ELK   日志分析体系

ELK 是指 Elasticsearch、Logstash、Kibana三个开源软件的组合。

logstash                       负责日志的收集,处理和储存

elasticsearch                  负责日志检索和分析

kibana                         负责日志的可视化

一、环境

1. CentOS Linux release 7.2.1511 (Core)

Server - 172.16.1.100

elasticsearch-2.3.3

logstash-2.3.2-1

kibana-4.5.1

openjdk version "1.8.0_77"

redis-3.2.0

二、下载 elasticsearch-2.3.3.rpm

下载 rpm 格式就可以了

yum localinstall elasticsearch-2.3.3.rpm

2、修改配置

cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml-bak

echo "cluster.name: logssearch" >> /etc/elasticsearch/elasticsearch.yml     #必须修改名字,否则会自动查询同网段其他相同名字的ela

echo "network.bind_host: 172.16.1.100" >> /etc/elasticsearch/elasticsearch.yml

vi /etc/elasticsearch/elasticsearch.yml

最后面增加如下配置:

node.name: node-1

http.json.enable: true

http.cors.allow-origin: “/.*/”

index.cache.field.type: soft

path.data: /opt/local/elasticsearch/data

path.logs: /opt/local/elasticsearch/logs

3、创建目录以及授权

mkdir -p /opt/local/elasticsearch/{data,logs}

chown -R elasticsearch:elasticsearch /opt/local/elasticsearch

4、启动elasticsearch服务

service elasticsearch start

5、添加到开机启动

chkconfig elasticsearch on

6、安装 head 插件

执行如下命令:

/usr/share/elasticsearch/bin/plugin -install mobz/elasticsearch-head

7、访问 http://172.16.1.100:9200/_plugin/head        查看是否成功

创建Elasticsearch索引

点击索引,进行创建

索引名称: cluster

分片数:5

副本数:1

三、logstash  下载rpm 格式的就可以

yum localinstall logstash-2.3.2-1.noarch.rpm

3、配置logstash_indexer  (默认没有这个配置文件)

服务端增加此配置文件:

vi /etc/logstash/conf.d/logstash_indexer.conf

--------------------------------------------------------------------------------

input { stdin { } }

output {

elasticsearch {hosts => "172.16.1.100:9200" }

stdout { codec=> rubydebug }

}

--------------------------------------------------------------------------------

Logstash使用input和output定义收集日志时的输入和输出的相关配置

这里input定义了一个叫"stdin"的input,

这里output定义一个叫"stdout"的output。无论我们输入什么字符,Logstash都会按照某种格式来返回我们输入的字符,

其中output被定义为"stdout"并使用了codec参数来指定logstash输出格式。

logstash 测试

/opt/logstash/bin/logstash  -f /etc/logstash/conf.d/logstash_indexer.conf

客户端增加此配置文件

-----------------------------------------------------------------------------------

input {

file {

type => "nginx_access"

path => ["/usr/share/nginx/logs/test.access.log"]

}

}

output {

redis {

host => "172.16.1.100"

data_type => "list"

key => "logstash:redis"

}

}

-----------------------------------------------------------------------------------

5、启动 logstash 服务

service logstash start

chkconfig logstash on

五、安装kibana(前端web)

1. 下载 kibana

wget https://download.elastic.co/kibana/kibana/kibana-4.5.1-linux-x64.tar.gz

tar zxvf kibana-4.5.1-linux-x64.tar.gz

mv kibana-4.5.1-linux-x64 /opt/local/kibana

mkdir /opt/local/kibana/logs

cd /opt/local/kibana

2. 修改配置

cp /opt/local/kibana/config/kibana.yml /opt/local/kibana/config/kibana.yml.bak

修改 elasticsearch_url: 为 elasticsearch_url: "http://172.16.32.31:9200"

修改  server.host:   为   server.host: "172.16.1.100"

修改  kibana.index: 为   kibana.index: ".kibana"

3. 启动 kibana 服务

cd /opt/local/kibana/logs && nohup /opt/local/kibana/bin/kibana &

http://172.16.1.100:5601/

kibana  Index Patterns  必须要有数据才能创建索引。

FQA:

kibana 出现如下错误:

Courier Fetch Error: unhandled courier request error: Authorization Exception

这个错误是因为 elasticsearch  配置文件 elasticsearch.yml 里面使用了 http.cors.enabled

Kibana 4 的版本中,这个选项已经废弃了,请删除掉这个选项。

ELK 日志分析体系的更多相关文章

  1. elk日志分析与发掘深入分析

    elk日志分析与挖掘深入分析 1 为什么要做日志采集? 2 挖财自己的日志采集和分析体系应该怎么建? 2.1 日志的采集 2.2 日志的汇总与过滤 2.3 日志的存储 2.4 日志的分析与查询 3 需 ...

