ELK概述
ELK渠道是一套完好的日志会集处理解决计划,将 ElasticSearch、Logstash 和 Kiabana 三个开源东西合作运用, 完成更强壮的用户对日志的查询、排序、计算需求。
ELK组件
-
ElasticSearch:
- 是依据Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。
- Elasticsearch 是用 Java 开发的,可经过 RESTful Web 接口,让用户能够经过阅读器与 Elasticsearch 通信。
- Elasticsearch是一个实时的、分布式的可扩展的查找引擎,答应进行全文、结构化查找,它一般用于索引和查找大容量的日志数据,也可用于查找许多不同类型的文档。
-
Kiabana:
- Kibana 一般与 Elasticsearch 一起布置,Kibana 是 Elasticsearch 的一个功用强壮的数据可视化 Dashboard,Kibana 供给图形化的 web 界面来阅读 Elasticsearch 日志数据,能够用来汇总、剖析和查找重要数据。
-
Logstash:
- 作为数据搜集引擎。它支撑动态的从各种数据源搜集数据,并对数据进行过滤、剖析、丰厚、统一格局等操作,然后存储到用户指定的位置,一般会发送给 Elasticsearch。
- Logstash 由 Ruby 言语编写,运转在 Java 虚拟机(JVM)上,是一款强壮的数据处理东西, 能够完成数据传输、格局处理、格局化输出。Logstash 具有强壮的插件功用,常用于日志处理。
能够再增加其他的组件
-
Filebeat:
- 轻量级的开源日志文件数据搜集器。一般在需求搜集数据的客户端装置 Filebeat,并指定目录与日志格局,Filebeat 就能快速搜集数据,并发送给 logstash 进行解析,或是直接发给 Elasticsearch 存储,功能上比较运转于 JVM 上的 logstash 优势明显,是对它的代替。常应用于 EFLK 架构当中。
-
filebeat结合logstash的好处
- 1)经过 Logstash 具有依据磁盘的自适应缓冲体系,该体系将吸收传入的吞吐量,从而减轻 Elasticsearch 持续写入数据的压力
- 2)从其他数据源(例如数据库,S3对象存储或音讯传递行列)中提取
- 3)将数据发送到多个目的地,例如S3,HDFS(Hadoop分布式文件体系)或写入文件
- 4)运用条件数据流逻辑组成更杂乱的处理管道
-
缓存/音讯行列(redis、kafka、RabbitMQ等):
- 能够对高并发日志数据进行流量削峰和缓冲,这样的缓冲能够一定程度的维护数据不丢失,还能够对整个架构进行应用解耦
-
Fluentd:
- 是一个盛行的开源数据搜集器。因为 logstash 太重量级的缺点,Logstash 功能低、资源耗费比较多等问题,随后就有 Fluentd 的呈现。比较较 logstash,Fluentd 更易用、资源耗费更少、功能更高,在数据处理上更高效牢靠,遭到企业欢迎,成为 logstash 的一种代替计划,常应用于 EFK 架构当中。在 Kubernetes 集群中也常运用 EFK 作为日志数据搜集的计划。
- 在 Kubernetes 集群中一般是经过 DaemonSet 来运转 Fluentd,以便它在每个 Kubernetes 工作节点上都能够运转一个 Pod。 它经过获取容器日志文件、过滤和转换日志数据,然后将数据传递到 Elasticsearch 集群,在该集群中对其进行索引和存储。
为什么要运用ELK
-
日志首要包含体系日志、应用程序日志和安全日志。体系运维和开发人员能够经过日志了解服务器软硬件信息、检查装备过程中的过错及过错发生的原因。常常剖析日志能够了解服务器的负荷,功能安全性,从而及时采纳措施纠正过错。
-
往往单台机器的日志咱们运用grep、awk等东西就能根本完成简单剖析,可是当日志被涣散的储存不同的设备上。假如你办理数十上百台服务器,你还在运用顺次登录每台机器的传统办法查阅日志。这样是不是感觉很繁琐和功率低下。当务之急咱们运用会集化的日志办理,例如:开源的syslog,将一切服务器上的日志搜集汇总。会集化办理日志后,日志的计算和检索又成为一件比较麻烦的工作,一般咱们运用 grep、awk和wc等Linux命令能完成检索和计算,可是对于要求更高的查询、排序和计算等要求和巨大的机器数量依然运用这样的办法不免有点力不从心。
-
一般大型体系是一个分布式布置的架构,不同的服务模块布置在不同的服务器上,问题呈现时,大部分状况需求依据问题露出的要害信息,定位到具体的服务器和服务模块,构建一套会集式日志体系,能够进步定位问题的功率。
完好日志体系根本特征
-
搜集:能够搜集多种来历的日志数据
-
传输:能够安稳的把日志数据解析过滤并传输到存储体系
-
存储:存储日志数据
-
剖析:支撑 UI 剖析
-
正告:能够供给过错报告,监控机制
-
ELK的工作原理:
-
1)在一切需求搜集日志的服务器上布置Logstash;或许先将日志进行会集化办理在日志服务器上,在日志服务器上布置 Logstash。
-
2)Logstash 搜集日志,将日志格局化并输出到 Elasticsearch 群会集。
-
3)Elasticsearch 对格局化后的数据进行索引和存储。
-
4)Kibana 从 ES 群会集查询数据生成图表,并进行前端数据的展现。
-
ELK布置
| 主机 | 主机名 | IP地址 | 组件 |
|---|---|---|---|
| 服务器 | node1 | 192.168.50.105 | Elasticsearch |
| 服务器 | node2 | 192.168.50.110 | Elasticsearch |
| 服务器 | apache | 192.168.50.120 | Logstash Kibana Apache |
关闭防火墙(一切)
改名(node1、node2)
设置映射(node1、node2)
systemctl stop firewalld
setenforce 0
hostnamectl set-hostname node1
su
echo "192.168.50.105 node1" >> /etc/hosts
echo "192.168.50.110 node1" >> /etc/hosts
#设置Java环境
java -version
#假如没有装置,yum -y install java
