ELK简介

  最近有个需求搭建一套日志系统用于集成几个业务系统的日志提供快速的检索功能,目前是用Log4net存数据库+Error级别发邮件方式,也算简单暴力好用,但历史日志的模糊查询确实很慢,所以使用ELK是比较理想的解决方案。三年前写过两篇文章log4net.NoSql +ElasticSearch 实现日志记录log4net.redis+logstash+kibana+elasticsearch+redis 实现日志系统,感觉有点凌乱,这次借着项目需要重新整理一下。参考ELK不权威指南可以对ELK做个大体了解它的应用场景和优缺点,总之“ELK 三个字母分别是三个软件产品的缩写。 E代表Elasticsearch,负责日志的存储和检索; L代表Logstash, 负责日志的收集,过滤和格式化;K代表Kibana,负责日志的展示统计和数据可视化。”。以前常见的ELK架构如下:

现在官方的推荐架构是https://www.elastic.co/cn/products

就像知乎上说的Elasticsearch是ELK的核心, L和K都有相应的替代方案(日记采集可以不使用Logstash,而是直接使用log4net.nosql输出到ES,或者像我那样自己写个log4net.redis输出到redis),所以先从Elasticsearch开始。

环境说明

1. windows server 2012 R2 64位

2. jdk-8u131-windows-x64.exe

3. elasticsearch-5.4.0.zip

Elasticsearch 安装

1.  下载Elasticsearch

  打开官网 https://www.elastic.co/downloads/elasticsearch ,目前最新版本是5.4.3,下载Zip格式文件,解压到E:\elk\elasticsearch,路径不要包括中文。

2. 从命令行运行Elasticsearch

命令行下到bin目录,运行elasticsearch.bat,出现如下界面表示服务起来了(不代表成功)。

在IE浏览器里输入 http://localhost:9200,弹出一个json文件下载内容如下表示成功了:

{

  "name" : "KaeR6Q2",

  "cluster_name" : "elasticsearch",

  "cluster_uuid" : "S4uOl5YERqaq1NBk9wId-g",

  "version" : {

    "number" : "5.4.0",

    "build_hash" : "780f8c4",

    "build_date" : "2017-04-28T17:43:27.229Z",

    "build_snapshot" : false,

    "lucene_version" : "6.5.0"

  },

  "tagline" : "You Know, for Search"

}

按ctrl+c停止服务。

如果输入 http://localhost:9200 报错,使用netstat -anp tcp 还可以看到9200、9300端口都在监听了,那么就看一下命令行输出里是否有乱码,如下图:

在E:\elk\elasticsearch\logs\elasticsearch.log里可以看到日志

[2017-07-05T17:48:07,373][INFO ][o.e.n.Node ] [] initializing ...
[2017-07-05T17:48:07,811][INFO ][o.e.e.NodeEnvironment ] [KaeR6Q2] using [1] data paths, mounts [[新加卷 (E:)]], net usable_space [98.2gb], net total_space [99.9gb], spins? [unknown], types [NTFS]
[2017-07-05T17:48:07,826][INFO ][o.e.e.NodeEnvironment ] [KaeR6Q2] heap size [1.9gb], compressed ordinary object pointers [true]

右键查看磁盘属性把卷标“新加卷”去掉就可以了。

3. 配置Elasticsearch

  Elasticsearch从config\elasticsearch.yml文件加载默认配置,也可以在命令行里用-E前缀指定,比如:

elasticsearch.bat -Ecluster.name=myCluster -Enode.name=myNode

  访问http://localhost:9200,返回值:

{

  "name" : "myNode",

  "cluster_name" : "myCluster",

  "cluster_uuid" : "S4uOl5YERqaq1NBk9wId-g",

  "version" : {

    "number" : "5.4.0",

    "build_hash" : "780f8c4",

    "build_date" : "2017-04-28T17:43:27.229Z",

    "build_snapshot" : false,

    "lucene_version" : "6.5.0"

  },

  "tagline" : "You Know, for Search"

