ELK:日志监控系统的巨擘,由于是一家公司所开发和负责维护的,我们通常把它们三个并在一起。
而在实际应用中,三者的完美结合也给我们带来了很大的便利。
本文分为以下几个模块:
通常来说,ELK三者已经几乎完美了,但我们还会加上一些插件,常用的就是Head插件,本文也会把head插件的相关安装加以介绍。
因为公司给的机器是一台全新的实体机,所以一切都要从头来干:
1:jdk安装
这个没什么花,直接下载下来,解压;修改下环境变量即可,我这里用的是软链接:
ln -s jdk1.8.0_111 java
2:ElasticSearch的安装
给我的博客打个广告,可以参照相关文档即可:
https://blog.csdn.net/u013384984/article/details/79446642
https://blog.csdn.net/u013384984/article/details/79527846
此次安装中,冒出来一些新的坑:
Increase RLIMIT_MEMLOCK, soft limit: 65536, hard limit: 65536
这个坑,查看了一下,还是要修改相应的文件,即security/limits.conf文件,但是给出的提示很明确,按照提示走即可。
2:logstash的搭建和配置文件:
我这里用的是5.6.2的logtash,下载下来,直接进行解压即可,这里主要说下我的配置文件:
input{
kafka{
bootstrap_servers =>"kafka01:9092,kafka02:9092,kafka03:9092"
topics => "flume-logback-log"
group_id => "elastic_consumer"
max_partition_fetch_bytes => "10485760"
}
}
filter{
json{
source => "message"
}
mutate{
convert => ["timestamp","integer"]
}
date{
match => ["timestamp","UNIX_MS"]
timezone => "UTC"
remove_field => ["timestamp","myHeader"]
}
}
output{
if[application] =="data" {
elasticsearch{
hosts => "esmaster:9200"
index => "data-%{+YYYY.MM.dd}"
}
}
if[application] =="dis-data" {
elasticsearch{
hosts => "esmaster:9200"
index => "dis-data-%{+YYYY.MM.dd}"
}
}
if[application] =="credit" {
elasticsearch{
hosts => "esmaster:9200"
index => "credit-%{+YYYY.MM.dd}"
}
}
}
下面,针对该配置文件,简单说一下Logstash的使用:
综合来看,logstash的使用并不复杂,如有不明白的地方,一定要参照官方文档,基本都能得到解释。
至于logstash的启动:
./logstash -f kafka.conf > /dev/null 2>&1 &
就是这么简单粗暴。
至于logstash的关闭:看到当前用户下的Main进程,那就是logstash进程,kill掉即可,如果有多个,仔细检查下,安全kill即可。
3:kibana的安装
没什么可说的,开箱即用,内部配置的主要修改地方在于:
elasticsearch.url: "http://192.168.20.30:9200"
因为kibana实际上来说,只是ES的具象化展示,只要能够连上ES,就万事大吉。
多说一句,如何关掉Kibana:
ps -ef|grep node
kill -9 ...
直接搜索kibana是找不到对应的进程的。
4:head插件的安装和配置文件:
这个重点说一下:
1:首先,我们需要从git上下载源码,所以必须要安装git服务:
yum -y install git
2:接下来2-5步,是安装node相关服务
wget https://nodejs.org/dist/v4.2.2/node-v4.2.2-linux-x64.tar.gz
3:解压到/usr/local处:
tar -zxvf node-v4.2.2-linux-x64.tar.gz -C /usr/local/
4:建立相应的软链接:
ln -sv node-v4.2.2-linux-x64/ node
ln -sv /usr/local/node/bin/* /usr/sbin/
5:安装npm服务:因为我们的node插件,实际上是node.js开发的:
npm install grunt-cli
[email protected] node_modules/grunt-cli
├── [email protected]
├── [email protected]
├── [email protected] ([email protected])
└── [email protected] ([email protected])
这种状态下,基本就是成功了:
6:安装并且修改head源码,注意,这里才是我们安装head的开始:
git clone git://github.com/mobz/elasticsearch-head.git
connect: {
server: {
options: {
port: 9100,
hostname:'*',
base: '.',
keepalive: true
}
}
}
8:修改head的连接地址:这里是机器的外网地址:
this.base_uri = this.config.base_uri || this.prefs.get("app-base_uri") || "http://192.168.20.30:9200";
9:在elasticsearch-head目录下,执行命令,目的是把我们下载下来的包进行编译
npm install
10:编译完成后,在head目录下,会出现总数15个文件,我们看其中的grunt文件夹,如果存在的话,说明安装正常,接下来就是启动服务了:
grunt server &
最后,服务启动,这里使用的是phantomsJs作为浏览器。
5:说下ES单机伪集群版本的安装
老大的意思,先在一个硬盘比较大的机器上把程序跑起来,无奈,只好搭建了一个单机伪装集群版本,必须先警告下,单机伪集群版本不是很稳定,我在使用过程中莫名其妙死掉了,重启之后恢复正常,目前原因还未确定,后续解决将补出解决方案:
步骤如下:
