elk+kafka+zookeeper超详细

elk部署超详细

一、简介:

ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana

1、Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。

它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。

2、Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。

一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

3、Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。

4、FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。

5、Kafka: 数据缓冲队列。作为消息队列解耦了处理过程,同时提高了可扩展性。具有峰值处理能力,使用消息队列能够使关键组件顶住突发的访问压力,而不会因为突发的超负荷的请求而完全崩溃。

6、Zookeeper来协调管理Kafka日志队列最终推送给Logstash集群处理。

在之前的搭建elk环境中,日志的处理流程为:filebeat --> logstash --> elasticsearch,随着业务量的增长,需要对架构做进一步的扩展,引入kafka集群。日志的处理流程变为:filebeat --> kafka --> logstash --> elasticsearch。架构图如下所示:

elk+kafka+zookeeper超详细_第1张图片


准备安装部署

安装软件 主机名 IP地址 系统版本
elasticsearch mes-1-zk 192.168.88.129 centos7.4–3G
zookeeper/kafka/Logstash es-2-zk-log 192.168.88.131 centos7.4–2G
head/Kibana es-3-head-kib-zk-File 192.168.88.132 centos7.4–2G

环境 三台一样

1、关闭防火墙
systemctl stop firewalld && systemctl disable firewalld &&  setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
2、三台都要部署java环境,kafka,logstash,elasticsearch,zookeeper都需要java环境
[root@mes-1 ~]# tar xzf jdk-8u191-linux-x64.tar.gz -C /usr/local/
[root@mes-1 ~]# cd /usr/local/
[root@mes-1 local]# mv jdk1.8.0_191/ java
[root@mes-1 local]# echo '
JAVA_HOME=/usr/local/java
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
[root@mes-1 ~]# source /etc/profile
3、ntpdate对时,kibana创建索引需要实时收集日志
yum -y install ntpdate
ntpdate -b ntp1.aliyun.com
4、修改静态IP,一定要静态IP
vim /etc/sysconfig/network-scripts/ifcfg-ens33 
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens33"
UUID="d4c4d1df-507f-4a75-a52a-b792ac5622c7"
DEVICE="ens33"
ONBOOT="yes"
GATEWAY=192.168.88.2
NATMASK=255.255.255.0
IPADDR=192.168.88.129
DNS1=8.8.8.8
5、域名互相解析
vim /etc/hosts
192.168.88.129 mes-1-zk
192.168.88.131 es-2-zk-log
192.168.88.132 es-3-head-kib-zk-File
6、三台分别设置一下用户名
hostnamectl set-hostname mes-1-zk
hostnamectl set-hostname es-2-zk-log
hostnamectl set-hostname es-3-head-kib-zk-File

安装包

Elasticsearch: 6.5.4 #https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.5.4.tar.gz
Logstash: 6.5.4 #https://artifacts.elastic.co/downloads/logstash/logstash-6.5.4.tar.gz
Kibana: 6.5.4 #https://artifacts.elastic.co/downloads/kibana/kibana-6.5.4-linux-x86_64.tar.gz
Kafka: 2.11-2.1 #https://archive.apache.org/dist/kafka/2.1.0/kafka_2.11-2.1.0.tgz
Filebeat: 6.5.4
相应的版本最好下载对应的插件

安装部署

1.安装配置ES----只在第一台操作操作下面的部分

(1) 创建运行ES的普通用户(因为生产环境都是普通用户)
[root@mes-1 ~]# useradd elsearch
[root@mes-1 ~]# echo “123456” | passwd --stdin “elsearch”
(2)安装配置ES
[root@mes-1 ~]# tar xzf elasticsearch-6.5.4.tar.gz -C /usr/local/
[root@mes-1 ~]# cd /usr/local/elasticsearch-6.5.4/config/
[root@mes-1 config]# ls
elasticsearch.yml log4j2.properties roles.yml users_roles
jvm.options role_mapping.yml users
[root@mes-1 config]# cp elasticsearch.yml elasticsearch.yml.bak
[root@mes-1 config]# vim elasticsearch.yml ----找个地方添加如下内容
cluster.name: elk
node.name: elk01
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
#discovery.zen.ping.unicast.hosts: [“192.168.88.129”, “192.168.88.131”,“192.168.88.132”]
#discovery.zen.minimum_master_nodes: 2
#discovery.zen.ping_timeout: 150s
#discovery.zen.fd.ping_retries: 10
#client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: “*”