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-b12)
OpenJDK 64-Bit Server VM (build 25.131-b12, mixed mode)
1)装置elasticsearch—rpm包
#上传elasticsearch-6.7.2.rpm到/opt目录下
cd /opt
rpm -ivh elasticsearch-6.7.2.rpm
2)修改elasticsearch主装备文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
--17--撤销注释,指定集群姓名
cluster.name: my-elk-cluster
--23--撤销注释,指定节点姓名:Node1节点为node1,Node2节点为node2
node.name: node1
node.master: true #是否master节点,false为否
node.data: true #是否数据节点,false为否
--33--撤销注释,指定数据寄存途径
path.data: /var/lib/elasticsearch
--37--撤销注释,指定日志寄存途径
path.logs: /var/log/elasticsearch
--43--撤销注释,避免es运用swap交换分区
bootstrap.memory_lock: true
--55--撤销注释,设置监听地址,0.0.0.0代表一切地址
network.host: 0.0.0.0
--59--撤销注释,ES 服务的默许监听端口为9200
http.port: 9200 #指定es集群供给外部拜访的接口
transport.tcp.port: 9300 #指定es集群内部通信接口
--68--撤销注释,集群发现经过单播完成,指定要发现的节点
discovery.zen.ping.unicast.hosts: ["192.168.80.10:9300", "192.168.2.11:9300"]
grep -v "^#" /etc/elasticsearch/elasticsearch.yml
优化最大内存大小和最大文件描述符的数量
vim /etc/security/limits.conf
......
* soft nofile 65536
* hard nofile 131072
* soft memlock unlimited
* hard memlock unlimited
需重启收效
优化elasticsearch用户具有的内存权限\
- 因为ES构建依据lucene, 而lucene设计强壮之处在于lucene能够很好的运用操作体系内存来缓存索引数据,以供给快速的查询功能。lucene的索引文件segements是存储在单文件中的,并且不可变,对于OS来说,能够很友爱地将索引文件保持在cache中,以便快速拜访;因此,咱们很有必要将一半的物理内存留给lucene ; 另一半的物理内存留给ES(JVM heap )。所以, 在ES内存设置方面,能够遵从以下准则:
- 1.当机器内存小于64G时,遵从通用的准则,50%给ES,50%留给操作体系,供lucene运用
- 2.当机器内存大于64G时,遵从准则:主张分配给ES分配 4~32G 的内存即可,其它内存留给操作体系,供lucene运用
vim /etc/sysctl.conf
#一个进程能够具有的最大内存映射区域数,参考数据(分配 2g/262144,4g/4194304,8g/8388608)
vm.max_map_count=262144
sysctl -p
sysctl -a | grep vm.max_map_count
发动elasticsearch是否成功敞开
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
netstat -antp | grep 9200
检查节点信息
阅读器拜访 http://192.168.50.105:9200 、 http://192.168.50.110:9200 检查节点 Node1、Node2 的信息。
阅读器拜访 http://192.168.50.105:9200/_cluster/health?pretty 、 http://192.168.50.110:9200/_cluster/health?pretty检查群集的健康状况,能够看到 status 值为 green(绿色), 表明节点健康运转。
阅读器拜访 http://192.168.50.105:9200/_cluster/state?pretty 检查群集状况信息。
#运用上述办法检查群集的状况对用户并不友爱,能够经过装置 Elasticsearch-head 插件,能够更方便地办理群集。
装置 Elasticsearch-head 插件
- Elasticsearch 在 5.0 版本后,Elasticsearch-head – 插件需求作为独立服务进行装置,需求运用npm东西(NodeJS的包办理东西)装置。
- 装置 Elasticsearch-head 需求提早装置好依靠软件 node 和 phantomjs。
- node:是一个依据 Chrome V8 引擎的 JavaScript 运转环境。
- phantomjs:是一个依据 webkit 的JavaScriptAPI,能够理解为一个隐形的阅读器,任何依据 webkit 阅读器做的工作,它都能够做到。
编译装置 node
#上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c++ make -y
cd /opt
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
make -j 2 && make install
#上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin
装置 Elasticsearch-head 数据可视化东西
#上传软件包 elasticsearch-head.tar.gz 到/opt
cd /opt
tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/
cd /usr/local/src/elasticsearch-head/
npm install
修改 Elasticsearch 主装备文件
vim /etc/elasticsearch/elasticsearch.yml
......