#
cluster.name: elasticsearch-production
#关于集群名称,最好不好用默认名称,就ES的自动同网段发现机制来说,很可能会添加上一些未知的节点,导致数据问题
# ------------------------------------ Node ------------------------------------
#
# Use a descriptive name for the node:
#
node.name: node-1
node.master: true
node.data: true
#这里,我的主节点既是master,也是data节点
# Add custom attributes to the node:
#
#node.attr.rack: r1
node.max_local_storage_nodes: 3
#单机最大共享实例,必须配置,至少是2,要不然也不叫单机多实例了
# ----------------------------------- Paths ------------------------------------
#
# Path to directory where to store the data (separate multiple locations by comma):
#
path.data: /data/data
#说下path.data:我选择了我的服务器上最大的盘新建了目录,注意目录的权限问题即可
# Path to log files:
#
#path.logs: /path/to/logs
#
# ----------------------------------- Memory -----------------------------------
#
# Lock the memory on startup:
#
bootstrap.memory_lock: true
bootstrap.system_call_filter: false
#第一个true表示内存锁定,第二个会在启动时候报错,提示需要改成false
# Make sure that the heap size is set to about half the memory available
# on the system and that the owner of the process is allowed to use this
# limit.
#
# Elasticsearch performs poorly when the system is swapping the memory.
#
# ---------------------------------- Network -----------------------------------
#
# Set the bind address to a specific IP (IPv4 or IPv6):
#
network.host: 192.168.20.30
#本机外网地址
# Set a custom port for HTTP:
#
http.port: 9200
http.cors.enabled: true
http.cors.allow-origin: "*"
transport.tcp.port: 9300
#这是第一个实例,重点在其中的*号
# For more information, consult the network module documentation.
#
# --------------------------------- Discovery ----------------------------------
#
# Pass an initial list of hosts to perform discovery when new node is started:
# The default list of hosts is ["127.0.0.1", "[::1]"]
#
discovery.zen.ping.unicast.hosts: ["192.168.20.30:9300"]
#
# Prevent the "split brain" by configuring the majority of nodes (total number of master-eligible nodes / 2 + 1):
#大家别这么配置,最好是按照官方配置,防止脑裂问题
discovery.zen.minimum_master_nodes: 1
所谓的脑裂,就是集群中出现两个Master节点,互相独立,各自为政,对于集群的影响可想而知。
上面是master的配置,下面说下slave1:
# ---------------------------------- Network -----------------------------------
#
# Set the bind address to a specific IP (IPv4 or IPv6):
#
network.host: 192.168.20.30
#
# Set a custom port for HTTP:
#
http.port: 9202
transport.tcp.port: 9302
#
# For more information, consult the network module documentation.
重点修改的两个地方如上,另外,我新建的时候,修改了第二个实例的日志目录。
同时启动,单机多实例搭建完毕。
6:最后说下x-pack这个东东:
首先声明,我这里的x-pack安装是基于ElasticSearch集群的,而非单机:而且x-pack插件本身是收费的,注意,是收费的,下载的试用版有效期一个月!!!
安装步骤:
bin/elasticsearch-plugin install x-pack
命令简单粗暴,安装的时候需要把ES服务停止,不然会报错;我这里倒没有尝试是否会报错,其中会有一些WARNING,不用理会,一直继续即可
2. 给kibana也安装上x-pack插件,同样,kibana服务停止:
bin/kibana-plugin install x-pack
同样的简单粗暴
安装完之后,我们再次访问ES就会发现访问收到限制,需要用户输入账户和密码,那么默认的账户和密码是什么:
user : elastic
passwd : changeme
看起来,这里强烈号召我们修改密码,那不改密码都对不起提示了:
curl -XPUT -u elastic 'localhost:9200/_xpack/security/user/elastic/_password' -d '{
"password" : "elasticpassword"
}'
这里,提交的请求就是修改密码的请求,里面的password就是我们定义的,而修改密码时候会出现提示:
enter host pasword for user 'elastic'
这个密码就是changeme了。
修改完ES的密码之后,我们再修改下kibana中对接ES的密码,这个修改在kibana.yml中。
elasticsearch.username: "elastic"
elasticsearch.password: "admin"
启动,成功,是不是so easy?
这里,必须注意另外一点,因为elastic是整个系统最高级的用户,拥有创建索引,添加用户的权限,所以,我们通常不会将其授予给用户使用,所以,我们需要创建其他的用户,在创建之前,我们看看这个用户能做什么:
必须说明,安装了x-pack之后,head插件失效了,应该是没有相应的权限了,那么,这个在哪儿改呢?
按照head插件官方的说法来做吧:
elasticsearch-head will add basic auth headers to each request if you pass in the correct url parameters
You will also need to add http.cors.allow-headers: Authorization to the elasticsearch configuration
提示我们在ES节点增加配置:
http.cors.allow-headers: "Authorization"
然后访问的时候形如:
http://localhost:9100/?auth_user=elastic&auth_password=changeme
悲催的是,我这里更改了密码,即使是用我的改过的密码访问,依旧是失效,无法连接,原因未明,大家尝试时候需要注意。
还真的不信了,果然,还是有大神提供了解决办法:
http://www.mamicode.com/info-detail-2145696.html
继续修改elasticsearch.xml,只需要修改主节点的即可:
http.cors.allow-headers: "Authorization,X-Requested-With,Content-Length,Content-Type"
万事大吉!