配置项含义:
cluster.name 集群名称,各节点配成相同的集群名称。
node.name 节点名称,各节点配置不同。
node.master 指示某个节点是否符合成为主节点的条件。
node.data 指示节点是否为数据节点。数据节点包含并管理索引的一部分。
path.data 数据存储目录。
path.logs 日志存储目录。
bootstrap.memory_lock 内存锁定,是否禁用交换。
bootstrap.system_call_filter 系统调用过滤器。
network.host 绑定节点IP。
http.port rest api端口。
discovery.zen.ping.unicast.hosts 提供其他 Elasticsearch 服务节点的单点广播发现功能。
discovery.zen.minimum_master_nodes 集群中可工作的具有Master节点资格的最小数量,官方的推荐值是
(N/2)+1,其中N是具有master资格的节点的数量。
discovery.zen.ping_timeout 节点在发现过程中的等待时间。
discovery.zen.fd.ping_retries 节点发现重试次数。
http.cors.enabled 是否允许跨源 REST 请求,用于允许head插件访问ES。
http.cors.allow-origin 允许的源地址。

(3) 设置JVM堆大小
[root@mes-1 config]# vim jvm.options ----将
-Xms1g ----修改成 -Xms2g
-Xmx1g ----修改成 -Xms2g
或者:
推荐设置为4G,请注意下面的说明:
sed -i ‘s/-Xms1g/-Xms4g/’ /usr/local/elasticsearch-6.5.4/config/jvm.options
sed -i ‘s/-Xmx1g/-Xmx4g/’ /usr/local/elasticsearch-6.5.4/config/jvm.options
注意: 确保堆内存最小值(Xms)与最大值(Xmx)的大小相同,防止程序在运行时改变堆内存大小。 堆内存大
小不要超过系统内存的50%

(4)创建ES数据及日志存储目录
[root@mes-1 ~]# mkdir -p /data/elasticsearch/{data,logs}

(5)修改安装目录及存储目录权限
[root@mes-1 ~]# chown -R elsearch:elsearch /data/elasticsearch
[root@mes-1 ~]# chown -R elsearch:elsearch /usr/local/elasticsearch-6.5.4

2.系统优化 下面两部都要做 不要忘了打乘号
(1)增加最大文件打开数
永久生效方法: echo “* - nofile 65536” >> /etc/security/limits.conf
(2)增加最大进程数
[root@mes-1 ~]# vim /etc/security/limits.conf —在文件最后面添加如下内容
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096
(3)增加最大内存映射数
[root@mes-1 ~]# vim /etc/sysctl.conf —添加如下
vm.max_map_count=262144
vm.swappiness=0
[root@mes-1 ~]# sysctl -p

3启动ES
[root@mes-1 ~]# su - elsearch
Last login: Sat Aug 3 19:48:59 CST 2019 on pts/0
[root@mes-1 ~]$ cd /usr/local/elasticsearch-6.5.4/
[root@mes-1 elasticsearch-6.5.4]$ ./bin/elasticsearch #先启动看看报错不,需要多等一会
终止之后
[root@mes-1 elasticsearch-6.5.4]$ nohup ./bin/elasticsearch & #放后台启动
[1] 11462
[root@mes-1 elasticsearch-6.5.4]$ nohup: ignoring input and appending output to ‘nohup.out’
[root@mes-1 elasticsearch-6.5.4]$ tail -f nohup.out #看一下是否启动
或者:
su - elsearch -c “cd /usr/local/elasticsearch-6.5.4 && nohup bin/elasticsearch &”

