elastic 5.2集群安装笔记
 
设计架构如下:
nginx_json_log -》filebeat -》logstash -》elasticsearch -》kibana

系统版本Centos7.2
nginx格式为json,如何定义为json请自行百度。
kibana展示如下
 
 
rpm -ivh elasticsearch-5.2.0.rpm 
rpm -ivh kibana-5.2.0-x86_64.rpm 
rpm -ivh logstash-5.2.0.rpm 
yum install  java-1.8.0-openjdk -y   #logstash 和 elasticsearch启动需要jdk1.8以上版本,推荐使用oracle的jdk。
 
 
ES启动前系统调试
关闭ESlinux
暂时关闭iptables
 
修改IO调度算法为noop #不是SSD不用调整
cat /sys/block/sda/queue/scheduler 
noop deadline [cfq](默认是cfq)
echo "noop" >/sys/block/sda/queue/scheduler
cat /sys/block/sda/queue/scheduler 
[noop] deadline cfq(变为noop)
 
#增大文件描述符
ulimit -n 65536
echo -ne "
* soft nofile 65536
* hard nofile 65536
" >>/etc/security/limits.conf
 
#修改系统线程限制
echo -ne "
* soft nproc 2048
* hard nproc 4096
" >>/etc/security/limits.conf
 
修改系统限制一个进程可以拥有的VMA(虚拟内存区域)的数量
若无参数请增加
vim /etc/sysctl.conf
vm.max_map_count = 262144
设置降低交换分区的使用优先级
vim /etc/sysctl.conf
vm.swappiness = 1
 
 
 
 
ES启动前elasticsearch.yml配置
cat /etc/elasticsearch/jvm.options
-Xms16g
-Xmx16g
注:按需调整,配置物理机内存的50%,但不要超过31G。
 
cat /etc/elasticsearch/elasticsearch.yml
#集群名称
cluster.name: ESTACK
#节点名称
node.name: ESTACK01
#数据路径
path.data: /opt/elk/elasticsearch-data/
 
#若有交换分区,请开启此项配置(我的服务器没有交换分区,故没有打开)

#禁用swap内存交换
##若开启此选项,你需要修改/usr/lib/systemd/system/elasticsearch.service文件,并设置LimitMEMLOCK=infinity,
##修改/etc/sysconfig/elasticsearch文件,设置MAX_LOCKED_MEMORY=unlimited,最后执行systemctl daemon-reloa & systemctl restart elasticsearch

#bootstrap.memory_lock: true

#监听地址
network.host: 10.1.74.53
#最小成集群节点数,防止脑裂
discovery.zen.minimum_master_nodes: 2
#单播ES节点地址。
discovery.zen.ping.unicast.hosts:
   - 10.1.73.229
   - 10.1.74.53 
   - 10.1.74.54
 
配置完毕启动即可  systemctl start elasticsearch
 
logstash安装与使用
安装包完毕后,将配置文件放入目录
/etc/logstash/conf.d   下
配置文件举例
cdnlogs.conf
input {
    beats {
        port => 5044
      }
}
 
filter{
    json{
        source => "message"
    }
 
    geoip {
        source => "ip"
        #geoip是从IP字段中,获取IP地址,并匹配这个地址的地方,最后生成地区的索引和坐标新增到ES的数据中。
        #logstash5x以上的geoip库已直接集成在logstash中,2.x需要单独指定,建议直接用logstash5x以上版本
        target => "geoip"
    }
}
 
output {
  elasticsearch {
    hosts => "10.1.74.53:9200"
    manage_template => false
    index => "cdnlogs-%{+YYYY.MM}"
    document_type => "cdnlogs"
  }
}
 
 
启动logstash
screen -S logstash
screen这个命令请先百度学习一下。
./bin/logstash -f routerlogs.conf
 
启动后的logstash会监听5044端口,beats发送过来的数据会被logstash进行接收,处理(geoip增加访问用户的地址)和输出到elasticsearch中。
 
 
 
配置kibana
主要配置
vim /etc/kibana/kibana.yml
#server.port: 5601
#server.host: "127.0.0.1"
#elasticsearch.url: "http://127.0.0.1:9200"
配置完毕后启动即可 systemctl start kibana
 
 
 
 
 
配置filebeat
在需要收集日志的服务器上安装filebeat
注意,收集的日志必须为json格式!
安装完毕后修改配置文件
vim /etc/filebeat/filebeat.yml
 
filebeat.prospectors:
# Each - is a prospector. Most options can be set at the prospector level, so
# you can use different prospectors for various configurations.
# Below are the prospector specific configurations.
- input_type: log
  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /var/log/nginx/cdn.log
  json.keys_under_root: true
 
output.logstash:
  # The Logstash hosts
  hosts: ["42.15.38.132:5044"]
 
配置完毕启动即可,
至此,日志会经过
filebeat -》logstash -》 elasticsearch -》kibana 展示到你的面前,祝玩的愉快。
 

谢土豪

如果有帮到你的话,请赞赏我吧!

