ELK简介

  最近有个需求搭建一套日志系统用于集成几个业务系统的日志提供快速的检索功能,目前是用Log4net存数据库+Error级别发邮件方式,也算简单暴力好用,但历史日志的模糊查询确实很慢,所以使用ELK是比较理想的解决方案。三年前写过两篇文章log4net.NoSql +ElasticSearch 实现日志记录log4net.redis+logstash+kibana+elasticsearch+redis 实现日志系统,感觉有点凌乱,这次借着项目需要重新整理一下。参考ELK不权威指南可以对ELK做个大体了解它的应用场景和优缺点,总之“ELK 三个字母分别是三个软件产品的缩写。 E代表Elasticsearch,负责日志的存储和检索; L代表Logstash, 负责日志的收集,过滤和格式化;K代表Kibana,负责日志的展示统计和数据可视化。”。以前常见的ELK架构如下:

现在官方的推荐架构是https://www.elastic.co/cn/products

就像知乎上说的Elasticsearch是ELK的核心, L和K都有相应的替代方案(日记采集可以不使用Logstash,而是直接使用log4net.nosql输出到ES,或者像我那样自己写个log4net.redis输出到redis),所以先从Elasticsearch开始。

环境说明

1. windows server 2012 R2 64位

2. jdk-8u131-windows-x64.exe

3. elasticsearch-5.4.0.zip

Elasticsearch 安装

1.  下载Elasticsearch

  打开官网 https://www.elastic.co/downloads/elasticsearch ,目前最新版本是5.4.3,下载Zip格式文件,解压到E:\elk\elasticsearch,路径不要包括中文。

2. 从命令行运行Elasticsearch

命令行下到bin目录,运行elasticsearch.bat,出现如下界面表示服务起来了(不代表成功)。

在IE浏览器里输入 http://localhost:9200,弹出一个json文件下载内容如下表示成功了:

{

  "name" : "KaeR6Q2",

  "cluster_name" : "elasticsearch",

  "cluster_uuid" : "S4uOl5YERqaq1NBk9wId-g",

  "version" : {

    "number" : "5.4.0",

    "build_hash" : "780f8c4",

    "build_date" : "2017-04-28T17:43:27.229Z",

    "build_snapshot" : false,

    "lucene_version" : "6.5.0"

  },

  "tagline" : "You Know, for Search"

}

按ctrl+c停止服务。

如果输入 http://localhost:9200 报错,使用netstat -anp tcp 还可以看到9200、9300端口都在监听了,那么就看一下命令行输出里是否有乱码,如下图:

在E:\elk\elasticsearch\logs\elasticsearch.log里可以看到日志

[2017-07-05T17:48:07,373][INFO ][o.e.n.Node ] [] initializing ...
[2017-07-05T17:48:07,811][INFO ][o.e.e.NodeEnvironment ] [KaeR6Q2] using [1] data paths, mounts [[新加卷 (E:)]], net usable_space [98.2gb], net total_space [99.9gb], spins? [unknown], types [NTFS]
[2017-07-05T17:48:07,826][INFO ][o.e.e.NodeEnvironment ] [KaeR6Q2] heap size [1.9gb], compressed ordinary object pointers [true]

右键查看磁盘属性把卷标“新加卷”去掉就可以了。

3. 配置Elasticsearch

  Elasticsearch从config\elasticsearch.yml文件加载默认配置,也可以在命令行里用-E前缀指定,比如:

elasticsearch.bat -Ecluster.name=myCluster -Enode.name=myNode

  访问http://localhost:9200,返回值:

{

  "name" : "myNode",

  "cluster_name" : "myCluster",

  "cluster_uuid" : "S4uOl5YERqaq1NBk9wId-g",

  "version" : {

    "number" : "5.4.0",

    "build_hash" : "780f8c4",

    "build_date" : "2017-04-28T17:43:27.229Z",

    "build_snapshot" : false,

    "lucene_version" : "6.5.0"

  },

  "tagline" : "You Know, for Search"