测试:浏览器访问http://192.168.88.129:9200/

elk+kafka+zookeeper超详细_第2张图片

tailf nohup.out

[2019-08-11T11:42:55,923][INFO ][o.e.p.PluginsService ] [elk01] no plugins loaded
这里显示没有插件安装

最后一行显示
[2019-08-11T11:43:13,070][INFO ][o.e.l.LicenseService ] [elk01] license [d380737f-c735-4a2b-8b9e-24a92bbc3dc9] mode [basic] - valid

2、安装head监控插件(Web前端)----只需要安装一台就可以了。192.168.88.132

(1)安装node 插件的依赖
[root@es-3-head-kib ~]# wget https://npm.taobao.org/mirrors/node/latest-v4.x/node-v4.4.7-linux-x64.tar.gz
[root@es-3-head-kib ~]# tar -zxf node-v4.4.7-linux-x64.tar.gz -C /usr/local
[root@es-3-head-kib ~]# vim /etc/profile #添加如下变量
NODE_HOME=/usr/local/node-v4.4.7-linux-x64
PATH=$NODE_HOME/bin:$PATH
export NODE_HOME PATH
[root@es-3-head-kib ~]# source /etc/profile
[root@es-3-head-kib ~]# node --version #检查node版本号
v4.4.7
(2)下载head插件
[root@es-3-head-kib ~]# wget https://github.com/mobz/elasticsearch-head/archive/master.zip
[root@es-3-head-kib ~]# cp master.zip /usr/local/
[root@es-3-head-kib ~]# unzip -d /usr/local/ master.zip
[root@es-3-head-kib ~]# cd /usr/local
或者
unzip –d /usr/local elasticsearch-head-master.zip
(3)安装grunt
[root@es-3-head-kib ~]# cd elasticsearch-head-master/
[root@mes-3-head-kib elasticsearch-head-master]# npm install -g grunt-cli #时间会很长
如果没有安装上多试几次就好了
[root@es-3-head-kib elasticsearch-head-master]# grunt --version #检查grunt版本号
(4)修改head源码
[root@es-3-head-kib elasticsearch-head-master]# vim /usr/local/elasticsearch-head-master/Gruntfile.js (95
左右)
elk+kafka+zookeeper超详细_第3张图片
添加hostname,注意在上一行末尾添加逗号,hostname 不需要添加逗号 !!!
vim /usr/local/elasticsearch-head-master/_site/app.js +4395 (4359左右)
elk+kafka+zookeeper超详细_第4张图片原来是localhost,现在head插件没有安装在elastic search上,所以需要改ip来连接
(5)下载head必要的文件
[root@es-3-head-kib ~]# wget
https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-
x86_64.tar.bz2
[root@es-3-head-kib ~]# yum -y install bzip2
[root@es-3-head-kib ~]# tar -jxf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /tmp/ #解压
(6)运行head
[root@es-3-head-kib ~]# cd /usr/local/elasticsearch-head-master/
[root@es-3-head-kib elasticsearch-head-master]# npm install
这里安装如果报错,也是多安装几次就好了,而且这个不重要,可以先放在一边先做下面的,因为下载时间太长了,再打开一个窗口
npm ERR! node v4.4.7
npm ERR! npm v2.15.8
npm ERR! code ELIFECYCLE
npm ERR! [email protected] install: node install.js
npm ERR! Exit status 1
npm ERR!
npm ERR! Failed at the [email protected] install script ‘node install.js’.
npm ERR! This is most likely a problem with the phantomjs-prebuilt package,
npm ERR! not with npm itself.
npm ERR! Tell the author that this fails on your system:
npm ERR! node install.js
npm ERR! You can get information on how to open an issue for this project with:
npm ERR! npm bugs phantomjs-prebuilt
npm ERR! Or if that isn’t available, you can get their info via:
npm ERR!
npm ERR! npm owner ls phantomjs-prebuilt
npm ERR! There is likely additional logging output above.
npm ERR! Please include the following file with any support request:
npm ERR! /usr/local/elasticsearch-head-master/npm-debug.log
上面是报错,多安装几次就好了