 

ELASTIC 5.2部署并收集nginx日志的更多相关文章

  1. Docker 部署 ELK 收集 Nginx 日志

    一.简介 1.核心组成 ELK由Elasticsearch.Logstash和Kibana三部分组件组成: Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引 ...

  2. ELK Stack (2) —— ELK + Redis收集Nginx日志

    ELK Stack (2) -- ELK + Redis收集Nginx日志 摘要 使用Elasticsearch.Logstash.Kibana与Redis(作为缓冲区)对Nginx日志进行收集 版本 ...

  3. ELK日志系统之使用Rsyslog快速方便的收集Nginx日志

    常规的日志收集方案中Client端都需要额外安装一个Agent来收集日志,例如logstash.filebeat等,额外的程序也就意味着环境的复杂,资源的占用,有没有一种方式是不需要额外安装程序就能实 ...

  4. ELK 二进制安装并收集nginx日志

    对于日志来说,最常见的需求就是收集.存储.查询.展示,开源社区正好有相对应的开源项目:logstash(收集).elasticsearch(存储+搜索).kibana(展示),我们将这三个组合起来的技 ...

  5. 使用Docker快速部署ELK分析Nginx日志实践

    原文:使用Docker快速部署ELK分析Nginx日志实践 一.背景 笔者所在项目组的项目由多个子项目所组成,每一个子项目都存在一定的日志,有时候想排查一些问题,需要到各个地方去查看,极为不方便,此前 ...

  6. ELK filter过滤器来收集Nginx日志

    前面已经有ELK-Redis的安装,此处只讲在不改变日志格式的情况下收集Nginx日志. 1.Nginx端的日志格式设置如下: log_format access '$remote_addr - $r ...

  7. 安装logstash5.4.1,并使用grok表达式收集nginx日志

    关于收集日志的方式,最简单性能最好的应该是修改nginx的日志存储格式为json,然后直接采集就可以了. 但是实际上会有一个问题,就是如果你之前有很多旧的日志需要全部导入elk上查看,这时就有两个问题 ...

  8. 使用Docker快速部署ELK分析Nginx日志实践(二)

    Kibana汉化使用中文界面实践 一.背景 笔者在上一篇文章使用Docker快速部署ELK分析Nginx日志实践当中有提到如何快速搭建ELK分析Nginx日志,但是这只是第一步,后面还有很多仪表盘需要 ...

  9. 第七章·Logstash深入-收集NGINX日志

    1.NGINX安装配置 源码安装nginx 因为资源问题,我们先将nginx安装在Logstash所在机器 #安装nginx依赖包 [root@elkstack03 ~]# yum install - ...

随机推荐

  1. ASP.NET中异常处理的注意事项

    一.ASP.NET中需要引发异常的四类情况 1.如果运行代码后,造成内存泄漏.资源不可用或应用程序状态不可恢复,则引发异常.Console这个类中,有很多类似这样的代码: if ((value < ...

  2. CSS-3 Transform 的使用

    CSS3制作动画的几个属性:变形(transform).转换(transition)和动画(animation)等更高级的CSS3技术.这篇主要是 Transform 的使用. Transform 字 ...

  3. shape-outside 矩形之外的另一种思路

    http://docs.webplatform.org/wiki/css/properties/shape-outside

  4. Strange Queries(莫队)

    题目 You are given an array with n integers a1, a2, ..., an, and q queries to answer. Each query consi ...

  5. cordova app 监听物理返回键

    物理返回键指的是手机系统自带的返回按钮,通过cordova监听返回按钮操作,可以禁止某些页面的返回操作,以及实现点击两次返回按钮退出应用. var pageUrl = window.location. ...

  6. ocky勒索软件恶意样本分析1

    locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析.样本主要包含三个程序: A xx.js文件:Jscript脚 ...

  7. 【ARTS】01_08_左耳听风-20181231~20190106

    ARTS: Algrothm: leetcode算法题目 Review: 阅读并且点评一篇英文技术文章 Tip/Techni: 学习一个技术技巧 Share: 分享一篇有观点和思考的技术文章 Algo ...

  8. Windows修改默认远程端口号3389

    1.打开注册表:运行-regedit: 2.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\ ...

  9. Servlet3.0新特性WebFilter(Annotation Filter)详解

    摘要: Servlet3.0作为J2EE 6规范一部分,并随J2EE6一起发布,WeFilter是过滤器注解,是Servlet3.0的新特性,不需要在web.xml进行配置,简化了配置. Name T ...

  10. 利用CSS改变输入框的光标颜色

    转:http://www.cnblogs.com/gymmer/p/6810367.html 代码: <!DOCTYPE html> <html lang="en" ...