使用ELK分析Mysql慢查询日志

最新推荐文章于 2024-04-15 04:06:54 发布
最新推荐文章于 2024-04-15 04:06:54 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: ELK 文章标签: elk安装及问题解决 mysql慢查询 elk分析mysql慢查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyinghua0302/article/details/100124600
版权

目录

1.ELK介绍

2.ELK安装及问题解决

3.架构

4.Mysql慢查询配置

5.具体分析

6.参考资料

1.ELK介绍

1)Elasticsearch
Elasticsearch 是基于 JSON 的分布式搜索和分析引擎,专为实现水平扩展、高可靠性和管理便捷性而设计。
Elasticsearch 是一个分布式的 RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。作为Elastic Stack 的核心,它集中存储您的数据,帮助您发现意料之中以及意料之外的情况。
2)Logstash
Logstash 是动态数据收集管道,拥有可扩展的插件生态系统,能够与 Elasticsearch 产生强大的协同作用。
Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库” 中。
3)Kibana
Kibana 能够以图表的形式呈现数据,并且具有可扩展的用户界面,供您全方位配置和管理 Elastic Stack。
Kibana 让您能够自由地选择如何呈现您的数据。或许您一开始并不知道自己想要什么。不过借助 Kibana 的交互式可视化,您可以先从一个问题出发,看看能够从中发现些什么。
4)Beats
Beats 是轻量型采集器的平台,从边缘机器向 Logstash 和 Elasticsearch 发送数据。
Beats 是数据采集的得力工具。将这些采集器安装在您的服务器中,它们就会把数据汇总到 Elasticsearch。如果需要更加强大的处理性能,Beats 还能将数据输送到 Logstash 进行转换和解析。
Beats可采集的内容有:日志文件、指标、网络数据、Windows事件日志、审计数据、运行时间监控。具体可查看https://www.elastic.co/cn/downloads/beats。
5)软件获得
https://www.elastic.co/cn/products

2.ELK安装及问题解决

1)安装
说明:ELK安装简单,关键是配置文件的使用,这里仅罗列出安装地址,具体可查看官网,配置的相关介绍会在后续使用进行讲解。
a.安装JDK,这里注意版本,可以关注
Logstash(https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#package-repositories),开头有说明Logstash requires Java 8 or Java 11;
b.安装Beats,我这里安装的Filebeat(https://www.elastic.co/cn/downloads/beats/filebeat);
c.安装Logstash(https://www.elastic.co/cn/downloads/logstash#),在控制台输入bin/logstash -e 'input { stdin { } } output{ stdout{ } }'进行测试,在测试前可以先看一下内存,使用命令free -m查看,看剩余内存是否满足config/jvm.options中的-Xms、-Xmx值,防止因内存不足导致的logstash测试失败;
d.安装Elasticsearch(https://www.elastic.co/cn/downloads/elasticsearch),可通过JPS查看是否启动或在浏览器端输入http://ip:9200检查;
e.安装Kibana(https://www.elastic.co/cn/downloads/kibana),可通过netstat -ntpl检查是否启动;

2)问题解决
a.ES错误:在centOS 启动报错 UnsupportedOperationException 异常
解决:因为Centos6不支持SecComp,而ES默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动解决:修改elasticsearch.yml 添加一下内容:
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
b.ES错误:elasticsearch不能以root用户启动的解决方法
解决:这种情况下,需要先改变目录的用户权限,然后再以普通用户启动
c.ES错误:Exception in thread "main" java.lang.IllegalStateException: Unable to access 'path.scripts'
解决:该目录存在么?或者够权限能访问么?
d.ES错误:the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
解决:cluster.initial_master_nodes: ["node-1"] 这个的话,这里的node-1是上面一个默认的记得打开就可以了
e.ES错误:java.lang.IllegalStateException: failed to obtain node locks
解决:es线程占用,重新启用
f.ES错误: [3] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
[2]: max number of threads [3802] for user [elsearch] is too low, increase to at least [4096]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
解决:/etc/security/limits.conf中添加:
*               soft    nofile          65536
*               hard    nofile          65536
*               soft    nproc           4096
*               hard    nproc           4096
修改/etc/sysctl.conf文件,增加配置vm.max_map_count=262144
执行命令sysctl -p生效
g.Kibana错误:创建索引或操作索引失败
解决:扩大存储空间或者在kibana中-DevTool中执行代码。
PUT _settings
{
  "index": {
  "blocks": {
      "read_only_allow_delete": "false"
       }
    }
}
或者curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
h.Logstash解压的时候报错gzip: stdin: unexpected end of file;tar: Unexpected EOF in archive;tar: Error is not recoverable: exiting now的解决方法
解决:因为tar上传后文件变小,导致文件损坏,解压失败。我这里是存储空间不足导致tar上传后文件变小的。
i.ES错误:java.lang.IllegalStateException: failed to obtain node locks, tried [[/opt/modules_elk/elasticsearch-7.3.0/data]] with lock id [0]; maybe these locations are not writable or multiple nodes were started without increasing [node.max_local_storage_nodes] (was [1])?
解决:删除目录data