[email protected] node_modules/grunt-contrib-jasmine
├── [email protected]
├── [email protected]
├── [email protected]
├── [email protected] ([email protected], [email protected], [email protected], strip-
[email protected], [email protected])
├── [email protected]
├── [email protected] ([email protected])
└── [email protected] ([email protected], [email protected], [email protected], phan
[root@es-3-head-kib elasticsearch-head-master]# nohup grunt server & 后台运行
(7)测试
访问http://192.168.88.132:9100
elk+kafka+zookeeper超详细_第5张图片

3、kibana部署

系统类型:Centos7.5 节点IP:192.168.88.132 D 软件版本:nginx-1.14.2、kibana-6.5.4-linux-x86_64.tar.gz kibana只是展示日志的画面,所以最后部署也可以

1. 安装配置Kibana

[root@es-3-head-kib ~]# tar zvxf kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/
[root@es-3-head-kib ~]# cd /usr/local/kibana-6.5.4-linux-x86_64/config/
[root@es-3-head-kib config]# vim kibana.yml
server.port: 5601
server.host: "192.168.88.132"
elasticsearch.url: "http://192.168.88.129:9200"
kibana.index: ".kibana"

注意这里版本不一样,7.2和6.5的配置文件内容不一样

配置项含义
server.port kibana服务端口,默认5601
server.host kibana主机IP地址,默认localhost
elasticsearch.url 用来做查询的ES节点的URL,默认http://localhost:9200
kibana.index kibana在Elasticsearch中使用索引来存储保存的searches, visualizations和
dashboards,默认.kibana

启动
[root@es-3-head-kib config]# cd ..
[root@es-3-head-kib kibana-6.5.4-linux-x86_64]# nohup ./bin/kibana &
[1] 12054
[root@es-3-head-kib kibana-6.5.4-linux-x86_64]# nohup: ignoring input and appending output to‘nohup.out’
访问测试http://192.168.88.132:5601

2.安装配置Nginx反向代理

(1)配置YUM源:
[root@es-3-head-kib ~]# rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
(2)安装:
[root@es-3-head-kib ~]# yum install -y nginx 注意:httpd-tools用于生成nginx认证访问的用户密码文件
						systemctl restart nginx
(3)配置反向代理
[root@es-3-head-kib ~]# cd /etc/nginx/conf.d/
[root@es-3-head-kib conf.d]# cp default.conf nginx.conf
[root@es-3-head-kib conf.d]# mv default.conf default.conf.bak
[root@es-3-head-kib conf.d]# vim nginx.conf
[root@es-3-head-kib conf.d]# cat nginx.conf
server {
listen 80;
server_name 192.168.88.132;
#charset koi8-r;
# access_log /var/log/nginx/host.access.log main;
access_log off;
location / {
proxy_pass http://192.168.88.132:5601;
proxy_set_header Host $host:5601;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
location /status {
stub_status on; #开启网站监控状态
access_log /var/log/nginx/kibana_status.log; #监控日志
auth_basic "NginxStatus"; }
location /head/ {
proxy_pass http://192.168.246.235:9100;
proxy_set_header Host $host:9100;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
}
访问http://192.168.88.132

elk+kafka+zookeeper超详细_第6张图片

4、部署kafka集群 三台都要部署

1.安装配置Zookeeper

Kafka运行依赖ZK,Kafka官网提供的tar包中,已经包含了ZK,这里不再额下载ZK程序。

tar xzvf kafka_2.11-2.1.0.tgz -C /usr/local/
sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/zookeeper.properties
vim /usr/local/kafka_2.11-2.1.0/config/zookeeper.properties 
dataDir=/opt/data/zookeeper/data
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181
tickTime=2000
initLimit=20
syncLimit=10
server.1=192.168.88.129:2888:3888
server.2=192.168.88.131:2888:3888
server.3=192.168.88.132:2888:3888
#注意这里的顺序,1,2,3后面对应id号 1,2,3
创建data、log目录
mkdir -p /opt/data/zookeeper/{data,logs}

