环境架构

ELK6.5+Beats6.5+Kafka2.1.0集群搭建_第1张图片
对于能安装Beats的设备,我们直接使用Beats来收集日志,对于不能安装Beats的设备(例如防火墙、交换机等),我们配置Rsyslog远程传输到Logstash收集端,最后都发送到Kafka队列里。

一、 Elasticsearch集群部署

系统类型:Centos7.5
节点IP:172.16.244.25、172.16.244.26、172.16.244.27
软件版本:jdk-8u121-linux-x64.tar.gz、elasticsearch-6.5.4.tar.gz
示例节点:172.16.244.25

1. 安装配置jdk8

ES运行依赖jdk8

tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
echo '
JAVA_HOME=/usr/local/jdk1.8.0_121
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
source /etc/profile

2. 安装配置ES

(1)创建运行ES的普通用户

useradd elsearch 
echo "******" | passwd --stdin "elsearch"

(2)安装配置ES

tar zxvf /usr/local/package/elasticsearch-6.5.4.tar.gz -C /usr/local/ 
echo '
cluster.name: bjbpe01-elk
node.name: elk01
node.master: true
node.data: true
path.data: /opt/data/elasticsearch/data
path.logs: /opt/data/elasticsearch/logs
bootstrap.memory_lock: true
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: ["172.16.244.26", "172.16.244.27"]
discovery.zen.minimum_master_nodes: 2
discovery.zen.ping_timeout: 150s
discovery.zen.fd.ping_retries: 10
client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: "*"
' >>/usr/local/elasticsearch-6.5.4/config/elasticsearch.yml

配置项含义:

cluster.name        集群名称,各节点配成相同的集群名称。
node.name       节点名称,各节点配置不同。
node.master     指示某个节点是否符合成为主节点的条件。
node.data       指示节点是否为数据节点。数据节点包含并管理索引的一部分。
path.data       数据存储目录。
path.logs       日志存储目录。
bootstrap.memory_lock       内存锁定,是否禁用交换。
bootstrap.system_call_filter    系统调用过滤器。
network.host    绑定节点IP。
http.port       rest api端口。
discovery.zen.ping.unicast.hosts    提供其他 Elasticsearch 服务节点的单点广播发现功能。
discovery.zen.minimum_master_nodes  集群中可工作的具有Master节点资格的最小数量,官方的推荐值是(N/2)+1,其中N是具有master资格的节点的数量。
discovery.zen.ping_timeout      节点在发现过程中的等待时间。
discovery.zen.fd.ping_retries        节点发现重试次数。
http.cors.enabled               是否允许跨源 REST 请求,用于允许head插件访问ES。
http.cors.allow-origin              允许的源地址。

(3)设置JVM堆大小

sed -i 's/-Xms1g/-Xms4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options
sed -i 's/-Xmx1g/-Xmx4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options

注意:
确保堆内存最小值(Xms)与最大值(Xmx)的大小相同,防止程序在运行时改变堆内存大小。
如果系统内存足够大,将堆内存最大和最小值设置为31G,因为有一个32G性能瓶颈问题。
堆内存大小不要超过系统内存的50%

(4)创建ES数据及日志存储目录

mkdir -p /opt/data/elasticsearch/data
mkdir -p /opt/data/elasticsearch/logs

(5)修改安装目录及存储目录权限

chown -R elsearch:elsearch /opt/data/elasticsearch
chown -R elsearch:elsearch /usr/local/elasticsearch-6.5.4

3.系统优化

(1)增加最大文件打开数

永久生效方法:
echo”* - nofile 65536” >> /etc/security/limits.conf

(2)增加最大进程数

echo “* soft nproc 31717” >> /etc/security/limits.conf

(3)增加最大内存映射数

echo “vm.max_map_count=262144” >> /etc/sysctl.conf
sysctl –p

4.启动ES

su - elsearch -c "cd /usr/local/elasticsearch-6.5.4 && nohup bin/elasticsearch &"
测试:浏览器访问http://172.16.244.25:9200
ELK6.5+Beats6.5+Kafka2.1.0集群搭建_第2张图片

5.安装配置head监控插件

(1)安装node

wget https://npm.taobao.org/mirrors/node/latest-v4.x/node-v4.4.7-linux-x64.tar.gz
tar -zxf node-v4.4.7-linux-x64.tar.gz –C /usr/local
echo ‘
NODE_HOME=/usr/local/node-v4.4.7-linux-x64
PATH=$NODE_HOME/bin:$PATH
export NODE_HOME PATH
‘ >>/etc/profile
source /etc/profile
node –version   #检查node版本号