3.架构

Mysql慢日志文件————>Filebeat(采集数据)————>Logstash(过滤)————>Elasticsearch(建立索引)————>Kibana(展示)

4.Mysql慢查询配置

可以在永久配置,也可以临时配置。
永久配置(配置文件中配置/etc/my.cnf):
[mysqld]
slow_query_log = on #开启slow 日志
long_query_time = 1 #阈值为两秒
slow_query_log_file = /usr/local/mysql/data/web-slow.log #slow 日志文件路径
重启服务生效配置/etc/init.d/mysql restart 

临时配置:
mysql>set global slow_query_log='ON'; 
mysql>set global slow_query_log_file='/usr/local/mysql/data/web-slow.log';
mysql>set global long_query_time=1;

检查是否开启慢查询日志功能:
mysql>show variables like 'slow_query%';  #查看slow_query_log、slow_query_log_file
mysql>show variables like 'long_query_time'; #long_query_time

验证:
>seq 1 9999999 > /tmp/big
进入mysql
>create database db1;  #创建数据库db1
>use db1;
>create table t1(id int(10)not null)engine=innodb; #创建表t1
>load data infile '/tmp/big' into table t1; #导入数据
>select count(*) from t1 where Id like "%1%9"; #条件查询,如果该查询超过了设置的1s,则会在/usr/local/mysql/data/web-slow.log 

5.具体分析

1)Filebeat
配置:>vi filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/local/mysql/data/web-slow.log
  #正则表达式  
  multiline.pattern: "^# User@Host:"
  #true 或 false;默认是false,匹配pattern的行合并到上行;true,不匹配pattern的行合并到上一行
  multiline.negate: true
  #after 或 before,合并到上行的末尾或开头
  multiline.match: after  
output.logstash:
  hosts: ["logstash ip:5044"]

启动:./filebeat -e -c filebeat.yml
2)Logstash
配置:>vi config/logstash.conf

input {
  beats {
    port => 5044
  }
}

filter {
  grok {
    match => [ "message", "(?m)^# User@Host: %{USER:user}\[[^\]]+\] @ (?:(?<clienthost>\S*) )?\[(?:%{IP:clientip})?\]\s*# Query_time: %{NUMBER:query_time:float}\s+Lock_time: %{NUMBER:lock_time:float}\s+Rows_sent: %{NUMBER:rows_sent:int}\s+Rows_examined: %{NUMBER:rows_examined:int}\s*(?:use %{DATA:database};\s*)?SET timestamp=%{NUMBER:timestamp};\s*(?<query>(?<action>\w+)\s+.*)" ]
  }

  grok {
    match => { "message" => "# Time: " }
    add_tag => [ "drop" ]
    tag_on_failure => []
  }
  if "drop" in [tags] {
    drop {}
  }
  date {
    match => ["mysql.slowlog.timestamp", "UNIX", "YYYY-MM-dd HH:mm:ss"]
    target => "@timestamp"
    timezone => "Asia/Shanghai"
  }
  ruby {
    code => "event.set('[@metadata][today]', Time.at(event.get('@timestamp').to_i).localtime.strftime('%Y.%m.%d'))"
  }
  mutate {
    remove_field => [ "message" ]
  }
}

output {
  elasticsearch {
    hosts => ["http://elasticsearch ip:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}

启动:bin/logstash -f config/logstash.conf
3)Elasticsearch
配置:vi config/elasticsearch.yml

network.host: 0.0.0.0
http.port: 9200
cluster.initial_master_nodes: ["node-1"]
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

启动:bin/elasticsearch
4)Kibana
配置:vi config/kibana.yml

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://elasticsearch ip:9200"]

