一、 简介

1.1 介绍

  ELK是三个开源工具组成,简单解释如下:

  Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。

  Logstash是一个完全开源的工具,它可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜索)。

Kibana 也是一个开源和免费的工具,它可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。

1.2 场景分析

  日志主要包括系统日志、应用程序日志和安全日志等等。运维人员和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。

  通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。

  集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。

  这里采用开源实时日志分析ELK平台能够完美的解决我们上述的问题,当然也还有别的平台或者工具可以使用,这里只讨论ELK,官方网站:https://www.elastic.co

二、安装Elasticsearch

2.1 安装jdk

# java -version

java version "1.8.0_121"

Java(TM) SE Runtime Environment (build 1.8.0_121-b13)

Java HotSpot(TM) 64-Bit Server VM (build 25.121-b13, mixed mode)

2.2 安装Elasticsearch

# tar -zxvf elasticsearch-5.6.3.tar.gz

# mv elasticsearch-5.6.3 /data/elasticsearch

# cd elasticsearch/config/

# 备份配置文件

# cp elasticsearch.yml elasticsearch.yml.bak

  编辑配置文件

# cat elasticsearch.yml | grep -v ^#

cluster.name: elk-application

node.name: node-1

path.data: /data/elasticsearch/data

path.logs: /data/elasticsearch/logs

network.host: 172.16.220.248

http.port: 9200

discovery.zen.ping.unicast.hosts: ["node-1"]

discovery.zen.minimum_master_nodes: 1

  添加elasticsearch用户,不能使用root启动

# groupadd -g 1008 elasticsearch

# useradd -g 1008 -u 1008 elasticsearch

# chown -R elasticsearch:elasticsearch /data/elasticsearch/

  修改sysctl.conf文件

# vim /etc/sysctl.conf

vm.max_map_count = 262144

# sysctl -p  

  修改/etc/security/limits.conf文件,修改打开文件句柄

*               soft    nofile          100000

*               hard    nofile          100000

*               soft    nproc           100000

*               hard    nproc           100000

  添加hosts文件

# vim /etc/hosts

172.16.220.248 node-1

  启动

# su -s elasticsearch

# cd /data/elasticsearch/bin

# ./elasticearch &

  查看是否启动

  

  简单的curl测试

# curl http://172.16.220.248:9200

  

三、安装Logstash和filebeat

  filebeat用于在各个服务器上获取数据,发送到logstash上,再由logstash处理数据。

3.1 安装logstash

# tar -zxvf logstash-5.6.3.tar.gz

# mv logstash-5.6.3 /data/logstash

3.2 安装filebeat

  下载filebeat并启动,通过它来监听数据源文件的新增内容经过logstash处理后上传到es里面

# tar -zxvf filebeat-5.6.3-linux-x86_64.tar.gz

# mv filebeat-5.6.3-linux-x86_64 /data/filebeat

# cd /data/filebeat

# cp filebeat.yml filebeat.yml.bak

  编辑filebeat.yml文件

filebeat.prospectors:

- input_type: log

  paths:

    - /var/log/message-log  # 测试本机的一个log文件

output.logstash:

  hosts: ["172.16.220.248:5044"]

  启动filebeat服务

# cd /data/filebeat

# ./filebeat &

  查看启动,filebeat没有监听端口,主要看日志和进程

# tialf logs/filebeat

# ps -ef | grep filebeat

  

  filebeat监听的文件记录信息在/data/filebeat/data/registry

  新建一个本地文件message-log,可以取几条本机系统的messages文件

  

3.3 启动logstash  

  最后新建一个logstash的启动指定test.conf配置文件,内容如下:  

input {

    beats {

      port => "5044"

    }

}

output {

   elasticsearch {

   hosts => "172.16.220.248:9200"

  }

  stdout { codec => rubydebug }   # 这是将输出打印在屏幕上,可以注释掉

}  

  Logstash默认有input、filter、output三个区域,一般最少需要配置input和output即可!

  logstash的本身默认的logstash.yml配置文件选择不修改即可!