(2)下载head插件

wget https://github.com/mobz/elasticsearch-head/archive/master.zip
unzip –d /usr/local elasticsearch-head-master.zip

(3)安装grunt

cd /usr/local/elasticsearch-head-master
npm install -g grunt-cli
grunt –version  #检查grunt版本号

(4)修改head源码

vi /usr/local/elasticsearch-head-master/Gruntfile.js
ELK6.5+Beats6.5+Kafka2.1.0集群搭建_第3张图片
添加hostname,注意在上一行末尾添加逗号
vi /usr/local/elasticsearch-head-master/_site/app.js
ELK6.5+Beats6.5+Kafka2.1.0集群搭建
原本是http://localhost:9200 ,如果head和ES不在同一个节点,注意修改成ES的IP地址

(5)下载head必要的文件

wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
yum -y install bzip2
tar -jxf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /tmp/

(6)运行head

cd /usr/local/elasticsearch-head-master/
npm install
nohup grunt server &

(7)测试

访问http://172.16.244.25:9100
ELK6.5+Beats6.5+Kafka2.1.0集群搭建_第4张图片

二、 Kibana部署

系统类型:Centos7.5
节点IP:172.16.244.28
软件版本:nginx-1.14.2、kibana-6.5.4-linux-x86_64.tar.gz

1. 安装配置Kibana

(1)安装

tar zxf /usr/local/package/kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/

(2)配置

echo '
server.port: 5601
server.host: "172.16.244.28"
elasticsearch.url: "http://172.16.244.25:9200"
kibana.index: ".kibana"
'>>/usr/local/kibana-6.5.4-linux-x86_64/config/kibana.yml

配置项含义:

server.port kibana服务端口,默认5601
server.host kibana主机IP地址,默认localhost
elasticsearch.url   用来做查询的ES节点的URL,默认http://localhost:9200
kibana.index        kibana在Elasticsearch中使用索引来存储保存的searches, visualizations和dashboards,默认.kibana

其他配置项可参考:
https://www.elastic.co/guide/en/kibana/6.5/settings.html

(3)启动

cd /usr/local/kibana-6.5.4-linux-x86_64/
nohup ./bin/kibana &

2. 安装配置Nginx反向代理

(1)配置YUM源:

rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

(2)安装:

yum install -y nginx httpd-tools
注意:httpd-tools用于生成nginx认证访问的用户密码文件

(3)配置反向代理

cat /etc/nginx/nginx.conf

user  nginx;
worker_processes  4;
error_log  /var/log/nginx/error.log;
pid        /var/run/nginx.pid;
worker_rlimit_nofile 65535;

events {
    worker_connections  65535;
    use epoll;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
    server_names_hash_bucket_size 128;
    autoindex on;

    sendfile        on;
    tcp_nopush     on;
    tcp_nodelay on;

    keepalive_timeout  120;
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 128k;

    #gzip模块设置
    gzip on; #开启gzip压缩输出
    gzip_min_length 1k;    #最小压缩文件大小
    gzip_buffers 4 16k;    #压缩缓冲区
    gzip_http_version 1.0;    #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
    gzip_comp_level 2;    #压缩等级
    gzip_types text/plain application/x-javascript text/css application/xml;    #压缩类型,默认就已经包含textml,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn。
    gzip_vary on;
    #开启限制IP连接数的时候需要使用
    #limit_zone crawler $binary_remote_addr 10m;
    #tips:
    #upstream bakend{#定义负载均衡设备的Ip及设备状态}{
    #    ip_hash;
    #    server 127.0.0.1:9090 down;
    #    server 127.0.0.1:8080 weight=2;
    #    server 127.0.0.1:6060;
    #    server 127.0.0.1:7070 backup;
    #}
    #在需要使用负载均衡的server中增加 proxy_pass http://bakend/;
    server {
        listen       80;
        server_name  172.16.244.28;

        #charset koi8-r;

       # access_log  /var/log/nginx/host.access.log  main;
        access_log off;

         location / {  
             auth_basic "Kibana";   #可以是string或off,任意string表示开启认证,off表示关闭认证。
             auth_basic_user_file /etc/nginx/passwd.db;   #指定存储用户名和密码的认证文件。
             proxy_pass http://172.16.244.28:5601;
             proxy_set_header Host $host:5601;  
             proxy_set_header X-Real-IP $remote_addr;  
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
             proxy_set_header Via "nginx";  
                     }
         location /status { 
             stub_status on; #开启网站监控状态 
             access_log /var/log/nginx/kibana_status.log; #监控日志 
             auth_basic "NginxStatus"; } 

         location /head/{
             auth_basic "head";
             auth_basic_user_file /etc/nginx/passwd.db;
             proxy_pass http://172.16.244.25:9100;
             proxy_set_header Host $host:9100;
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             proxy_set_header Via "nginx";
                         }  