启动:bin/kibana
5)测试使用:
a.初始化elasticsearch环境
>curl 127.0.0.1:9200/_cat/indices
>curl -XDELETE 127.0.0.1:9200/your indices
b.Mysql端生产慢查询日志:
mysql>select count(*) from t1 where Id = 2999;
c.查询索引:
>curl 127.0.0.1:9200/_cat/indices
会看到生成了索引,比如这里的filebeat-7.3.0-2019.08.24
d.测试elasticsearch中的数据格式是否正确:
http://elasticsearch ip:9200/filebeat-7.3.0-2019.08.24/_search?pretty
e.可视化Kibana网页端:
http://kibana ip:5601

6.参考资料

1)ES在centOS 启动报错 UnsupportedOperationException 异常
2)elasticsearch不能以root用户启动的解决方法
3)Exception in thread "main" java.lang.IllegalStateException: Unable to access 'path.scripts'
4)the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
5)java.lang.IllegalStateException: failed to obtain node locks
6)bootstrap checks failed
7)kibana添加ES索引403错误解决
8)kibana创建索引失败
9)Logstash
10)failed to obtain node locks, tried [[/opt/modules_elk/elasticsearch-7.3.0/data]] with lock id [0]; 
11)ELK实践课程

蜗牛^_^
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL 慢查询日志导入 Elasticsearch 可视化查询分析
qhh0205
10-24 3147
当应用程序后台 SQL 查询的时候我们一般第一时间会查看数据库慢查询记录,但是慢查询记录是原始文本,直接查询搜索分析比较费时费力,虽然业界有针对 MySQL 慢查询分析的命令行工具(比如:pt-query-digest),但是使用起来还是不够方便,而且分析结果也是针对整个实例的大概统计,不能及时定位到某个应用(库.表)的慢查询。出于这个目的我们可以将 MySQL 原始慢查询日志结构化导入 Ela...
新版 MySQL DBA 高级视频 基于MySQL 5.7 MySQL 8.0版本.rar
07-17
│ 07ELK模板收集mongo日志.mp4 │ mongodb.jpg │ Mongodb分享-贾海娇.pdf │ mongo数据库分享-张亚V1.pdf │ monogdb.conf │ ├─新版MySQL DBA综合实战班 第14天 │ │ 1_MHA手工切换和GTID支持.mp4 │ │ 2_...
ELK实战--分析MySQL慢查询日志并生成视图
weixin_34327761的博客
11-09 394
一、背景 1.MySQL慢查询日志格式: # Time: 181109 15:04:08 # User@Host: t***[t***] @ [172.16.14.51] Id: 8960747 # Query_time: 35.918265 Lock_time: 0.000141 Rows_sent: 1 Rows_examined: 11699162 SET timestamp=154...
ELK logstash 处理MySQL慢查询日志_logstash 解析日志
最新发布
2401_84248479的博客
04-15 792
ELK logstash 处理MySQL慢查询日志 : https://mp.weixin.qq.com/s/ii1mu18WazEHezRMQImfwA。来源:http://www.ttlsa.com/elk/elk-logstash-process-mysql-slowlog/关键之重是grok正则的配置。
ELK服务应用日志分析&Mysql大数据
cacacai
03-08 656
前言 ELK 协议栈介绍及体系结构 ELK 其实并不是一款软件,而是一整套解决方案,是三个软件产品的首字母缩写,Elasticsearch,Logstash 和 Kibana。这三款软件都是开源软件,通常是配合使用,而且又先后归于 Elastic.co 公司名下,故被简称为 ELK 协议栈,见图 1。 图 1.ELK 协议栈 Elasticsearch Elasticsearch 是一个实时的分布...
ELK收集MySQL慢查询
weixin_30747253的博客
11-14 105
ELK收集MySQL慢查询 基本框架: filebeat->logstash->elasticsearch 版本: filebeat:5.4.3 logstash:5.4.3 elasticsearch:5.4.3 安装方式: 官网下载rpm包,也可下载二进制文件解压 filebeat配置: vim /etc/filebeat/fi...
ELK收集MySQL日志
wokuailewozihao的专栏
03-04 4171