  简单测试一下logstash不指定配置文件启动

# cd /data/filebeat/bin

# ./logstash -e 'input { stdin {} } output {stdout {} }'

  

  我们手动输入 hello world,它也会输出 hello world

  指定配置文件启动logstash 

# ./logstash -f ../config/test.conf &

  查看5044端口和9600端口是否开启

  

  等待一会后应该会出现如下信息输出,这也就是test.conf里面最后一行定义输出到屏幕上

  

四、安装kibana 

# tar -zxvf kibana-5.6.3-linux-x86_64.tar.gz

# mv kibana-5.6.3-linux-x86_64 /data/kinbana

# cd /data/kinbana/config/

# cp kibana.yml kibana.yml.bak

  编辑kibana.yml配置文件

# vim kibana.yml

server.port: 5601

server.host: "172.16.220.248"

elasticsearch.url: "http://172.16.220.248:9200"

  启动kinbana

# cd /data/kibana/bin

# ./kibana &

  查看端口

  

  浏览器登入查看

  

  点击create按钮后,然后点击上面的discover按钮,注意如果没数据的话,注意看看导入的时间@timestamp和现在的时间对比一下,kibana默认只显示最近15分钟的数据,如果超出15分钟请选择适当的时间,从kibana可以看到messages-log里面的15条数据都正常导入了。这就也完成我们的实现的第一个效果。但是这仅仅是把流程跑通了,接下来我们需要做的事情还有更多。注意只能先导入数据到es后才能在kibana创建索引。

  

五、获取Nginx access日志

  Nginx日志格式在logstash的grok里面默认是没有的,需要我们手动配置,可以通过http://grokdebug.herokuapp.com/ 在线工具来判断配置是否正确。

5.1 在nginx服务器上安装filebeat

  服务器: 172.16.200.160  

# tar -zxvf filebeat-5.6.3-linux-x86_64.tar.gz

# mv filebeat-5.6.3-linux-x86_64 /data/filebeat

# cd /data/filebeat

# cp filebeat.yml filebeat.yml.bak

  修改filebeat配置文件

# cat filebeat.yml | grep -v ^$ | grep -v ^# | grep -v "#"

filebeat.prospectors:

- input_type: log

  paths:

    - /data/nginx/logs/160_access.log

   document_type: nginx_access

output.logstash:

  hosts: ["172.16.220.248:5044"]

  启动filebeat

# ./filebeat & 

5.2 重新配置logstash启动配置文件

  nginx日志格式,根据业务要求,我们这做了一些修改,比如增加cookie等,修改access.log日志时间格式等,这个会在另外的博客中写出来,会给出链接的。

  nginx日志中添加cookie信息

  nginx改变access.log中的时间格式

  Nginx日志格式  

log_format main

                '[$time_local] - $remote_addr:$remote_port - $upstream_addr $upstream_status $upstream_response_time - '

                '"$request" $status $bytes_sent $request_time '

                '"$http_referer" - "$http_user_agent" - '

                '"$customerTag_cookie" - "$ym_cookie" - "$http_cookie" '

                '"$http_x_forwarded_for"';

# 这里只是我们自己的格式,各位可以根据自己要求增删

  grok使用表达式

  可能我理解不是很到位,写的也比较复杂,我会把匹配对应项一一写出来,大家可以自己理解,然后为自己的项目配置

%{SYSLOG5424SD} - %{IPV4:clientip}:%{NUMBER:clientport} - %{IPV4:hostip}:%{NUMBER:itemport} %{INT:upstream_status} %{NUMBER:response_time} - \"%{WORD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:http_version}\" %{INT:status} %{INT:body_bytes_sent} %{NUMBER:request_time} %{QS:url} - %{QS:user_agent} - %{QS:customerTag} - %{QS:ym_traffic_session_id} - %{QS:all_cookies} %{IPV4:realip}

  grok匹配说明

%{SYSLOG5424SD}
 时间格式 
%{IPV4:clientip}
 获取ip,clientip是自己命名的 
%{NUMBER:clientport}
 NUMBER匹配数字 
%{INT:upstream_status}
 INT整形 
%{WORD:method}
 WORD单词 
%{URIPATHPARAM:request}
 获取请求内容request 
%{QS:url}
  QS可以获取一段字符串

  修改logstash启动配置文件

input {

    beats {

      port => "5044"

    }

}

filter {

    if [type] == "nginx_access" {

    grok {

        match => {"message" => "%{SYSLOG5424SD} - %{IPV4:clientip}:%{NUMBER:clientport} - %{IPV4:hostip}:%{NUMBER:itemport} %{INT:upstream_status} %{NUMBER:response_time} - \"%{WORD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:http_version}\" %{INT:status} %{INT:body_bytes_sent} %{NUMBER:request_time} %{QS:url} - %{QS:user_agent} - %{QS:customerTag} - %{QS:ym_traffic_session_id} - %{QS:all_cookies} %{IPV4:realip}"}

      }

    mutate {

       remove_field => "message"   # 把message字段去掉,它会将上面单项获取的信息做个汇总,这样就重复了

    }

  }

}

output {

   elasticsearch {

   hosts => "172.16.220.248:9200"

  }

#stdout { codec => rubydebug }

}

  测试一下配置文件

./logstash -t -f ../config/logstash.conf

  

    重启logstash

  不出问题elasticsearch 和kibana中就会有数据了

Centos7单机部署ELK的更多相关文章

  1. Centos7单机部署ELK+x-pack

    ELK分布式框架作为现在大数据时代分析日志的常为大家使用.现在我们就记录下单机Centos7部署ELK的过程和遇到的问题. 系统要求:Centos7(内核3.5及以上,2核4G) elk版本:6.2. ...