配置项含义
dataDir ZK数据存放目录。
dataLogDir ZK日志存放目录。
clientPort 客户端连接ZK服务的端口。
tickTime ZK服务器之间或客户端与服务器之间维持心跳的时间间隔。
initLimit 允许follower(相对于Leaderer言的“客户端”)连接并同步到Leader的初始化连接时间,以
tickTime为单位。当初始化连接时间超过该值,则表示连接失败。
syncLimit Leader与Follower之间发送消息时,请求和应答时间长度。如果follower在设置时间内不能与leader通
信,那么此follower将会被丢弃。
server.1=192168.88.129:2888:3888 2888是follower与leader交换信息的端口,3888是当leader挂了时用来
执行选举时服务器相互通信的端口。

2、配置kafka

sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/server.properties
vim /usr/local/kafka_2.11-2.1.0/config/server.properties #在最后添加
broker.id=1  #注意这里要和server1,2,3对应
listeners=PLAINTEXT://192.168.88.129:9092  #本机的kafka ip
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=192.168.88.129:2181,192.168.88.131:2181,192.168.88.132:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
创建目录
 mkdir -p /opt/data/kafka/logs
三台分别创建myid文件
echo 1 > /opt/data/zookeeper/data/myid #myid号按顺序排
echo 2 > /opt/data/zookeeper/data/myid #myid号按顺序排
echo 3 > /opt/data/zookeeper/data/myid #myid号按顺序排

配置项含义:
broker.id 每个server需要单独配置broker id,如果不配置系统会自动配置。
listeners 监听地址,格式PLAINTEXT://IP:端口。
num.network.threads 接收和发送网络信息的线程数。
num.io.threads 服务器用于处理请求的线程数,其中可能包括磁盘I/O。
socket.send.buffer.bytes 套接字服务器使用的发送缓冲区(SO_SNDBUF)
socket.receive.buffer.bytes 套接字服务器使用的接收缓冲区(SO_RCVBUF)
socket.request.max.bytes 套接字服务器将接受的请求的最大大小(防止OOM)
log.dirs 日志文件目录。
num.partitions partition数量。
num.recovery.threads.per.data.dir 在启动时恢复日志、关闭时刷盘日志每个数据目录的线程的数量,默认
1。
offsets.topic.replication.factor 偏移量话题的复制因子(设置更高保证可用),为了保证有效的复制,
偏移话题的复制因子是可配置的,在偏移话题的第一次请求的时候可用的broker的数量至少为复制因子的大小,否则要么
话题创建失败,要么复制因子取可用broker的数量和配置复制因子的最小值。
log.retention.hours 日志文件删除之前保留的时间(单位小时),默认168
log.segment.bytes 单个日志文件的大小,默认1073741824
log.retention.check.interval.ms 检查日志段以查看是否可以根据保留策略删除它们的时间间隔。
zookeeper.connect ZK主机地址,如果zookeeper是集群则以逗号隔开。
zookeeper.connection.timeout.ms 连接到Zookeeper的超时时间。

3 、启动、验证ZK集群

(1)启动 先启动zookeeper
在三个节点依次执行:
cd /usr/local/kafka_2.11-2.1.0/
 nohup bin/zookeeper-server-start.sh  config/zookeeper.properties &

三台都启动以后查看一下端口,这里端口正常就可以进行下一步了
ss -anpt | grep 2181
[root@es-3-head-kib-zk-file kafka_2.11-2.1.0]# ss -anpt | grep 2181
LISTEN     0      50          :::2181                    :::*                   users:(("java",pid=84513,fd=97))
(2)验证
yum install -y nc
[root@es-2-zk-log kafka_2.11-2.1.0]# echo conf | nc 127.0.0.1 2181
clientPort=2181
dataDir=/opt/data/zookeeper/data/version-2
dataLogDir=/opt/data/zookeeper/logs/version-2
tickTime=2000
maxClientCnxns=60
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=1
initLimit=20
syncLimit=10
electionAlg=3
electionPort=3888
quorumPort=2888
peerType=0
(3)启动kafka
在三个节点依次执行
[root@es-2-zk-log ~]# cd /usr/local/kafka_2.11-2.1.0/
[root@es-2-zk-log kafka_2.11-2.1.0]# nohup bin/kafka-server-start.sh config/server.properties &

