ELK整合:ElasticSearch定期删除过期数据

最新推荐文章于 2023-08-17 22:38:43 发布
最新推荐文章于 2023-08-17 22:38:43 发布
阅读量8k 收藏 24
点赞数 2
分类专栏: elasticSearch 文章标签: Es es删除过期数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiatiandexiangrikui/article/details/87936654
版权

ELK 由三部分组成elasticsearch、logstash、kibana,elasticsearch是一个近似实时的搜索平台,它让你以前所未有的速度处理大数据成为可能。

Logstash:日志收集工具,可以从本地磁盘,网络服务(自己监听端口,接受用户日志),消息队列中收集各种各样的日志,然后进行过滤分析,并将日志输出到Elasticsearch中。

Elasticsearch:日志分布式存储/搜索工具,原生支持集群功能,可以将指定时间的日志生成一个索引,加快日志查询和访问。

Kibana:可视化日志Web展示工具,对Elasticsearch中存储的日志进行展示,还可以生成炫丽的仪表盘。

1:logstash安装部署文档

1.上传logstash安装包,解压logstash.tar.gz:

执行命令:tar -zxvf logstash.tar.gz

2.修改jdk版本为1.8,进入logstash/bin目录,修改logstash.lib.sh:

查看logstash.lib.sh中:

  setup_java() { if [ -z "$JAVACMD" ] ; then if [ -n "$JAVA_HOME" ] ;

then JAVACMD="$JAVA_HOME/bin/java" else JAVACMD="java"

  定义了一个setup_java的函数,setup_java被setup函数调用,最终被bin/logstash启动脚本调用,因此,我们只需要在logstash或logstash.lib.sh的行首位置添加两个环境变量:(为自己jdk地址)

   export JAVA_CMD="/opt/springboot/jdk1.8/jdk1.8.0_171/bin"

   export JAVA_HOME="/opt/springboot/jdk1.8/jdk1.8.0_171"

3.测试是否安装成功

 在logstash的bin目录下执行:

 ./logstash  -e 'input { stdin { } } output { stdout {} }'

运行成功后,输入数据,会打印出相关数据,及表示安装成功。

2:ElasticSearch安装部署文档

Elasticsearch是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据。
   Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。

ElasticSearch和solr对比:

部署jdk:上传jdk-8u171-linux-x64.tar.gz,解压。

部署es:上传elasticsearch-6.3.1.tar.gz,解压。

修改启动脚本:

我们需要在启动elasticsearch时,就需要指定jdk版本。
即修改elasticsearch的启动脚本(elasticsearch_HOME/bin/elasticsearch)

[root@master01 elasticsearch-6.0.0]# vim bin/elasticsearch

# 添加以下代码

export JAVA_HOME=/opt/springboot/jdk1.8/jdk1.8.0_171

export PATH=$JAVA_HOME/bin:$PATH

运行:切换到普通用户: su   es;

      进入es的安装bin目录下,运行elasticSearch命令。

遇到的问题

报错:max size virtual memory for user [elastic] is too low, increase to [unlimited]

修改:

/etc/security/limits.conf

* hard memlock unlimited

* soft memlock unlimited

* hard nofile 65536

* soft nofile 65536

*  - as unlimited

/etc/sysctl.conf

fs.file-max = 2097152

vm.max_map_count = 262144

vm.swappiness = 1

elasticsearch.yml

node.name: elasticsearch

http.cors.enabled: true

http.cors.allow-origin: "*"

transport.host: 192.168.1.24

transport.tcp.port: 9300

http.port: 9200

network.host: 0.0.0.0

bootstrap.memory_lock: false

bootstrap.system_call_filter: false

 