  2. centos7.5部署ELk

    第1章 环境规划 1.1 ELK介绍       ELK是ElasticSerach.Logstash.Kibana三款产品名称的首字母集合,用于日志的搜集和搜索.      Elasticsearc ...

  3. 单机部署 ELK

    对于一个体量不大的系统,运行在单机上的 ELK 就足以胜任日志的处理任务了.本文介绍如何在单台服务器上安装并配置 ELK(elalasticsearch + logstash + kibana),并最 ...

  4. Linux下单机部署ELK日志收集、分析环境

    一.ELK简介 ELK是elastic 公司旗下三款产品ElasticSearch .Logstash .Kibana的首字母组合,主要用于日志收集.分析与报表展示. ELK Stack包含:Elas ...

  5. 最新Centos7.6 部署ELK日志分析系统

    下载elasticsearch 创建elk用户并授权 useradd elk chown -R elk:elk /home/elk/elasticsearch chown -R elk:elk /ho ...

  6. CentOS7单机部署lamp环境和apache虚拟主机

    (1)apache介绍 apache : httpd.apache.org 软件包:httpd 端口服务:80/tcp(http) 443/tcp(https,http+ssl) 配置文件: /etc ...

  7. Hadoop2-认识Hadoop大数据处理架构-单机部署

    一.Hadoop原理介绍 1.请参考原理篇:Hadoop1-认识Hadoop大数据处理架构 二.centos7单机部署hadoop 前期准备 1.创建用户 [root@web3 ~]# useradd ...

  8. Hadoop生态圈-CentOs7.5单机部署ClickHouse

    Hadoop生态圈-CentOs7.5单机部署ClickHouse 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 到了新的公司,认识了新的同事,生产环境也得你去适应新的集群环境,我 ...

  9. linux单机部署kafka(filebeat+elk组合)

    filebeat+elk组合之kafka单机部署 准备: kafka下载链接地址:http://kafka.apache.org/downloads.html 在这里下载kafka_2.12-2.10 ...

随机推荐

  1. JavaScript之函数柯里化

    什么是柯里化(currying)? 维基百科中的解释是:柯里化是把接受多个参数的函数变换成接受一个单一参数(最初函数的第一个参数)的函数,并且返回接受余下的参数而且返回结果的新函数的技术.意思就是当函 ...

  2. $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 区别

    PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 的区别 PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 通常情况下,PHP ...

  3. Friends and Cookies(思维)

    Abood's birthday has come, and his n friends are aligned in a single line from 1 to n, waiting for t ...

  4. 作业MathExamV2.0

    MathExam233 211614269 林凯 211601233张康凌 一.预估与实际 PSP2.1 Personal Software Process Stages 预估耗时(分钟) 实际耗时( ...

  5. 网页调用vlc并播放网络视频

    环境:windows/android/ios windows端保存以下内容为reg文件并运行 Windows Registry Editor Version 5.00 [HKEY_CLASSES_RO ...

  6. OOP 学习笔记汇总

    1.1 引用 1.2 const关键字 1.3 动态内存分配 1.4 内联函数和重载函数函数参数缺省值 1.5 类和对象的基本概念与用法1 2.1 类和对象的基本概念2

  7. MySql 8 命令

    1-创建用户 create user 用户名@'%' identified by '密码'; create user 用户名@'localhost' identified by '密码';   2-授 ...

  8. 软工网络15个人作业4--alpha阶段个人总结

    一.个人总结 自我评价表 类别 具体技能和面试问题 现在的回答 毕业找工作 语言 最拿手的语言之一,代码量是多少 java,代码量大概两三千行吧 语言 最拿手的语言之二,代码量是多少 python,代 ...

  9. ltnmp 3.0 发布,PHP 开发环境一键安装包

    PHP 开发环境一键安装包, 有个叫lnmp.这个ltnmp看起来更新比较多,开发比较频繁,包括的组件更多. 安装和使用教程:http://www.moqifei.com/ltnmp 标记一下.

  10. 软工实践团队展示——WorldElite

    软工实践团队展示--WorldElite 本次作业链接 团队成员 031602636许舒玲(组长) 031602237吴杰婷 031602634吴志鸿 081600107傅滨 031602220雷博浩 ...