单台服务器部署elk实战

ELK概述
日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。
通常，日志被分散的储存不同的设备上。如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理，例如：开源的syslog，将所有服务器上的日志收集汇总。
集中化管理日志后，日志的统计和检索又成为一件比较麻烦的事情，一般我们使用grep、awk和wc等Linux命令能实现检索和统计，但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。

开源实时日志分析ELK平台能够完美的解决我们上述的问题，ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。
1：Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

2：Logstash是一个完全开源的工具，他可以对你的日志进行收集、过滤，并将其存储供以后使用（如，搜索）。

3：Kibana 也是一个开源和免费的工具，它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。

进行日志处理分析，一般需要经过一下几步：

（1）将日志进行集中化管理

（2）将日志格式化（Logstash）并输出到Elasticsearch

（3）对格式化后的数据进行索引和存储（Elasticsearch）

（4）前端数据的展示（Kibana）

1：ElasticSearch概述

Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

2：Elasticsearch核心概念
（1）接近实时（NRT）
Elasticsearch是一个接近实时的搜索平台。这意味着，从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟（通常是1秒）。

（2）集群（cluster）
一个集群就是由一个或多个节点组织在一起，它们共同持有你整个的数据，并一起提供索引和搜索功能。一个集群由一个唯一的名字标识，这个名字默认就是“elasticsearch”。这个名字是重要的，因为一个节点只能通过指定某个集群的名字，来加入这个集群。

（3）节点（node）
一个节点是你集群中的一个服务器，作为集群的一部分，它存储你的数据，参与集群的索引和搜索功能。和集群类似，一个节点也是由一个名字来标识的，默认情况下，这个名字是一个随机的漫威漫画角色的名字，这个名字会在启动的时候赋予节点。这个名字对于管理工作来说挺重要的，因为在这个管理过程中，你会去确定网络中的哪些服务器对应于Elasticsearch集群中的哪些节点。

一个节点可以通过配置集群名称的方式来加入一个指定的集群。默认情况下，每个节点都会被安排加入到一个叫做“elasticsearch”的集群中，这意味着，如果你在你的网络中启动了若干个节点，并假定它们能够相互发现彼此，它们将会自动地形成并加入到一个叫做“elasticsearch”的集群中。

在一个集群里，只要你想，可以拥有任意多个节点。而且，如果当前你的网络中没有运行任何Elasticsearch节点，这时启动一个节点，会默认创建并加入一个叫做“elasticsearch”的集群。

（4）索引（index）
一个索引就是一个拥有几分相似特征的文档的集合。比如说，你可以有一个客户数据的索引，另一个产品目录的索引，还有一个订单数据的索引。一个索引由一个名字来标识（必须全部是小写字母的），并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删除的时候，都要使用到这个名字。在一个集群中，可以定义任意多的索引。

（5）类型（type）
在一个索引中，你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区，其语义完全由你来定。通常，会为具有一组共同字段的文档定义一个类型。比如说，我们假设你运营一个博客平台并且将你所有的数据存储到一个索引中。在这个索引中，你可以为用户数据定义一个类型，为博客数据定义另一个类型，当然，也可以为评论数据定义另一个类型。

（6）文档（document）
一个文档是一个可被索引的基础信息单元。比如，你可以拥有某一个客户的文档，某一个产品的一个文档，当然，也可以拥有某个订单的一个文档。文档以JSON（Javascript Object Notation）格式来表示，而JSON是一个到处存在的互联网数据交互格式。

在一个index/type里面，你可以存储任意多的文档。注意，尽管一个文档，物理上存在于一个索引之中，文档必须被索引/赋予一个索引的type。

（7）分片和复制（shards & replicas）
一个索引可以存储超出单个结点硬件限制的大量数据。比如，一个具有10亿文档的索引占据1TB的磁盘空间，而任一节点都没有这样大的磁盘空间；或者单个节点处理搜索请求，响应太慢。为了解决这个问题，Elasticsearch提供了将索引划分成多份的能力，这些份就叫做分片。当你创建一个索引的时候，你可以指定你想要的分片的数量。每个分片本身也是一个功能完善并且独立的“索引”，这个“索引”可以被放置到集群中的任何节点上。分片很重要，主要有两方面的原因：
1）允许你水平分割/扩展你的内容容量。
2）允许你在分片（潜在地，位于多个节点上）之上进行分布式的、并行的操作，进而提高性能/吞吐量。