3:springboot上传日志到elasticsearch

  1. 配置logstash相关配置文件

在bin目录下新建jdbc.conf,配置输入输出位置信息。

springboot整合logstash,添加依赖,配置文件,conf文件中配置监听的端口号,写到elasticsearch中。

input {

     tcp {

         port => 9250

         mode => "server"

         tags => ["tags"]

         codec => json_lines

         }

}

output{

      elasticsearch {

      hosts => ["192.168.1.24:9200"]

      index => "spboot-%{+YYYY.MM.dd}"

      }

      stdout{ codec => rubydebug }

}

启动logstash,指定配置文件,执行命令logstash -f ./jdbc.conf

后台执行命令:nohup ./logstash -f ./jdbc.conf > ./logstash.log 2>&1 &

上传到es中的文件名格式:spboot-2019.02.26,es清除数据的时候会根据格式删除当天的索引。

springboot整合logstash,上传日志到es:

  1. springboot添加相关依赖

<dependency>
    <groupId>net.logstash.logback</groupId>
    <artifactId>logstash-logback-encoder</artifactId>
    <version>5.1</version>
</dependency>

  1. 在springboot项目中的src/main/resources目录下,创建logback-spring.xml

文件,配置相关信息。

指定logstash的安装地址及打印相关日志

<?xml version="1.0" encoding="UTF-8"?>
<configuration scan="true" scanPeriod="60 seconds" debug="false">
    <include resource="org/springframework/boot/logging/logback/base.xml" />
    <contextName>logback</contextName>
    <!-- 记录文件到特定目录 -->
    <!-- <property name="log.path" value="E:\\test\\logback.log" /> -->
    <property name="log.path" value="./logback.log" />
    <appender name="stash" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <destination>192.168.1.24:9250</destination>
        <encoder class="net.logstash.logback.encoder.LogstashEncoder" />
    </appender>
    <!--输出到控制台-->
    <appender name="console" class="ch.qos.logback.core.ConsoleAppender">
        <!-- <filter class="ch.qos.logback.classic.filter.ThresholdFilter">
         <level>ERROR</level>
        </filter>-->
        <encoder>
            <pattern>%d{HH:mm:ss.SSS} %contextName [%thread] %-5level %logger{36} - %msg%n</pattern>
        </encoder>
    </appender>
    <!--输出到文件-->
    <appender name="file" class="ch.qos.logback.core.rolling.RollingFileAppender">
        <file>${log.path}</file>
        <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
            <fileNamePattern>logback.%d{yyyy-MM-dd}.log</fileNamePattern>
        </rollingPolicy>
        <encoder>
            <pattern>%d{HH:mm:ss.SSS} %contextName [%thread] %-5level %logger{36} - %msg%n</pattern>
        </encoder>
    </appender>
    <root level="info">
        <appender-ref ref="stash"/>
        <!--<appender-ref ref="console" />
        <appender-ref ref="file" />-->
    </root>
    <!-- logback为 java 中的包
    <logger name="com.dudu.controller"/>
    logback.LogbackDemo:类的全路径
    <logger name="com.dudu.controller.LearnController" level="WARN" additivity="false">
     <appender-ref ref="console"/>
    </logger> -->
</configuration>

 

  1. 优化ElasticSearch定期删除过期数据

在/opt/springboot/elasticsearch/delete-es目录下创建es-del.sh文件

  文件内容:

#!/bin/bash
# @Author: richard
# @Date:   2017-08-11 17:27:49
# @Last Modified by:   richard
# @Last Modified time: 2017-08-11 18:04:58
#保留近 N 天
KEEP_DAYS=7 
# 删除前 N的所有天到 前N+10天==>每天执行
function get_todelete_days()
{
    # declare -A DAY_ARR
    # DAY_ARR=""
    for i in $(seq 1 10);
    do
        THIS_DAY=$(date -d "$(($KEEP_DAYS+$i)) day ago" +%Y.%m.%d)