--末尾增加以下内容--
http.cors.enabled: true
#敞开跨域拜访支撑,默许为 false
http.cors.allow-origin: "*"
#指定跨域拜访答应的域名地址为一切
systemctl restart elasticsearch
发动 elasticsearch-head 服务
#必须在解压后的 elasticsearch-head 目录下发动服务,进程会读取该目录下的 gruntfile.js 文件,否则或许发动失败。
cd /usr/local/src/elasticsearch-head/
npm run start &
> elasticsearch-head@0.0.0 start /usr/local/src/elasticsearch-head
> grunt server
Running "connect:server" (connect) task
Waiting forever...
Started connect web server on http://localhost:9100
#elasticsearch-head 监听的端口是 9100
netstat -natp |grep 9100
经过 Elasticsearch-head 检查 Elasticsearch 信息
经过阅读器拜访 http://192.168.50.105:9100/ 地址并衔接群集。假如看到群集健康值为 green 绿色,代表群集很健康。
刺进索引
#经过命令刺进一个测验索引,索引为 index-demo,类型为 test。
curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
//输出成果如下:
{
"_index" : "index-demo",
"_type" : "test",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 2,
"successful" : 2,
"failed" : 0
},
"created" : true
}
阅读器拜访 http://192.168.80.10:9100/ 检查索引信息,能够看见索引默许被分片5个,并且有一个副本。
点击“数据阅读”,会发现在node1上创立的索引为 index-demo,类型为 test 的相关信息
ELK Logstash 布置(在 Apache 节点上操作)
- Logstash 一般布置在需求监控其日志的服务器。在本事例中,Logstash 布置在 Apache 服务器上,用于搜集 Apache 服务器的日志信息并发送到 Elasticsearch。
1.更改主机名
hostnamectl set-hostname apache
2.装置Apahce服务(httpd)
yum -y install httpd
systemctl start httpd
3.装置Java环境
yum -y install java
java -version
装置logstash
#上传软件包 logstash-5.5.1.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-5.5.1.rpm
systemctl start logstash.service
systemctl enable logstash.service
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
测验 Logstash
Logstash 命令常用选项:
-f:经过这个选项能够指定 Logstash 的装备文件,依据装备文件装备 Logstash 的输入和输出流。
-e:从命令行中获取,输入、输出后面跟着字符串,该字符串能够被当作 Logstash 的装备(假如是空,则默许运用 stdin 作为输入,stdout 作为输出)。
-t:测验装备文件是否正确,然后退出。
界说输入和输出流:
#输入选用规范输入,输出选用规范输出(类似管道)
logstash -e 'input { stdin{} } output { stdout{} }'
......
www.baidu.com #键入内容(规范输入)
2020-12-22T03:58:47.799Z node1 www.baidu.com #输出成果(规范输出)
www.sina.com.cn #键入内容(规范输入)
2017-12-22T03:59:02.908Z node1 www.sina.com.cn #输出成果(规范输出)
//履行 ctrl+c 退出
#运用 rubydebug 输出具体格局显现,codec 为一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
......
www.baidu.com #键入内容(规范输入)
{
"@timestamp" => 2020-12-22T02:15:39.136Z, #输出成果(处理后的成果)
"@version" => "1",
"host" => "apache",
"message" => "www.baidu.com"
}
#运用 Logstash 将信息写入 Elasticsearch 中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.50.105:9200"] } }'
输入 输出 对接
......