        # redirect server error pages to the static page /50x.html
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

(4)配置授权用户和密码

htpasswd -cm /etc/nginx/passwd.db

(5)启动nginx

systemctl start nginx

浏览器访问http://172.16.244.28 刚开始没有任何数据,会提示你创建新的索引。
ELK6.5+Beats6.5+Kafka2.1.0集群搭建_第5张图片

三、 Kafka部署

系统类型:Centos7.5
节点IP:172.16.244.31、172.16.244.32、172.16.244.33
软件版本:jdk-8u121-linux-x64.tar.gz、kafka_2.11-2.1.0.tgz
示例节点:172.16.244.31

1.安装配置jdk8

(1)Kafka、Zookeeper(简称:ZK)运行依赖jdk8

tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
echo '
JAVA_HOME=/usr/local/jdk1.8.0_121
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
source /etc/profile

2.安装配置ZK

Kafka运行依赖ZK,Kafka官网提供的tar包中,已经包含了ZK,这里不再额下载ZK程序。

(1)安装

tar zxvf /usr/local/package/kafka_2.11-2.1.0.tgz -C /usr/local/

(2)配置

sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/zookeeper.properties
echo '
dataDir=/opt/data/zookeeper/data 
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181 
tickTime=2000 
initLimit=20 
syncLimit=10 
server.1=172.16.244.31:2888:3888
server.2=172.16.244.32:2888:3888
server.3=172.16.244.33:2888:3888
'>>/usr/local/kafka_2.11-2.1.0/config/zookeeper.properties

配置项含义:

dataDir ZK数据存放目录。
dataLogDir  ZK日志存放目录。
clientPort  客户端连接ZK服务的端口。
tickTime        ZK服务器之间或客户端与服务器之间维持心跳的时间间隔。
initLimit       允许follower(相对于Leaderer言的“客户端”)连接并同步到Leader的初始化连接时间,以tickTime为单位。当初始化连接时间超过该值,则表示连接失败。
syncLimit   Leader与Follower之间发送消息时,请求和应答时间长度。如果follower在设置时间内不能与leader通信,那么此follower将会被丢弃。
server.1=172.16.244.31:2888:3888    2888是follower与leader交换信息的端口,3888是当leader挂了时用来执行选举时服务器相互通信的端口。

#创建data、log目录
mkdir -p /opt/data/zookeeper/{data,logs}
#创建myid文件
echo 1 > /opt/data/zookeeper/data/myid

3.配置Kafka

(1)配置

sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/server.properties
echo '
broker.id=1
listeners=PLAINTEXT://172.16.244.31:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=172.16.244.31:2181,172.16.244.32:2181,172.16.244.33:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
' >>/usr/local/kafka_2.11-2.1.0/config/server.properties

配置项含义:

broker.id   每个server需要单独配置broker id,如果不配置系统会自动配置。
listeners       监听地址,格式PLAINTEXT://IP:端口。
num.network.threads 接收和发送网络信息的线程数。
num.io.threads          服务器用于处理请求的线程数,其中可能包括磁盘I/O。
socket.send.buffer.bytes    套接字服务器使用的发送缓冲区(SO_SNDBUF)
socket.receive.buffer.bytes 套接字服务器使用的接收缓冲区(SO_RCVBUF)
socket.request.max.bytes        套接字服务器将接受的请求的最大大小(防止OOM)
log.dirs        日志文件目录。
num.partitions  partition数量。
num.recovery.threads.per.data.dir       在启动时恢复日志、关闭时刷盘日志每个数据目录的线程的数量,默认1。
offsets.topic.replication.factor        偏移量话题的复制因子(设置更高保证可用),为了保证有效的复制,偏移话题的复制因子是可配置的,在偏移话题的第一次请求的时候可用的broker的数量至少为复制因子的大小,否则要么话题创建失败,要么复制因子取可用broker的数量和配置复制因子的最小值。
log.retention.hours 日志文件删除之前保留的时间(单位小时),默认168
log.segment.bytes   单个日志文件的大小,默认1073741824
log.retention.check.interval.ms 检查日志段以查看是否可以根据保留策略删除它们的时间间隔。
zookeeper.connect   ZK主机地址,如果zookeeper是集群则以逗号隔开。
zookeeper.connection.timeout.ms     连接到Zookeeper的超时时间。