}

修改elasticsearch.yml文件实现配置,格式说明Configuring Elasticsearch

# Use a descriptive name for your cluster:

#

cluster.name: esLogCluster

# Use a descriptive name for the node:

#

node.name: esLogNode_175

# Set the bind address to a specific IP (IPv4 or IPv6):

#

network.host: 192.168.5.175

再次运行elasticsearch.bat,就可以使用ip地址远程访问了。

4. 安装Elasticsearch服务elasticsearch-master

  elasticsearch可以后台服务的方式运行,通过elasticsearch-service.bat脚本安装、卸载、启动、停止、管理服务,参数说明如下:

install

Install Elasticsearch as a service

remove

Remove the installed Elasticsearch service (and stop the service if started)

start

Start the Elasticsearch service (if installed)

stop

Stop the Elasticsearch service (if started)

manager

Start a GUI for managing the installed service

参数后面可以跟一个可选参数 service_id,用于指定服务名称,默认的名称是 elasticsearch-service-x64,安装服务:

elasticsearch-service install elasticsearch-master
配置服务:
elasticsearch-service manager elasticsearch-master




注意修改启动类型为自启动,java初始内存(默认是2G)可以调小一些。


5. 安装Elasticsearch服务elasticsearch-slave,组成单服务器多节点集群


  a.复制E:\elk\elasticsearch文件夹重命名为E:\elk\elasticsearch-slave


   b.删除E:\elk\elasticsearch-slave\data文件夹下的内容,切记一定要删除


  c.修改E:\elk\elasticsearch-slave\config\elasticsearch.yml文件




node.name: esLogNode_175_slave

node.master: false

discovery.zen.ping.unicast.hosts: ["192.168.5.175"] 




  d.安装服务




elasticsearch-service install elasticsearch-slave




  e.验证集群,输入http://192.168.5.175:9200/_cluster/health?pretty,number_of_nodes和number_of_data_nodes等于2表示成功。




{

  "cluster_name" : "esLogCluster",

  "status" : "green",

  "timed_out" : false,

  "number_of_nodes" : ,

  "number_of_data_nodes" : ,

  "active_primary_shards" : ,

  "active_shards" : ,

  "relocating_shards" : ,

  "initializing_shards" : ,

  "unassigned_shards" : ,

  "delayed_unassigned_shards" : ,

  "number_of_pending_tasks" : ,

  "number_of_in_flight_fetch" : ,

  "task_max_waiting_in_queue_millis" : ,

  "active_shards_percent_as_number" : 100.0

}




踩坑总结


1. 磁盘卷标是中文,端口监听了通过http://localhost:9200访问失败


2. 组建集群时复制elasticsearch文件夹没有清空data里的内容,出现错误“found existing node {node-1}{vP19PMOyT2ilJKRAqgn78w}{jDULCExERXGHp4VXpbyuJA}{127.0.0.1}{127.0.0.1:9300} with the same id but is a different node instance]”


参考链接


1.Install Elasticsearch on Windows,官方文档


2.ElasticSearch 5学习(1)——安装Elasticsearch、Kibana和X-Pack Linux环境教程


3.ELK不权威指南


4.ELK介绍


5.ELK+FileBeat+Log4Net搭建日志系统


6.Elk 进阶部署
												


											
ELK日志框架(1):安装Elasticsearch组建单服务器多节点集群的更多相关文章
	

    
								
  1. kubeadm安装K8S单master双节点集群
		
    宿主机:master:172.16.40.97node1:172.16.40.98node2:172.16.40.99 # 一.k8s初始化环境:(三台宿主机) 关闭防火墙和selinux syste ...
    
		
    2. 
						
  2. ELK日志框架(2):log4net.ElasticSearch+ Kibana实现日志记录和显示
		
    环境说明 1. windows server 2012 R2 64位 2. log4net.ElasticSearch 3. kibana-5.5.0-windows-x86.zip 架构说明 数据采 ...
    
		
    3. 
						
  3. ELK日志分析之安装
		
    ELK日志分析之安装 1.介绍: NRT elasticsearch是一个近似实时的搜索平台,从索引文档到可搜索有些延迟,通常为1秒. 集群 集群就是一个或多个节点存储数据,其中一个节点为主节点,这个 ...
    
		
    4. 
						
  4. elk 日志分析系统Logstash+ElasticSearch+Kibana4
		
    elk 日志分析系统 Logstash+ElasticSearch+Kibana4 logstash 管理日志和事件的工具 ElasticSearch 搜索 Kibana4 功能强大的数据显示clie ...
    
		
    5. 
						
  5. ElasticSearch实战系列九: ELK日志系统介绍和安装
		
    前言 本文主要介绍的是ELK日志系统入门和使用教程. ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件.新增了一 ...
    