        DAY_ARR=( "${DAY_ARR[@]}" $THIS_DAY)
    done
    echo ${DAY_ARR[*]} 
}
# 返回数组的写法
TO_DELETE_DAYS=(`get_todelete_days`)
for day in "${TO_DELETE_DAYS[@]}"
do
    echo "$day will be delete"  
    curl -XDELETE 'http://127.0.0.1:9200/*-'${day}
done

 

在目录下启动定时任务执行此文件,

输入:crontab -e

输入内容:

30 23 * * 7 /opt/springboot/elasticsearch/delete-es/es-del.sh

然后按Esc输入  :wq   即可。

每周日晚上23:30执行一次。

定时任务执行log文件地址:/var/spool/mail/root 可查看执行错误信息。

xiatiandexiangrikui
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK镜像:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 下载
05-15
ELK:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 支持操作系统:centos7 中标麒麟、银河麒麟、通信UOS 均已经验证 安装方式,docker安装
Elasticsearch清理历史索引笔记
独行侠梦的博客
04-30 1853
前言 es用作海量数据和存储和检索,对于较大日志数据,如果全部存储在一个索引中, 像数据库表一样,久而久之,检索查询会越来越慢,服务器压力也大。无论是按天分索引、还是按月份索引,一般建立索引的时候都带上时间。 很明确的说,已经超过一定期限的索引,应该是不会再写入新数据了,可以强制进行合并压缩,设置只读等。 对于搜索来说,合并的分片越少,查询和排序越快(想象一下深度分页。。。) 我们的文档存储在分...
ElasticSearch生命周期定期清理过期
最新发布
劉煥平CHN
08-17 2404
Elasticsearch(以下简称ES)是一个强大的分布式搜索和分析引擎,可以用于存储和分析各种类型的数据,包括日志数据。ES的索引(index)可以存储日志数据,并且可以设置生命周期策略来清理过期的日志数据。另外,ES的版本可能会对一些操作和配置有所不同,建议查阅你使用ES版本的官方文档以获取详细信息。请注意,以下示例是一个简化的版本,实际使用时需要根据你的环境和需求进行适当的调整。上述代码创建了一个索引模板,指定了索引的结构和字段映射,并将生命周期策略与模板关联。
Elasticsearch启动常见问题
后场技术
03-17 986
1. 启动内存问题 JavaHotSpot(TM)64-BitServerVMwarning:INFO:os::commit_memory(0x000000008533000...
ELKElasticSearch常用操作记录
小白的专栏
11-14 858
记录下一些常见操作。。。 #删除索引 DELETE /my_index #修该es刷新间隔 PUT /my_index/_settings { "index" : { "refresh_interval" : "1s" } }
springboot 操作es数据库,批量删除数据
qq_44758663的博客
09-09 2432
【代码】springboot 操作es数据库,批量删除数据。
细说Mmongo ES 数据过期机制
小石头记
09-22 2240
数据过期在redis上非常容易实现,mongo中可使用TTL索引实现类似的功能。
elkstack:Elasticsearch,Logstash和Kibana堆栈
04-13
分发到特定节点上的Logstash的数据将使用本地elasticsearch传输接口将这些日志索引到该节点(因此也索引到群集)。 在任何节点上的端口80上分派到Kibana的HTTP流量也将使用本地elasticsearch HTTP接口来获取和处理...
elk-docker:Elasticsearch,Logstash,Kibana(ELK)Docker映像
04-30
Elasticsearch,Logstash,Kibana(ELK)Docker映像 通过打包Elasticsearch,Logstash和Kibana(统称为ELK),此Docker映像提供了一个方便的集中式日志服务器和日志管理Web界面。 文献资料 有关如何使用此映像的...
elk:elasticsearch+logstash+kibana
07-14