至于一个分片怎样分布，它的文档怎样聚合回搜索请求，是完全由Elasticsearch管理的，对于作为用户的你来说，这些都是透明的。

在一个网络/云的环境里，失败随时都可能发生，在某个分片/节点不知怎么的就处于离线状态，或者由于任何原因消失了，这种情况下，有一个故障转移机制是非常有用并且是强烈推荐的。为此目的，Elasticsearch允许你创建分片的一份或多份拷贝，这些拷贝叫做复制分片，或者直接叫复制。

复制之所以重要，有两个主要原因： 在分片/节点失败的情况下，提供了高可用性。因为这个原因，注意到复制分片从不与原/主要（original/primary）分片置于同一节点上是非常重要的。扩展你的搜索量/吞吐量，因为搜索可以在所有的复制上并行运行。总之，每个索引可以被分成多个分片。一个索引也可以被复制0次（意思是没有复制）或多次。一旦复制了，每个索引就有了主分片（作为复制源的原来的分片）和复制分片（主分片的拷贝）之别。分片和复制的数量可以在索引创建的时候指定。在索引创建之后，你可以在任何时候动态地改变复制的数量，但是你事后不能改变分片的数量。

默认情况下，Elasticsearch中的每个索引被分片5个主分片和1个复制，这意味着，如果你的集群中至少有两个节点，你的索引将会有5个主分片和另外5个复制分片（1个完全拷贝），这样的话每个索引总共就有10个分片

Logstash

1：Logstash介绍

Logstash有JRuby语言编写，运行在Java虚拟机（JVM）上，是一款强大的数据处理工具，可以实现数据传输、格式处理、格式化输出。Ligstash具有强大的插件功能，常用于日志处理。

Logstash的设计理念：Logstash只做三件事，数据输入、数据加工、数据输出

2：Logstash 工作的三个阶段：

（1）input 数据输入端，可以接收来自任何地方的源数据。

file：从文件中读取

syslog：监听在514端口的系统日志信息，并解析成RFC3164格式。

redis：从redis-server list 中获取

beat：接收来自Filebeat的事件

（2）Filter 数据中转层，主要进行格式处理，数据类型转换、数据过滤、字段添加，修改等，常用的过滤器如下。

grok: 通过正则解析和结构化任何文本。

mutate: 在事件字段执行一般的转换。可以重命名、删除、替换和修改事件字段。

drop: 完全丢弃事件，如debug事件。

clone: 复制事件，可能添加或者删除字段。

geoip: 添加有关IP地址地理位置信息。

（3）output 是logstash工作的最后一个阶段，负责将数据输出到指定位置，兼容大多数应用，常用的有:

elasticsearch: 发送事件数据到 Elasticsearch，便于查询，分析，绘图。

file: 将事件数据写入到磁盘文件上。

mongodb:将事件数据发送至高性能NoSQL mongodb，便于永久存储，查询，分析，大数据分片。

redis:将数据发送至redis-server，常用于中间层暂时缓存。

graphite: 发送事件数据到graphite。

statsd: 发送事件数据到 statsd。

2：Logstash组件

（1）Shipper：日志收集者，负责监控本地日志文件的变化，及时收集最新的日志文件内容

（2）Indexer：日志存储者，负责接收日志并写入到本地文件

（3）Broker：日志Hub，负责链接多个Shipper和多个Indexer

（4）Search and Storage：允许对时间进行搜索和存储

（5）Web Interface：基于web的展示界面

Kibana

1：Kibana介绍

Kibana 是一个设计使用和Elasticsearch配置工作的开源分析和可视化平台。可以用它进行搜索、查看、集成Elasticsearch中的数据索引。可以利用各种图表、报表、地图组件轻松的对数据仅进行可视化分析