}

修改elasticsearch.yml文件实现配置,格式说明Configuring Elasticsearch

# Use a descriptive name for your cluster:

#

cluster.name: esLogCluster

# Use a descriptive name for the node:

#

node.name: esLogNode_175

# Set the bind address to a specific IP (IPv4 or IPv6):

#

network.host: 192.168.5.175

再次运行elasticsearch.bat,就可以使用ip地址远程访问了。

4. 安装Elasticsearch服务elasticsearch-master

  elasticsearch可以后台服务的方式运行,通过elasticsearch-service.bat脚本安装、卸载、启动、停止、管理服务,参数说明如下:

install

Install Elasticsearch as a service

remove

Remove the installed Elasticsearch service (and stop the service if started)

start

Start the Elasticsearch service (if installed)

stop

Stop the Elasticsearch service (if started)

manager

Start a GUI for managing the installed service

参数后面可以跟一个可选参数 service_id,用于指定服务名称,默认的名称是 elasticsearch-service-x64,安装服务:

elasticsearch-service install elasticsearch-master
配置服务:
elasticsearch-service manager elasticsearch-master




注意修改启动类型为自启动,java初始内存(默认是2G)可以调小一些。


5. 安装Elasticsearch服务elasticsearch-slave,组成单服务器多节点集群


  a.复制E:\elk\elasticsearch文件夹重命名为E:\elk\elasticsearch-slave


   b.删除E:\elk\elasticsearch-slave\data文件夹下的内容,切记一定要删除


  c.修改E:\elk\elasticsearch-slave\config\elasticsearch.yml文件




node.name: esLogNode_175_slave

node.master: false

discovery.zen.ping.unicast.hosts: ["192.168.5.175"] 




  d.安装服务




elasticsearch-service install elasticsearch-slave




  e.验证集群,输入http://192.168.5.175:9200/_cluster/health?pretty,number_of_nodes和number_of_data_nodes等于2表示成功。




{

  "cluster_name" : "esLogCluster",

  "status" : "green",

  "timed_out" : false,

  "number_of_nodes" : ,

  "number_of_data_nodes" : ,

  "active_primary_shards" : ,

  "active_shards" : ,

  "relocating_shards" : ,

  "initializing_shards" : ,

  "unassigned_shards" : ,

  "delayed_unassigned_shards" : ,

  "number_of_pending_tasks" : ,

  "number_of_in_flight_fetch" : ,

  "task_max_waiting_in_queue_millis" : ,

  "active_shards_percent_as_number" : 100.0

}




踩坑总结


1. 磁盘卷标是中文,端口监听了通过http://localhost:9200访问失败


2. 组建集群时复制elasticsearch文件夹没有清空data里的内容,出现错误“found existing node {node-1}{vP19PMOyT2ilJKRAqgn78w}{jDULCExERXGHp4VXpbyuJA}{127.0.0.1}{127.0.0.1:9300} with the same id but is a different node instance]”


参考链接


1.Install Elasticsearch on Windows,官方文档


2.ElasticSearch 5学习(1)——安装Elasticsearch、Kibana和X-Pack Linux环境教程


3.ELK不权威指南


4.ELK介绍


5.ELK+FileBeat+Log4Net搭建日志系统


6.Elk 进阶部署
												


											
ELK日志框架(1):安装Elasticsearch组建单服务器多节点集群的更多相关文章
	

    
								
  1. kubeadm安装K8S单master双节点集群
		
    宿主机:master:172.16.40.97node1:172.16.40.98node2:172.16.40.99 # 一.k8s初始化环境:(三台宿主机) 关闭防火墙和selinux syste ...
    
		
    2. 
						
  2. ELK日志框架(2):log4net.ElasticSearch+ Kibana实现日志记录和显示
		
    环境说明 1. windows server 2012 R2 64位 2. log4net.ElasticSearch 3. kibana-5.5.0-windows-x86.zip 架构说明 数据采 ...
    
		
    3. 
						
  3. ELK日志分析之安装
		
    ELK日志分析之安装 1.介绍: NRT elasticsearch是一个近似实时的搜索平台,从索引文档到可搜索有些延迟,通常为1秒. 集群 集群就是一个或多个节点存储数据,其中一个节点为主节点,这个 ...
    
		
    4. 
						
  4. elk 日志分析系统Logstash+ElasticSearch+Kibana4
		
    elk 日志分析系统 Logstash+ElasticSearch+Kibana4 logstash 管理日志和事件的工具 ElasticSearch 搜索 Kibana4 功能强大的数据显示clie ...
    
		
    5. 
						
  5. ElasticSearch实战系列九: ELK日志系统介绍和安装
		
    前言 本文主要介绍的是ELK日志系统入门和使用教程. ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件.新增了一 ...
    