都执行完了看一下nohup.out
发现第二台机器报错了
[2019-08-11 13:20:00,428] INFO Got user-level KeeperException when processing sessionid:0x30000fef0f00000 type:multi cxid:0x38 zxid:0x10000003b txntype:-1 reqpath:n/a aborting remaining multi ops. Error Path:/admin/preferred_replica_election Error:KeeperErrorCode = NoNode for /admin/preferred_replica_election (org.apache.zookeeper.server.PrepRequestProcessor)
好像忘了创建目录
mkdir -p /opt/data/kafka/logs
杀掉kafka的进程又重启了一次OK
[2019-08-11 13:20:00,253] INFO [KafkaServer id=1] started (kafka.server.KafkaServer)
[2019-08-11 13:29:56,673] INFO [GroupMetadataManager brokerId=1] Removed 0 expired offsets in 0 milliseconds. (kafka.coordinator.group.GroupMetadataManager)

(2)验证
创建topic
[root@mes-1-zk kafka_2.11-2.1.0]#  bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic   最好在第一台机器上创建
Created topic "testtopic".

三台机器上都查询一下
bin/kafka-topics.sh --zookeeper 192.168.88.129:2181 --list
显示testtopic就算可以了
模拟消息生产和消费 发送消息到192.168.88.129
[root@mes-1-zk kafka_2.11-2.1.0]# bin/kafka-console-producer.sh --broker-list 192.168.88.129:9092 --topic testtopic
>hello
[root@es-2-zk-log kafka_2.11-2.1.0]# bin/kafka-console-consumer.sh --bootstrap-server 192.168.88.129:9092 --topic testtopic --from-beginning
hello 接收到消息 可能会有延迟比较慢

5、Logstash部署----192.168.88.131

logstash-6.5.4.tar.gz

(1).安装配置Logstash
[root@es-2-zk-log ~]# tar xvzf logstash-6.5.4.tar.gz -C /usr/local/
(2)配置
创建目录,我们将所有input、filter、output配置文件全部放到该目录中。
安装nginx这里是要收集这个nginx的日志
rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
[root@es-2-zk-log ~]# yum install -y nginx
[root@es-2-zk-log ~]# systemctl start nginx
[root@es-2-zk-log ~]# systemctl enable nginx
多访问几次页面,,不然后面没有日志产生无法排错
[root@es-2-zk-log ~]# mkdir -p /usr/local/logstash-6.5.4/etc/conf.d
[root@es-2-zk-log ~]# cd /usr/local/logstash-6.5.4/etc/conf.d/
[root@es-2-zk-log conf.d]# vim input.conf #---在下面添加
input {
kafka { #指定kafka服务
type => "nginx_log"
codec => "json" #通用选项,用于输入数据的编解码器
topics => "nginx" #这里定义的topic
decorate_events => true #此属性会将当前topic、group、partition等信息也带到message中
bootstrap_servers => "192.168.88.129:9092, 192.168.88.131:9092, 192.168.88.132:9092"

}
}
[root@es-2-zk-log conf.d]# vim output.conf
output{ #输出插件,将事件发送到特定目标
# stdout{
# codec => "rubydebug"
# }
elasticsearch { #输出到es
hosts => ["192.168.88.129:9200"]  #指定es服务的ip加端口
index => ["%{type}-%{+YYYY.MM.dd}"] #引用input中的type名称,定义输出的格式
}
}

这里先不要启动,等配置完filebeat再启动
[root@es-2-zk-log conf.d]# cd /usr/local/logstash-6.5.4/
[root@es-2-zk-log logstash-6.5.4]# nohup bin/logstash -f etc/conf.d/ --config.reload.automatic  &