2：Kibana主要功能

Elasticsearch无缝集成

整合数据

复杂数据分析

让更多的团队成员收益

接口灵活

配置简单

可视化多数据源

简单数据导出

步骤：

1：配置java环境（jdk1.8）

export JAVA_HOME=/usr/local/java
export PATH=$PATH:$JAVA_HOME/bin
export CLASSPATH=$JAVA_HOME/jre/lib/ext:$JAVA_HOME/lib/tools.jar

source /etc/profile

上传logstash

设置一个grok的过滤器然后输入hello world 测试

[root@bogon ~]# tar zxvf logstash-2.3.3.tar.gz 
[root@bogon ~]#cd logstash-2.3.3/bin/
[root@bogon bin]# ./logstash -e 'input{stdin{}}filter{grok{match=>{"message"=>"%{DATA:a}%{GREEDYDATA:b}"}}}output{stdout{codec=>rubydebug}}'
Settings: Default pipeline workers: 1
Pipeline main started
hello world
{
       "message" => "hello world",
      "@version" => "1",
    "@timestamp" => "2018-09-30T13:44:20.379Z",
          "host" => "bogon",
             "b" => "hello world"
}

部署elastic search

将下载的elastic search解压到对应的目录

[root@localhost ~]# tar zxvf elasticsearch-2.3.3.tar.gz -C  /usr/local/
创建普通用户用于启动elastic search（因为新版本的启动脚本不能用root用户启动）并设置相应的权限
[root@localhost ~]# useradd  user1
[root@localhost ~]# passwd user1 
修改elastic search的文件属主为user1
[root@bogon ~]# chown -R user1:user1 /usr/local/elasticsearch-2.3.3 
[root@localhost ~]# su - user1
修改 network.host: 192.168.100.11
把注释取消并改为本机ip
[user1@localhost ~]$ vim /usr/local/elasticsearch-2.3.3/config/elasticsearch.yml
 network.host: 192.168.100.11
启动elastic search
[user1@bogon ~]$ /usr/local/elasticsearch-2.3.3/bin/elasticsearch

访问本机ip：9200端口

创建logstash测试文件观察elastic search是否收到数据

[root@bogon ~]# vim logstash.conf
input{
stdin{}
}
output{
elasticsearch{hosts=>"192.168.100.11"}
}

执行测试文件并输入测试语句

[root@bogon ~]# logstash-2.3.3/bin/logstash -f logstash.conf 
Settings: Default pipeline workers: 1
Pipeline main started
hello world

使用浏览器访问 http://192.168.100.11:9200/_search?pretty/

部署kibana

[root@bogon ~]# tar zxvf kibana-4.5.1-linux-x64.tar.gz -C /usr/local/
[root@bogon ~]# /usr/local/kibana-4.5.1-linux-x64/bin/kibana 
执行后会报错误
 log   [21:58:37.097] [error][elasticsearch] Request error, retrying -- connect ECONNREFUSED 127.0.0.1:9200
解决方法
[root@bogon ~]# vim /usr/local/kibana-4.5.1-linux-x64/config/kibana.yml 

 elasticsearch.url: "http://192.168.100.11:9200"  #取消注释改为监听的本机IP

 kibana.index: ".kibana"    取消注释

访问本机IP的5601端口 后创建默认索引

安装HTTP服务并写收集HTTP日志的配置文件

[root@bogon ~]# yum -y install httpd
[root@bogon ~]# vim logstash_httpd.conf
input {
        file {
          path=>"/etc/httpd/logs/access_log"
          type=>"access"
          start_position=>"beginning"
             }
   

        file {
          path=>"/etc/httpd/logs/error_log"
          type=>"error"
          start_position=>"beginning"
             }
}

output {
        if [type]=="access" {
        elasticsearch {
          hosts=>["192.168.100.11:9200"]
          index=>"apache_access-%{+YYYY.MM.dd}"
             }
         }
        if [type]=="error" {
        elasticsearch {
          hosts=>["192.168.100.11:9200"]
          index=>"apache_error-%{+YYYY.MM.dd}"
             }
         }

      }

[root@bogon ~]# systemctl start httpd
[root@bogon ~]# logstash-2.3.3/bin/logstash -f logstash_httpd.conf 
Settings: Default pipeline workers: 1
Pipeline main started

访问HTTP网站后查看