目录
一、ELK简介
二、ELK各组件介绍
ElasticSearch:
Kibana:
Logstash:
三、ELK可以添加的其他组件
Filebeat:
缓存/消息队列(redis、kafka、RabbitMQ等):
Fluentd:
四、为什么需要ELK
五、ELK分布式日志收集原理
六、ELK集群部署
1、部署环境
2、环境准备
3、 部署 Elasticsearch 软件(node1、node2)
4、安装Elasticsearch-head插件
七、ELK Logstash 部署
1、安装Apahce服务(httpd)
2、安装Java环境
3、安装logstash
4、测试 Logstash
八、ELK Kiabana 部署(在 Node1 节点上操作)
1、安装 Kiabana
2、设置 Kibana 的主配置文件
3、创建日志文件,启动 Kibana 服务
4、验证 Kibana
一、ELK简介
对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELKStack,所以说ELKStack指的是Elasticsearch、Logstash、Kibana技术栈的结合,由这三个软件及其相关的组件可以打造大规模日志实时处理系统。
二、ELK各组件介绍
ElasticSearch:
- 是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。
- Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与Elasticsearch 通信。
- Elasticsearch是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大容量的日志数据,也可用于搜索许多不同类型的文档。
Kibana:
- Kibana 通常与 Elasticsearch 一起部署,Kibana 是 Elasticsearch 的一个功能强大的数据可视化 Dashboard,Kibana 提供图形化的 web 界面来浏览 Elasticsearch 日志数据,可以用来汇总、分析和搜索重要数据。
Logstash:
- 作为数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置,一般会发送给 Elasticsearch。
- Logstash 由 Ruby 语言编写,运行在 Java 虚拟机(JVM)上,是一款强大的数据处理工具, 可以实现数据传输、格式处理、格式化输出。Logstash 具有强大的插件功能,常用于日志处理。
三、ELK可以添加的其他组件
Filebeat:
- 轻量级的开源日志文件数据搜集器。通常在需要采集数据的客户端安装 Filebeat,并指定目录与日志格式,Filebeat 就能快速收集数据,并发送给 logstash 进行解析,或是直接发给 Elasticsearch 存储,性能上相比运行于 JVM 上的 logstash 优势明显,是对它的替代。常应用于 EFLK 架构当中。(如果要使用过滤功能的话,Filebeat不能完全替代logstash,Filebeat没有过滤功能,收集数据后需要发送给 logstash 进行处理)
缓存/消息队列(redis、kafka、RabbitMQ等):
- 可以对高并发日志数据进行流量削峰和缓冲,这样的缓冲可以一定程度的保护数据不丢失,还可以对整个架构进行应用解耦。
Fluentd:
- 是一个流行的开源数据收集器。由于 logstash 太重量级的缺点,Logstash 性能低、资源消耗比较多等问题,随后就有 Fluentd 的出现。相比较 logstash,Fluentd 更易用、资源消耗更少、性能更高,在数据处理上更高效可靠,受到企业欢迎,成为 logstash 的一种替代方案,常应用于 EFK 架构当中。在 Kubernetes 集群中也常使用 EFK 作为日志数据收集的方案。
- 在 Kubernetes 集群中一般是通过 DaemonSet 来运行 Fluentd,以便它在每个 Kubernetes 工作节点上都可以运行一个 Pod。 它通过获取容器日志文件、过滤和转换日志数据,然后将数据传递到 Elasticsearch 集群,在该集群中对其进行索引和存储。
四、为什么需要ELK
日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。
往往单台机器的日志我们使用grep、awk等工具就能基本实现简单分析,但是当日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用 grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。
一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以提高定位问题的效率。
五、ELK分布式日志收集原理
- 每台服务器集群节点安装Logstash日志收集系统插件
- 每台服务器节点将日志输入到Logstash中
- Logstash将该日志格式化为json格式,根据每天创建不同的索引,输出到ElasticSearch中