ELK6.6.1+FileBeat6.6.1收集mysql日志 一、elk简单介绍 1、之前常说的elk,现已被官方整合为Elastic Stack,官网地址(https://www.elastic.co/cn/products),官网给出的架构如下,其中Beats是一系列轻量级日志收集器,ELK中E指Elasticsearch,L指Logstash,K指Kibana: 其中各个产品...
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
ELK日志系统部署方案cycwll.doc
10-12
总结来说,ELK日志系统提供了强大的日志管理和分析能力,通过对各种类型日志的集中处理,如MySQL、Redis、Nginx、Tomcat、系统日志等,能够帮助运维人员实时监控系统状态,提高故障排查效率,同时也为开发人员提供了...
主流日志监控软件技术选型分析.docx
10-22
对于特定的业务需求,如关键字监控和不规则日志文件处理,Zabbix和ELK都能胜任,但ELK的灵活性和分析能力更强。在实际应用中,可以根据组织规模、预算和技术团队能力进行权衡,以找到最适合的解决方案。
frostmourne:frostmourne是基于Elasticsearch的InfluxDB数据,Mysql数据的监控,报警,分析系统。 监视和警报并报警和分析Elasticsearch和&InfluxDB日志数据。主要使用springboot2 + vue-element-admin。https:frostmourne-demo.github.io
02-03
可以认为frostmoure是监控部分的实现如果你现在使用弹性叠层(ELK)建立起了日志系统,却苦恼于没有一个配套日志监控系统,也许它能帮到你。 主要功能 Elasticsearch数据,InfluxDB数据,Mysql数据监控,你只需要写...
ELK(6):使用ELK监控mysql日志查询记录
精确而优雅
05-28 4037
前言 前面讲了elk每个组件已经x-pack的安装使用,具体联合操作没有详细讲。本文使用logstach收集mysql日志,传送给elasticsearch进行分析处理,使用kibana进行web端的显示。 mysql开启日志记录 百度。 增加logstach的一个新配置文件 新增一个配置文件 启动使用命令参数 -f 引入。 mysql-slow.log.conf ...
MySQL 慢查询日志分析(Filebeat+Elasticsearch+DataEase)
XiaoBei_BI的博客
12-30 1137
本仪表板使用开源数据可视化分析工具 DataEase 制作,可以通过上方的搜索框过滤查询语句,也可以过滤日志产生的日期范围。
ELK采集MySQL日志实现
雪辉博客
02-14 3271
使用ELK采集mysql日志进行统计分析
使用ELK收集分析MySQL慢查询日志
abtmh02622的专栏
02-27 459
  参考文档:https://www.cnblogs.com/bixiaoyu/p/9638505.html   MySQL开启慢查询不详述   MySQL5.7慢查询日志格式如下 /usr/local/mysql/bin/mysqld, Version: 5.7.22-log (MySQL Community Server (GPL)). started with: Tcp...
ELK原理讲解与收集MySQL日志实现
weixin_42460087的博客
08-04 1257
ELK 最早是 Elasticsearch(简称ES)、Logstash、Kibana 三款开源软件的简称,三款软件后来被同一公司收购,并加入了Xpark、Beats等组件,改名为Elastic Stack,成为现在最流行的开源日志解决方案,虽然有了新名字但大家依然喜欢叫ELK,现在所说的ELK就指的是基于这些开源软件构建的日志系统。一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块。...
运维36讲第22课:ELK 构建 MySQL 日志收集平台详解
sucaiwa的博客
03-21 720
想必你对 ELK、EFK 都不陌生,它们有一个共同的组件:Elasticsearch(简称ES),它是一个实时的全文搜索和分析引擎,可以提供日志数据的收集、分析、存储 3 大功能。另外一个组件 Kibana 是这套检索系统中的 Web 图形化界面系统,可视化展示在 Elasticsearch 的日志数据和结果。ELF/EFK 工具集中还有 l 和 F 这两个名称的缩写,这两个缩写代表的工具根据不同的架构和使用方式而定。L 通常是 Logstash 组件,它是一个用来搜集、分析、过滤日志工具
mysql 5.7 慢查询日志 + logstash + elasticsearch + kibanan/head = 慢查询web查看
vbaspdelphi的专栏
01-10 2693
倒叙的模式哈,上面的截图可以看出,虽然慢查询日志已经进入了elasticsearch,但是search field里面并没有展现。说说配置吧。logstash 配置 For mysql 5.7#input { # stdin { # type => "mysql-slow" # codec => multiline { # pattern => "^# User@Host:"
OGG、ELK实现原理,和使用方式,使用场合
07-15
OGG(Oracle GoldenGate)是一种用于实时数据复制和数据集成的产品,而ELKElasticsearch, Logstash, Kibana)是一套开源的日志管理和分析平台。 OGG的实现原理是通过捕获源数据库的事务日志(Redo Log),将变更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值