		
    6. 
						
  6. ELK日志监控平台安装部署简介--Elasticsearch安装部署
		
    最近由于工作需要,需要搭建一个ELK日志监控平台,本次采用Filebeat(采集数据)+Elasticsearch(建立索引)+Kibana(展示)架构,实现日志搜索展示功能. 一.安装环境描述: 1 ...
    
		
    7. 
						
  7. elk日志分析平台安装
		
    ELK安装 前言 什么是ELK? 通俗来讲,ELK是由Elasticsearch.Logstash.Kibana 三个开源软件的组成的一个组合体,这三个软件当中,每个软件用于完成不同的功能,ELK 又 ...
    
		
    8. 
						
  8. 【elasticsearch】(2)centos7 超简单安装elasticsearch 的监控、测试的集群工具elasticsearch head
		
    elasticsearch-head是elasticsearch(下面称ES)比较普遍使用的可监控.测试等功能的集群管理工具,是由H5编写的单独的网页程序.使用方法网上很多,这里教大家一个超简单安装h ...
    
		
    9. 
						
  9. ELK日志分析系统(4)-elasticsearch数据存储
		
    1. 概述 logstash把格式化的数据发送到elasticsearch以后,elasticsearch负责存储搜索日志数据 elasticsearch的搜索接口还是很强大的,这边不详细展开,因为k ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 编译安装nginx,并使用systemd管理nginx
			
    #tar zxvf nginx-1.8.1.tar.gz #cd nginx-1.8.1/ #make && make install #cat /etc/systemd/system ...
    
			
    2. 
						
  2. Zookeeper安装及运行
			
    zookeeper的安装分为三种模式:单机模式.集群模式和伪集群模式. 单机模式 首先,从Apache官网下载一个Zookeeper稳定版本,本次教程采用的是zookeeper-3.4.9版本. ht ...
    
			
    3. 
						
  3. nested exception is org.apache.ibatis.reflection.ReflectionExceptio
			
    org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.reflection.Reflecti ...
    
			
    4. 
						
  4. Python脱产8期 Day03 2019/4/15
			
    一 变量的命名规范 1.只能由 字母, 数字,  _, 组成. 2. 不能以数字开头 3.避免与系统关键字重名:重名不会报错,但系统的功能就被自定义的功能屏蔽掉了(严重不建议这样来做) 4.以_开头的 ...
    
			
    5. 
						
  5. OOM异常的4种可能分析
			
    OOM异常:OutOfMemoryError 1.JAVA堆溢出 JAVA堆用于存储对象实例,只要不断的创建对象,并且保证GC Roots到这些对象之间有路径可以来避免垃圾回收机制清除这些对象,那么在 ...
    
			
    6. 
						
  6. php操作mysql使用的socket
			
    在本地安装了php,安装了mysql,mysql-server.mysql服务也启动了. php扩展中也有mysql > php -m | grep mysql 然而执行mysql_connec ...
    
			
    7. 
						
  7. 【vue】chrome已安装Vue Devtools在控制台却无显示
			
    chrome已安装Vue Devtools在控制台却无显示的解决: 在点亮Vue Devtools图标后,控制台没有vue解读显示. 原因:脚手架配置NODE_ENV直接定义为了production版 ...
    
			
    8. 
						
  8. HNOI2017做题笔记
			
    HNOI2017 单旋(线段树.set) 手玩旋转操作(忽略手玩过程)可以发现:一次单旋对原树的变化实际上很小. 对于父子关系,单旋最小值会将\(Spaly\)上最小值变成原来根的父亲,将最小值的点右 ...
    
			
    9. 
						
  9. odoo订餐系统之订单相关知识点理解
			
    1.对重载函数name_get的理解 第一,此函数位于Model基类中,返回值是一个list列表,列表中的每个值是如(key,value)形式的键值对,此处为(id,name). 第二,在自己的Mod ...
    
			
    10. 
						
  10. Random快速产生相同随机数的原因及解决方案
			
    老生常谈,还是那三句话: 学历代表你的过去,能力代表你的现在,学习代表你的将来 十年河东,十年河西,莫欺少年穷 学无止境,精益求精 问题描述:很多时候我们可能需要在极短的时间内生成大量的随机数,但是你 ...
    
			
    11.