ELK平台搭建
Elk对jdk有版本要求的,建议jdk版本相对高一些
环境准备:
[admin@jhkj66 ~]$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.3 (Maipo)
[admin@jhkj66 ~]$ java -version
java version "1.8.0_60"
Java(TM) SE Runtime Environment (build 1.8.0_60-b27)
Java HotSpot(TM) 64-Bit Server VM (build 25.60-b23, mixed mode)
elasticsearch下载地址:
[admin@jhkj66 ~]$ wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz
解压:
tar xf elasticsearch-6.2.3.tar.gz
修改/etc/security/limits.conf
* hard nofile 65536
* soft nofile 65536
* soft nproc 2048
* hard nproc 4096
然后使用普通用户启动,root没试过,网上说是起不来的,不过本来就是不该用root去启动,这个不用谁告诉吧,试一下能不能启动
./elasticsearch-6.2.3/bin/elasticsearch
这个命令退出后结束进程了,验证启动没问题后,加上-d参数加到后台
利用curl命令验证:
[admin@jhkj66 elasticsearch-6.2.3]$ curl http://127.0.0.1:9200
{
"name" : "HcildNt",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "AwKIijm7QSKHO6c45d4-iA",
"version" : {
"number" : "6.2.3",
"build_hash" : "c59ff00",
"build_date" : "2018-03-13T10:06:29.741383Z",
"build_snapshot" : false,
"lucene_version" : "7.2.1",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
部署filebeat
下载地址:
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz
解压:
[root@jhkj66 tools]# tar xf filebeat-6.2.3-linux-x86_64.tar.gz -C /home/
配置文件说明:
filebeat.prospectors:
- type: log
enabled: true # 开关
paths: # 日志文件路径,可以用用通配符
- /var/log/xxx-info.log #
#- c:\programdata\elasticsearch\logs\* 如果是windows服务器,用这个路径
multiline: # 日志多行处理,列如java的堆栈信息
pattern: ^\d{4} # 匹配前缀为数字开头,如果不是日期,该行日志接到上一行后尾
negate: true
match: after
fields: # 自定义属性,用于Logstash 中
service_name: customer # 产生日志的服务名
log_type: info # 日志文件类型
server_id: ip-address # 服务器ip地址
scan_frequency: 50 #扫描间隔,单位为秒;设置太小会引起filebeat频繁扫描文件,导致cpu占用百分比过高
- type: log
enabled: true
paths:
- /var/log/customer-error.log
multiline:
pattern: ^\d{4}
negate: true
match: after
fields:
service_name: customer
log_type: error
server_id: 127.0.0.1
scan_frequency: 60
output.logstash: # 输出到logstash的安装位置,以及监听的端口
hosts: ["129.1.7.203:5043"]
启动命令:
./filebeat -e -c filebeat.yml
报错:
2018-09-06T18:46:46.350+0800 ERROR log/prospector.go:437 Harvester could not be started on new file: /var/log/yum.log, Err: Error setting up harvester: Harvester setup failed. Unexpected file opening error: Failed opening /var/log/yum.log: open /var/log/yum.log: permission denied
日志的权限别忘记给一下
为什么使用Filebeat 而不是直接使用Logstash 来收集日志?原因有以下几点。
1.Filebeat更加的轻量级,Logstash占用更多的系统资源,如果在每个服务器上部署Logstash,
有时候会影响到业务服务,导致服务响应缓慢;
2.Filebeat能够记录文件状态,文件状态记录在文件中(~FILEBEAT_HOME/data/registry)。
此状态可以记住harvesters 收集文件的偏移量,重启后prospectors 能知道每个日志文件的记录状态
再进行收集文件;
3.Filebeat保证至少有一次输出,因为Filebeat将每个事件的传递状态保存在文件中。在没有得到接收方
确认时,会尝试一直发送,直到得到回应。
Logstash部署:
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz
tar xf logstash-6.2.3.tar.gz -C /home/
chown -R admin: /home/logstash-6.2.3/
配置文件说明:
input { # 指定输入源-beats- filebeat
beats {
host => "localhost"
port => "5043"
}
}
filter {# 日志格式化,使用grok 插件
if[fields][log_type] == 'error'{ # 如果是error类型的日志该怎么处理,在filebeat的fields中定义
grok { # 使用grok 插件进行一整条日志信息格式成key-value信息
match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"} # 这里采用的是grok预制的一些正则,":"后面是我们自定义的key
}
date { # 将kibana 的查询时间改成日志的打印时间,方便之后查询,如果不改的话,kibana会有自己的时间,导致查询不方便
match => ["logdate", "yyyy-MM-dd HH:mm:ss Z", "ISO8601"]
target => "@timestamp"
}
}
if[fields][log_type] == 'info'{ # 如果是info类型该怎么格式,这里是重复的,如果有日志格式不一样比如nginx的日志类型,可以在这里自己定义
grok {
match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"}
}
date {
match => ["logdate", "yyyy-MM-dd HH:mm:ss Z", "ISO8601"]
target => "@timestamp"
}
}
}
output {# 输出设置
stdout { # 输出到控制台
codec => rubydebug
}
# 输出到elasticsearch,提供给kibana进行搜索
elasticsearch {
hosts => [ "localhost:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"# 在es中存储的索引格式,按照“服务名-日期”进行索引
}
if"ERROR"== [loglevel] { # 如果是ERROR日志单独发一份邮件给管理者,在写了日志处理中心后这里可以去掉,然后交给日志处理中心处理
email {
to => "[email protected]"
via => "smtp"
subject => "WARN: %{[fields][service_name]}项目出现ERROR异常"
htmlbody => "error_message:%{message}\\nhost:%{[fields][service_id]}\\nkibana:http://127.0.0.1:5601"
from => "[email protected]"
address => "smtp.163.com"
username => "[email protected]"
password => "password1234"
}
}
}
在logstash的conf目录下创建配置文件:
[admin@jhkj66 config]$ vim defualt.conf
input {
beats {
port => "5044"
}
}
# 数据过滤
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
geoip {
source => "clientip"
}
}
# 输出配置为本机的9200端口,这是ElasticSerach服务的监听端口
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
}
}
启动命令:
nohup ./bin/logstash -f default.conf &
kibana部署
[root@jhkj68 tools]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz
[root@jhkj68 tools]# tar xf kibana-6.2.3-linux-x86_64.tar.gz -C /home/
上传汉化包,英文版的kibana我是用不明白,汉化包下载地址:
https://github.com/anbai-inc/Kibana_Hanization
上传至服务器然后解压
unzip kibana-hanhua.zip
注意python的版本不能过高,3.6的版本我试过是汉化不了的,换成2.7的可以了
python main.py /home/kibana-6.2.3/
启动命令在kibana的bin下的kibana
后台启动:
nohup ./bin/kibana &