory-elasticsear
Elasticsearch相关配置
vincent_duan的专栏
08-20 653
bootstrap.memory_lock bootstrap.memory_lock: true锁定物理内存地址,防止es内存被交换出去,也就是避免es使用swap交换分区。频繁的交换,会导致IOPS变高。 bootstrap.system_call_filter 系统调用过滤检查。根据不同的操作系统,ES安装各种不同的系统调用过滤器(在Linux下使用seccomp)。这些过滤器可以阻止一些攻击行为。 作为一个服务端进程,当由于某些系统漏洞被攻击者去的晋城的权限时,攻击者可以使用启动当前进程的用户权限执
ElasticSearch还能性能调优,涨见识、涨见识了!!!
博学谷狂野架构师的博客
03-29 896
性能优化是个涉及面非常广的问题,不同的环境,不同的业务场景可能会存在不同的优化方案,本文只对一些相关的知识点做简单的总结,具体方案可以根据场景自行尝试。一般情况,如果ID字段不会被用作Range 类型搜索字段,都可以定义成keyword类型,这是因为keyword会被优化,以便进行terms查询,Integers等数字类的mapping类型,会被优化来进行range类型搜索,将integers改成keyword类型之后,搜索性能大约能提升30%。您的支持是我坚持写作最大的动力。博学谷狂野架构师。
Linux系统下安装 Elasticsearch 6.XX 外网无法访问的问题
weixin_40632733的博客
02-22 2180
  修改配置文件elasticsearch.yml [wys@elk2 elasticsearch-6.2.2]$ vim config/elasticsearch.yml      放开下面的注解 然后配置相应的内容 network.host: 172.16.1.177 #主机地址,这里写本机IP http.port: 9200 #端口   修改后,再次启动ES后,可...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值