ELKElasticsearch, Logstash, Kibana)是一个流行的开源日志分析和可视化解决方案,广泛用于收集、解析、存储和展示各种日志数据。这个压缩包包含了ELK堆栈的主要组件,版本为7.6.1,适用于Linux x86_64架构。 **...
r2elk:Radare2元数据提取到Elasticsearch
05-08
R2ELk 元数据二进制分类到ELK 关于该项目 ...注意:以下示例是直接导入Elasticsearch而不是Logstash。默认情况下,索引为“ samples” 获取有关单个二进制文件的元数据: /r2elk.py --file /bin/l
logstash的elasticsearch output plugin:不同action的区别(index/create/update)
点火三周的专栏
09-25 4072
文章目录elasticsearch plugin的actioncreateindexupdatedoc_as_upsertupsert异常总结 elasticsearch plugin的action logstash提供了多达40多种的output plugin用于将处理后的数据输出到下游系统。其中最为常见的输出端自然是elasticsearch plugin。而elasticsearch plu...
如何实现 Logstash/Elasticsearch 与MySQL自动同步 更新操作 和 删除操作 ?
weixin_33778778的博客
02-18 701
技术背景 我们现在的同步, 是依靠 Logstash的 input-jdbc-plugin插件来实现的自动增量更新,这个的方案貌似只能 增量 添加数据而不能修改或者删除数据. 其实不然, 我们根据input-jdbc-plugin这个插件的一些配置, 是可以实现我们要的效果的. 方案原理: 用一个更新时间的字段来作为每次Logstash增...
es-索引过期设置
startyangu的博客
01-25 2793
es-索引过期设置
elk生命周期删除日志
十个菜
05-08 1496
ELK日志我们一般都是按天存储,例如索引名为"kafkalog-2022-04-05",因为日志量所占的存储是非常大的,我们不能一直保存,而是要定期清理旧的,这里就以保留7天日志为例。自动清理7天以前的日志可以用定时任务的方式,这样就需要加入多一个定时任务,可能不同服务记录的索引名又不一样,这样用定时任务配还是没那么方便。ES给我们提供了一个索引的生命周期策略(lifecycle),就可以对索引指定删除时间,能很好解决这个问题。
Elasticsearch简介及SpringBoot整合ES实例
m0_67401153的博客
09-06 758
Elasticsearch 是一个开源的搜索引擎。建立在全文搜索引擎库 Apache Lucene 基础之上。它的内部使用 Lucene 做索引与搜索,但是它的目的是使全文检索变得简单,通过隐藏 Lucene 的复杂性,取而代之的提供一套简单一致的 RESTful API。Elasticsearch 不仅仅只是一个全文搜索引擎。它可以被下面这样准确的形容:、一个分布式的实时文档存储,每个字段可以被索引与搜索——作数据库用一个分布式实时分析搜索引擎,能胜任上百个服务节点的扩展,并支持PB 级别的。
elasticsearch(ES)在SpringBoot中的基本使用
u012809308的博客
06-13 3220
ES入门,简单介绍es 在springboot项目中的使用,常用的增删改查计数等功能都有示例。
ES启动报错:max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
u012609879的博客
07-20 1483
docker启动es报错
SpringData框架集成操作ES增删改查
这个人很懒什么都没有留下
08-28 852
Spring Data是一个用于简化数据库、非关系型数据库、索引库访问,并支持云服务的开源框架。其主要目标是使得对数据的访问变得方便快捷,并支持map-reduce框架和云计算数据服务。Spring Data可以极大的简化JPA (Elasticsearch…) 的写法,可以在几乎不用写实现的情况下,实现对数据的访问和操作。除了CRUD外,还包括如分页、排序等一些常用的功能。在业务层接口中自定义方法//根据标题查询 List < Product > findByTitle(String title);}..
ELK架构:ElasticSearch+Logstash+Kibana的日志分析神器
ELKElasticSearch、Logstash、Kibana)是一套流行的开源日志管理和数据分析工具链,专为机器数据和实时日志处理而设计。这套组合在近年来迅速崭露头角,凭借其独特的优势赢得了开发者和企业的青睐。 1. ELK组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值