#创建log目录
mkdir -p /opt/data/kafka/logs

4.其他节点配置

只需把配置好的安装包直接分发到其他节点,然后修改ZK的myid,Kafka的broker.id和listeners就可以了。

5.启动、验证ZK集群

(1)启动

在三个节点依次执行:

cd /usr/local/kafka_2.11-2.1.0/
nohup bin/zookeeper-server-start.sh config/zookeeper.properties &

(2)验证

查看ZK配置

# echo conf | nc 127.0.0.1 2181
clientPort=2181
dataDir=/opt/data/zookeeper/data/version-2
dataLogDir=/opt/data/zookeeper/logs/version-2
tickTime=2000
maxClientCnxns=60
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=1
initLimit=20
syncLimit=10
electionAlg=3
electionPort=3888
quorumPort=2888
peerType=0

查看ZK状态

# echo stat|nc 127.0.0.1 2181
Zookeeper version: 3.4.13-2d71af4dbe22557fda74f9a9b4309b15a7487f03, built on 06/29/2018 00:39 GMT
Clients:
 /127.0.0.1:51876[0](queued=0,recved=1,sent=0)

Latency min/avg/max: 0/0/0
Received: 2
Sent: 1
Connections: 1
Outstanding: 0
Zxid: 0x0
Mode: follower
Node count: 4

查看端口

# lsof -i:2181
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
java    15002 root   98u  IPv4  43385      0t0  TCP *:eforward (LISTEN)

6.启动、验证Kafka

(1)启动

在三个节点依次执行:

cd /usr/local/kafka_2.11-2.1.0/
nohup bin/kafka-server-start.sh config/server.properties &

(2)验证

在172.16.244.31上创建topic

# bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic
Created topic "testtopic".

查询172.16.244.31上的topic

# bin/kafka-topics.sh --zookeeper 172.16.244.31:2181 --list               
testtopic

查询172.16.244.32上的topic

# bin/kafka-topics.sh --zookeeper 172.16.244.32:2181 --list 
testtopic

查询172.16.244.33上的topic

# bin/kafka-topics.sh --zookeeper 172.16.244.33:2181 --list 
testtopic

模拟消息生产和消费
发送消息到172.16.244.31

# bin/kafka-console-producer.sh --broker-list 172.16.244.31:9092 --topic testtopic  
>Hello World!

从172.16.244.32接受消息

# bin/kafka-console-consumer.sh --bootstrap-server  172.16.244.32:9092 --topic testtopic --from-beginning 
Hello World!

四、 Logstash部署

系统类型:Centos7.5
节点IP:172.16.244.31
软件版本:jdk-8u121-linux-x64.tar.gz、logstash-6.5.4.tar.gz

1.安装配置Logstash

Logstash运行同样依赖jdk,本次为节省资源,故将Logstash安装在了kafka244.31节点。

(1)安装

tar zxf /usr/local/package/logstash-6.5.4.tar.gz -C /usr/local/

(2)配置

创建目录,我们将所有input、filter、output配置文件全部放到该目录中。

mkdir –p /usr/local/logstash-6.5.4/etc/conf.d
vi /usr/local/logstash-6.5.4/etc/conf.d/input.conf
input {
kafka {
    type => "audit_log"
    codec => "json"
    topics => "audit_log"
    decorate_events => true
    bootstrap_servers => "172.16.244.31:9092, 172.16.244.32:9092, 172.16.244.33:9092"
  }
}
vi /usr/local/logstash-6.5.4/etc/conf.d/output.conf
output {
  if [type] == " audit_log " {
      elasticsearch {
      hosts => ["172.16.244.25","172.16.244.26","172.16.244.27"]
      index => 'logstash-audit_log-%{+YYYY-MM-dd}'
      }
    }
  }

(3)启动

cd /usr/local/logstash-6.5.4
nohup bin/logstash -f etc/conf.d/  --config.reload.automatic &

五、 Beats输出到Kafka

以Auditbeat为例,在每个日志收集节点安装Auditbeat,具体安装、配置方法可参考https://blog.51cto.com/fengjicheng/2343882。
下面,介绍下输出到Kafka涉及的配置。
修改auditbeat.yml配置文件,注释掉其他的output部分,添加输出到Kafka的相关配置:

#----------------------------- Kafka output--------------------------------
output.kafka:
  hosts: ["172.16.244.31:9092", "172.16.244.32:9092", "172.16.244.33:9092"]
  topic: 'audit_log'
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000