		
    6. 
						
  6. ELK日志监控平台安装部署简介--Elasticsearch安装部署
		
    最近由于工作需要,需要搭建一个ELK日志监控平台,本次采用Filebeat(采集数据)+Elasticsearch(建立索引)+Kibana(展示)架构,实现日志搜索展示功能. 一.安装环境描述: 1 ...
    
		
    7. 
						
  7. elk日志分析平台安装
		
    ELK安装 前言 什么是ELK? 通俗来讲,ELK是由Elasticsearch.Logstash.Kibana 三个开源软件的组成的一个组合体,这三个软件当中,每个软件用于完成不同的功能,ELK 又 ...
    
		
    8. 
						
  8. 【elasticsearch】(2)centos7 超简单安装elasticsearch 的监控、测试的集群工具elasticsearch head
		
    elasticsearch-head是elasticsearch(下面称ES)比较普遍使用的可监控.测试等功能的集群管理工具,是由H5编写的单独的网页程序.使用方法网上很多,这里教大家一个超简单安装h ...
    
		
    9. 
						
  9. ELK日志分析系统(4)-elasticsearch数据存储
		
    1. 概述 logstash把格式化的数据发送到elasticsearch以后,elasticsearch负责存储搜索日志数据 elasticsearch的搜索接口还是很强大的,这边不详细展开,因为k ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. oracle12C 创建PDB
			
    1.根据数据库现有模板创建PDB CREATE PLUGGABLE DATABASE ssptrad ADMIN USER sspIDENTIFIED BY oracle roles=(dba) fi ...
    
			
    2. 
						
  2. Android学习之键盘事件
			
    java代码: package com.example.keyboardtest; import android.app.Activity; import android.os.Bundle; imp ...
    
			
    3. 
						
  3. 云主机被拿去挖矿,cpu暴涨,tcp连接突增
			
    1.云主机被拿去挖矿,cpu暴涨,tcp连接突增 2.现象:top -c 3.然后我再查看pstree进程树 4.查找文件来源 ind  / -name '*suppoie*' 5. 然后删除 sup ...
    
			
    4. 
						
  4. Luogu4199 万径人踪灭 FFT、Manacher
			
    传送门 先不考虑”不是连续的一段“这一个约束条件.可以知道:第$i$位与第$j$位相同,可以对第$\frac{i+j}{2}$位置上产生$1$的贡献(如果$i+j$为奇数表明它会对一条缝产生$1$的贡 ...
    
			
    5. 
						
  5. 表单验证(AngularJs)
			
    这次,学习angularjs的表单的验证,angularjs提供上表几种状态验证: 状态 描述 $invalid 未通过验证 $valid 经过验证 $pristine 未修改过 $dirty 修改  ...
    
			
    6. 
						
  6. (转)对一个deb包的解压、修改、重新打包全过程方法
			
    转自:https://blog.csdn.net/yygydjkthh/article/details/36695243 Reference: http://www.debian.org/doc/ma ...
    
			
    7. 
						
  7. 一个有趣的问题——HTTP是“超文本传输协议”还是“超文本转移协议”
			
    最近在看<HTTP图解>这本书,书中提到了对国内对HTTP协议名称的翻译问题,并且给出了一些网友讨论的原稿链接,我看了一下觉得挺有意思的,另外我本人也觉得翻译对于理解协议本身非常重要,就整 ...
    
			
    8. 
						
  8. scikit-learn的线性回归模型
			
    来自 http://blog.csdn.net/jasonding1354/article/details/46340729 内容概要 如何使用pandas读入数据 如何使用seaborn进行数据的可 ...
    
			
    9. 
						
  9. 【SQL】四种排序开窗函数
			
    一 .简单了解什么是开窗函数 什么是开窗函数,开窗函数有什么作用,特征是什么? 所谓开窗函数就是定义一个行为列,简单讲,就是在你查询的结果上,直接多出一列值(可以是聚合值或是排序号),特征就是带有ov ...
    
			
    10. 
						
  10. retinex图像增强算法的研究
			
    图像增强方面我共研究了Retinex.暗通道去雾.ACE等算法.其实,它们都是共通的.甚至可以说,Retinex和暗通道去雾就是同一个算法的两个不同视角,而ACE算法又是将Retinex和灰度世界等白 ...
    
			
    11.