- 浏览器使用安装Kibana查询日志信息
六、ELK集群部署
1、部署环境
node1节点:192.168.80.8
node2节点:192.168.80.9
Apache节点:192.168.80.5
2、环境准备
关闭防火墙、核心防护
systemctl stop firewalld
setenforce 0设置Java环境
java -version
3、 部署 Elasticsearch 软件(node1、node2)
安装elasticsearch—rpm包
cd /opt
rpm -ivh elasticsearch-6.7.2.rpm修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
##--17--取消注释,指定集群名字
cluster.name: my-elk-cluster
##--23--取消注释,指定节点名字:Node1节点为node1,Node2节点为node2
node.name: node1
##--33--取消注释,指定数据存放路径
path.data: /var/lib/elasticsearch
##--37--取消注释,指定日志存放路径
path.logs: /var/log/elasticsearch
##--43--取消注释,避免es使用swap交换分区
bootstrap.memory_lock: true
##--55--取消注释,设置监听地址,0.0.0.0代表所有地址
network.host: 0.0.0.0
##--59--取消注释,ES 服务的默认监听端口为9200
http.port: 9200 #指定es集群提供外部访问的接口
##--68--取消注释,集群发现通过单播实现,指定要发现的节点
discovery.zen.ping.unicast.hosts: ["192.168.80.8:9300", "192.168.80.9:9300"]启动elasticsearch是否成功开启
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
netstat -antp | grep 9200
如果日志里出现如下报错,就把配置文件里的bootstrap.memory_lock: true改成false
.....[ERROR]......
[1] bootstrap checks failed
[1]: memory locking requested for elasticsearch process but memory is not locked查看节点信息
浏览器访问192.168.80.8:9200和192.168.80.9:9200查看节点 Node1、Node2 的信息
浏览器访问192.168.80.8/_cluster/health?pretty和192.168.80.9/_cluster/health?pretty查看群集的健康情况,可以看到 status 值为 green(绿色), 表示节点健康运行
浏览器访问192.168.80.8/_cluster/state?pretty检查群集状态信息
使用上述方式查看群集的状态对用户并不友好,可以通过安装 Elasticsearch-head 插件,可以更方便地管理群集
4、安装Elasticsearch-head插件
Elasticsearch 在 5.0 版本后,Elasticsearch-head 插件需要作为独立服务进行安装,需要使用npm工具(NodeJS的包管理工具)安装。
安装 Elasticsearch-head 需要提前安装好依赖软件 node 和 phantomjs。
node:是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
phantomjs:是一个基于 webkit 的JavaScriptAPI,可以理解为一个隐形的浏览器,任何基于 webkit 浏览器做的事情,它都可以做到。
编译安装 node
上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c++ make -y
cd /opt
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
make && make install安装phantomjs
上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到/opt
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin
安装 Elasticsearch-head 数据可视化工具
上传软件包 elasticsearch-head.tar.gz 到/opt
cd /opt
unzip elasticsearch-head-master.zip
mv elasticsearch-head-master /usr/local/src/
cd /usr/local/src/elasticsearch-head-master/
npm install修改 Elasticsearch 主配置文件
vim /etc/elasticsearch/elasticsearch.yml
......