Filebeat 部署--------192.168.88.131
为什么用 Filebeat ,而不用原来的 Logstash 呢?
原因很简单,资源消耗比较大。
由于 Logstash 是跑在 JVM 上面,资源消耗比较大,后来作者用 GO 写了一个功能较少但是资源消耗也小的轻量级
的 Agent 叫 Logstash-forwarder。
后来作者加入 elastic.co 公司, Logstash-forwarder 的开发工作给公司内部 GO 团队来搞,最后命名为
Filebeat。
Filebeat 需要部署在每台应用服务器上,可以通过 Salt 来推送并安装配置

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.4-linux-x86_64.tar.gz
tar xzvf filebeat-6.5.4-linux-x86_64.tar.gz -C /usr/local/
cd /usr/local/
mv filebeat-6.5.4-linux-x86_64 filebeat
cd filebeat/
修改配置
修改 Filebeat 配置,支持收集本地目录日志,并输出日志到 Kafka 集群中
 mv filebeat.yml filebeat.yml.bak
 vim filebeat.yml
 
filebeat.prospectors:
- input_type: log #指定输入的类型
paths:
- /var/log/nginx/*.log #日志的路径
#json.keys_under_root: true
#json.add_error_key: true
#json.message_key: log
output.kafka:
hosts: [“192.168.88.129:9092”,“192.168.88.131:9092”,“192.168.88.132:9092”]kafka服务器
topic: 'nginx' #输出到kafka中的topic

注意这里是剧本的格式 如果格式不对会报错
filebeat.prospectors:(冒号后面有个空格)
- input_type: log
(这里两个空格)paths:
(这里两个空格)- /var/log/nginx/*.log
#json.keys_under_root: true
##json.add_error_key: true
##json.message_key: log
output.kafka:(冒号后面有个空格)
(这里两个空格)hosts: [“192.168.88.129:9092”,“192.168.88.131:9092”,“192.168.88.132:9092”]
(这里两个空格)topic: ‘nginx’

启动
 nohup ./filebeat -e -c filebeat.yml &
 tail -f nohup.out 
访问nginx页面,这里显示已经抓取到日志了

 验证kafka是否生成topic
[root@es-3-head-kib filebeat]# cd /usr/local/kafka_2.11-2.1.0/
[root@es-3-head-kib kafka_2.11-2.1.0]# bin/kafka-topics.sh --zookeeper 192.168.246.231:2181 --
list
__consumer_offsets
nginx #已经生成topic
testtopic

现在启动logstash
cd /usr/local/logstash-6.5.4/
nohup bin/logstash -f etc/conf.d/ --config.reload.automatic &

发现报错了 查看nohup.out
[2019-08-11T15:05:01,918][ERROR][logstash.config.sourceloader] Could not fetch all the sources {:exception=>LogStash::ConfigLoadingError, :message=>"The following config files contains non-ascii characters but are not UTF-8 encoded [\"/usr/local/logstash-6.5.4/etc/conf.d/filebeat-6.5.4-linux-x86_64.tar.gz\"]",

配置文件里竟然有个压缩包,删掉就好了
再次查看一下
[root@es-2-zk-log conf.d]# ls
input.conf  output.conf

再次杀进程启动一下
nohup bin/logstash -f etc/conf.d/ --config.reload.automatic &
tailf nohup.out  下面就好了
[2019-08-11T15:21:08,208][INFO ][org.apache.kafka.clients.consumer.internals.ConsumerCoordinator] [Consumer clientId=logstash-0, groupId=logstash] Setting newly assigned partitions [nginx-1, nginx-0, nginx-3, nginx-2, nginx-5, nginx-4]
[2019-08-11T15:21:08,607][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}
访问http://192.168.88.132:9100/   这里需要等一两分钟

elk+kafka+zookeeper超详细_第7张图片

访问kibana页面 http://192.168.88.132
创建索引
elk+kafka+zookeeper超详细_第8张图片
选择第一个时间
elk+kafka+zookeeper超详细_第9张图片
继续访问·nginx 实时产生日志
elk+kafka+zookeeper超详细_第10张图片

你可能感兴趣的:(elk+kafka+zookeeper超详细)