  2. ELK 日志分析实例

    ELK 日志分析实例一.ELK-web日志分析二.ELK-MySQL 慢查询日志分析三.ELK-SSH登陆日志分析四.ELK-vsftpd 日志分析 一.ELK-web日志分析 通过logstash ...

  3. 浅谈ELK日志分析平台

    作者:珂珂链接:https://zhuanlan.zhihu.com/p/22104361来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 小编的话 “技术干货”系列文章 ...

  4. ELK日志分析系统简单部署

    1.传统日志分析系统: 日志主要包括系统日志.应用程序日志和安全日志.系统运维和开发人员可以通过日志了解服务器软硬件信息.检查配置过程中的错误及错误发生的原因.经常分析日志可以了解服务器的负荷,性能安 ...

  5. Rsyslog+ELK日志分析系统

    转自:https://www.cnblogs.com/itworks/p/7272740.html Rsyslog+ELK日志分析系统搭建总结1.0(测试环境) 因为工作需求,最近在搭建日志分析系统, ...

  6. 十分钟搭建和使用ELK日志分析系统

    前言 为满足研发可视化查看测试环境日志的目的,准备采用EK+filebeat实现日志可视化(ElasticSearch+Kibana+Filebeat).题目为“十分钟搭建和使用ELK日志分析系统”听 ...

  7. ELK日志分析系统-Logstack

    ELK日志分析系统 作者:Danbo 2016-*-* 本文是学习笔记,参考ELK Stack中文指南,链接:https://www.gitbook.com/book/chenryn/kibana-g ...

  8. elk 日志分析系统Logstash+ElasticSearch+Kibana4

    elk 日志分析系统 Logstash+ElasticSearch+Kibana4 logstash 管理日志和事件的工具 ElasticSearch 搜索 Kibana4 功能强大的数据显示clie ...

  9. ELK日志分析 学习笔记

    (贴一篇之前工作期间整理的elk学习笔记) ELK官网 https://www.elastic.co   ELK日志分析系统 学习笔记 概念:ELK = elasticsearch + logstas ...

随机推荐

  1. JSP简单标签标签库开发

    1.定制标签的实现类称为标签处理器,简单标签处理器指实现SimpleTag接口的类,如下图的SimpleTagSupport类,该类为SimpleTag接口的默认实现类. 注:不要直接实现Simple ...

  2. 转 : ANT 调用sqlplus 客户端

    Jenkins安装与配置  (版本控制) 1 用ant脚本执行sql语句现在我需要写一个ant脚本来实现项目安装,情况是这样的,客户现在运行的版本可能是2.0,安装目录里可能有REL_1_0,REL_ ...

  3. 开放型Modbus/TCP 规范

    修订版 1.0,1999 年3 月29 日Andy SwalesSchneider 电气公司aswales@modicon.com目录目录............................... ...

  4. [转]java构造方法的访问修饰符

    http://my.oschina.net/u/1464678/blog/210359 1.       类(class) 可见性修饰符: public—在所有类中可见,在其他包中可以用import导 ...

  5. SQL Server 自定义快捷键

    SQL Server程序员经常要在SSMS(SQL Server Management Studio)或查询分析器(2000以前)中编写T-SQL代码.以下几个技巧,可以提升工作效率. 以下说明以SS ...

  6. js框架——angular.js(2)

    1. 模块的利用扩充 模块的名称也可以当做变量使用,例如: <body ng-app> <label><input type="checkbox" n ...

  7. hadoop中联结不同来源数据

    装载自http://www.cnblogs.com/dandingyy/archive/2013/03/01/2938462.html 有时可能需要对来自不同源的数据进行综合分析: 如下例子: 有Cu ...

  8. #ifndef 和 #endif

    文件中的#ifndef 头件的中的#ifndef,这是一个很关键的东西.比如你有两个C文件,这两个C文件都include了同一个头文件.而编译时,这两个C文件要一同编译成一个可运行文件,于是问题来了, ...

  9. PHP AJAX技术

    AJAX 是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术. AJAX 通过在后台与服务器进行少量数据交换,使网页实现异步更新.这意味着可以在不重载整个页面的情况下,对网页的某些部分进行更 ...

  10. 设置自己Eclipse代码风格(内部)

    http://www.cnblogs.com/farseer810/p/4391318.html 经过这几次的代码提交,发现很多人的代码风格不够规范.个人认为很有必要强制性规定一下代码的规范. 整体来 ...