#--末尾添加以下内容--
http.cors.enabled: true #开启跨域访问支持,默认为 false
http.cors.allow-origin: "*" #指定跨域访问允许的域名地址为所有
systemctl restart elasticsearch启动 elasticsearch-head 服务
#必须在解压后的 elasticsearch-head 目录下启动服务,进程会读取该目录下的 gruntfile.js 文件,否则可能启动失败。
cd /usr/local/src/elasticsearch-head-master/
npm run start &
#elasticsearch-head 监听的端口是 9100
netstat -natp |grep 9100
通过 Elasticsearch-head 查看 Elasticsearch 信息
通过浏览器访问192.168.80.8:9100/ 地址并连接群集。如果看到群集健康值为 green 绿色,代表群集很健康
插入索引
#通过命令插入一个测试索引,索引为 index-demo,类型为 test。
curl -X PUT '192.168.200.100:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"lisi","mesg":"hello world"}'
浏览器访问192.168.80.8:9100/ 查看索引信息,可以看见索引默认被分片5个,并且有一个副本。
点击“数据浏览”,会发现在node1上创建的索引为 index-demo,类型为 test 的相关信息。
删除索引
curl -X DELETE '192.168.80.8:9200/index-demo'七、ELK Logstash 部署
在 Apache 节点上操作
Logstash 一般部署在需要监控其日志的服务器。在本案例中,Logstash 部署在 Apache 服务器上,用于收集 Apache 服务器的日志信息并发送到 Elasticsearch。
1、安装Apahce服务(httpd)
yum -y install httpd
systemctl start httpd2、安装Java环境
yum -y install java
java -version3、安装logstash
上传软件包 logstash-5.5.1.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-5.5.1.rpm
systemctl start logstash.service
systemctl enable logstash.service
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/4、测试 Logstash
Logstash 命令常用选项:
| 选项 | 说明 |
| -f | 通过这个选项可以指定 Logstash 的配置文件,根据配置文件配置 Logstash 的输入和输出流 |
| -e | 从命令行中获取,输入、输出后面跟着字符串,该字符串可以被当作 Logstash 的配置(如果是空,则默认使用 stdin 作为输入,stdout 作为输出) |
| -t | 测试配置文件是否正确,然后退出。 |
定义输入和输出流
#输入采用标准输入,输出采用标准输出(类似管道)
logstash -e 'input { stdin{} } output { stdout{} }'
......
www.baidu.com #键入内容(标准输入)
#输出结果(标准输出)
{
"message" => "www.baidu.com",
"@version" => "1",
"host" => "apache",
"@timestamp" => 2022-11-10T10:52:49.218Z
}
www.sina.com.cn #键入内容(标准输入)
#输出结果(标准输出)
{
"host" => "apache",
"message" => "www.sina.com.cn",
"@version" => "1",
"@timestamp" => 2022-11-10T10:57:31.871Z
}
执行 ctrl+c 退出
#使用 rubydebug 输出详细格式显示,codec 为一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'#使用 Logstash 将信息写入 Elasticsearch 中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.80.8:9200"] } }'
八、ELK Kiabana 部署(在 Node1 节点上操作)
1、安装 Kiabana
上传软件包 kibana-5.5.1-x86_64.rpm 到/opt目录
cd /opt
rpm -ivh kibana-5.5.1-x86_64.rpm 2、设置 Kibana 的主配置文件
vim /etc/kibana/kibana.yml
##--2--取消注释,Kiabana 服务的默认监听端口为5601
server.port: 5601
##--7--取消注释,设置 Kiabana 的监听地址,0.0.0.0代表所有地址
server.host: "0.0.0.0"
##--28--取消注释,配置es服务器的ip,如果是集群则配置该集群中master节点的ip
elasticsearch.url: ["http://192.168.80.8:9200","http://192.168.80.9:9200"]
##--37--取消注释,设置在 elasticsearch 中添加.kibana索引
kibana.index: ".kibana"
##--96--取消注释,配置kibana的日志文件路径(需手动创建),不然默认是messages里记录日志
logging.dest: /var/log/kibana.log3、创建日志文件,启动 Kibana 服务
touch /var/log/kibana.log
chown kibana:kibana /var/log/kibana.log
systemctl start kibana.service
systemctl enable kibana.service
netstat -natp | grep 56014、验证 Kibana
浏览器访问192.168.80.8:5601
第一次登录需要添加一个 Elasticsearch 索引
Index name or pattern
##输入:system-* #在索引名中输入之前配置的 Output 前缀“system”单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。 数据展示可以分类显示,在“Available Fields”中的“host”,然后单击 “add”按钮,可以看到按照“host”筛选后的结果
![[附源码]Python计算机毕业设计SSM基于的汉服服装租赁系统(程序+LW)](https://img-blog.csdnimg.cn/65e354d847644376830d378b25aebfe9.png)
![[附源码]Python计算机毕业设计Django大学生志愿者服务管理系统](https://img-blog.csdnimg.cn/1299e3b81b0c4deb881c95eaf162cf88.png)