www.baidu.com
#键入内容(规范输入)
www.sina.com.cn
#键入内容(规范输入)
www.google.com
#键入内容(规范输入)
//成果不在规范输出显现,而是发送至 Elasticsearch 中,可阅读器拜访 http://192.168.80.10:9100/ 检查索引信息和数据阅读。
界说 logstash装备文件
- Logstash 装备文件根本由三部分组成:input、output 以及 filter(可选,依据需求挑选运用)。
- input:表明从数据源搜集数据,常见的数据源如Kafka、日志文件等
- filter:表明数据处理层,包含对数据进行格局化处理、数据类型转换、数据过滤等,支撑正则表达式
- output:表明将Logstash搜集的数据经由过滤器处理之后输出到Elasticsearch。
#格局如下:
input {...}
filter {...}
output {...}
#在每个部分中,也能够指定多个拜访办法。例如,若要指定两个日志来历文件,则格局如下:
input {
file { path =>"/var/log/messages" type =>"syslog"}
file { path =>"/var/log/httpd/access.log" type =>"apache"}
}
#修改 Logstash 装备文件,让其搜集体系日志/var/log/messages,并将其输出到 elasticsearch 中。
chmod +r /var/log/messages #让 Logstash 能够读取日志
vim /etc/logstash/conf.d/system.conf
input {
file{
path =>"/var/log/messages" #指定要搜集的日志的位置
type =>"system" #自界说日志类型标识
start_position =>"beginning" #表明从开端处搜集
}
}
output {
elasticsearch { #输出到 elasticsearch
hosts => ["192.168.80.10:9200","192.168.80.11:9200"] #指定 elasticsearch 服务器的地址和端口
index =>"system-%{+YYYY.MM.dd}" #指定输出到 elasticsearch 的索引格局
}
}
systemctl restart logstash
阅读器拜访 http://192.168.80.10:9100/ 检查索引信息
ELK Kiabana 布置(在 Node1 节点上操作)
装置 Kiabana
#上传软件包 kibana-5.5.1-x86_64.rpm 到/opt目录
cd /opt
rpm -ivh kibana-5.5.1-x86_64.rpm
设置 Kibana 的主装备文件
vim /etc/kibana/kibana.yml
--2--撤销注释,Kiabana 服务的默许监听端口为5601
server.port: 5601
--7--撤销注释,设置 Kiabana 的监听地址,0.0.0.0代表一切地址
server.host: "0.0.0.0"
--28--撤销注释,装备es服务器的ip,假如是集群则装备该集群中master节点的ip
elasticsearch.url: ["http://192.168.80.10:9200","http://192.168.80.11:9200"]
--37--撤销注释,设置在 elasticsearch 中增加.kibana索引
kibana.index: ".kibana"
--96--撤销注释,装备kibana的日志文件途径(需手动创立),否则默许是messages里记录日志
logging.dest: /var/log/kibana.log
创立日志文件,发动 Kibana 服务
touch /var/log/kibana.log
chown kibana:kibana /var/log/kibana.log
systemctl start kibana.service
systemctl enable kibana.service
netstat -natp | grep 5601
验证 Kibana
阅读器拜访 http://192.168.80.10:5601
第一次登录需求增加一个 Elasticsearch 索引:
Index name or pattern
//输入:system-* #在索引名中输入之前装备的 Output 前缀“system”
单击 “create” 按钮创立,单击 “Discover” 按钮可检查图表信息及日志信息。
数据展现能够分类显现,在“Available Fields”中的“host”,然后单击 “add”按钮,能够看到依照“host”挑选后的成果
将 Apache 服务器的日志(拜访的、过错的)增加到 Elasticsearch 并经过 Kibana 显现
vim /etc/logstash/conf.d/apache_log.conf
input {
file{
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file{
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.80.10:9200","192.168.80.11:9200"]
index => "apache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.80.10:9200","192.168.80.11:9200"]
index => "apache_error-%{+YYYY.MM.dd}"
}
}
}
cd /etc/logstash/conf.d/
/usr/share/logstash/bin/logstash -f apache_log.conf
阅读器拜访 http://192.168.50.105:9100 检查索引是否创立
阅读器拜访 http://192.168.50.105:5601 登录 Kibana,单击“Index Pattern -> Create Index Pattern”按钮增加索引, 在索引名中输入之前装备的 Output 前缀 apache_access-,并单击“Create”按钮。在用相同的办法增加 apache_error-索引。
挑选“Discover”选项卡,在中心下拉列表中挑选刚增加的 apache_access- 、apache_error- 索引, 能够检查相应的图表及日志信息。
