使用ELK分析Mysql慢查询日志

目录

1.ELK介绍

2.ELK安装及问题解决

3.架构

4.Mysql慢查询配置

5.具体分析

6.参考资料


1.ELK介绍

1)Elasticsearch
Elasticsearch 是基于 JSON 的分布式搜索和分析引擎,专为实现水平扩展、高可靠性和管理便捷性而设计。
Elasticsearch 是一个分布式的 RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。作为Elastic Stack 的核心,它集中存储您的数据,帮助您发现意料之中以及意料之外的情况。
2)Logstash
Logstash 是动态数据收集管道,拥有可扩展的插件生态系统,能够与 Elasticsearch 产生强大的协同作用。
Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库” 中。
3)Kibana
Kibana 能够以图表的形式呈现数据,并且具有可扩展的用户界面,供您全方位配置和管理 Elastic Stack。
Kibana 让您能够自由地选择如何呈现您的数据。或许您一开始并不知道自己想要什么。不过借助 Kibana 的交互式可视化,您可以先从一个问题出发,看看能够从中发现些什么。
4)Beats
Beats 是轻量型采集器的平台,从边缘机器向 Logstash 和 Elasticsearch 发送数据。
Beats 是数据采集的得力工具。将这些采集器安装在您的服务器中,它们就会把数据汇总到 Elasticsearch。如果需要更加强大的处理性能,Beats 还能将数据输送到 Logstash 进行转换和解析。
Beats可采集的内容有:日志文件、指标、网络数据、Windows事件日志、审计数据、运行时间监控。具体可查看https://www.elastic.co/cn/downloads/beats。
5)软件获得
https://www.elastic.co/cn/products

2.ELK安装及问题解决

1)安装
说明:ELK安装简单,关键是配置文件的使用,这里仅罗列出安装地址,具体可查看官网,配置的相关介绍会在后续使用进行讲解。
a.安装JDK,这里注意版本,可以关注
Logstash(https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#package-repositories),开头有说明Logstash requires Java 8 or Java 11;
b.安装Beats,我这里安装的Filebeat(https://www.elastic.co/cn/downloads/beats/filebeat);
c.安装Logstash(https://www.elastic.co/cn/downloads/logstash#),在控制台输入bin/logstash -e 'input { stdin { } } output{ stdout{ } }'进行测试,在测试前可以先看一下内存,使用命令free -m查看,看剩余内存是否满足config/jvm.options中的-Xms、-Xmx值,防止因内存不足导致的logstash测试失败;
d.安装Elasticsearch(https://www.elastic.co/cn/downloads/elasticsearch),可通过JPS查看是否启动或在浏览器端输入http://ip:9200检查;
e.安装Kibana(https://www.elastic.co/cn/downloads/kibana),可通过netstat -ntpl检查是否启动;

2)问题解决
a.ES错误:在centOS 启动报错 UnsupportedOperationException 异常
解决:因为Centos6不支持SecComp,而ES默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动解决:修改elasticsearch.yml 添加一下内容:
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
b.ES错误:elasticsearch不能以root用户启动的解决方法
解决:这种情况下,需要先改变目录的用户权限,然后再以普通用户启动
c.ES错误:Exception in thread "main" java.lang.IllegalStateException: Unable to access 'path.scripts'
解决:该目录存在么?或者够权限能访问么?
d.ES错误:the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
解决:cluster.initial_master_nodes: ["node-1"] 这个的话,这里的node-1是上面一个默认的记得打开就可以了
e.ES错误:java.lang.IllegalStateException: failed to obtain node locks
解决:es线程占用,重新启用
f.ES错误: [3] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
[2]: max number of threads [3802] for user [elsearch] is too low, increase to at least [4096]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
解决:/etc/security/limits.conf中添加:
*               soft    nofile          65536
*               hard    nofile          65536
*               soft    nproc           4096
*               hard    nproc           4096
修改/etc/sysctl.conf文件,增加配置vm.max_map_count=262144
执行命令sysctl -p生效
g.Kibana错误:创建索引或操作索引失败
解决:扩大存储空间或者在kibana中-DevTool中执行代码。
PUT _settings
{
  "index": {
  "blocks": {
      "read_only_allow_delete": "false"
       }
    }
}
或者curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
h.Logstash解压的时候报错gzip: stdin: unexpected end of file;tar: Unexpected EOF in archive;tar: Error is not recoverable: exiting now的解决方法
解决:因为tar上传后文件变小,导致文件损坏,解压失败。我这里是存储空间不足导致tar上传后文件变小的。
i.ES错误:java.lang.IllegalStateException: failed to obtain node locks, tried [[/opt/modules_elk/elasticsearch-7.3.0/data]] with lock id [0]; maybe these locations are not writable or multiple nodes were started without increasing [node.max_local_storage_nodes] (was [1])?
解决:删除目录data

3.架构

Mysql慢日志文件————>Filebeat(采集数据)————>Logstash(过滤)————>Elasticsearch(建立索引)————>Kibana(展示)

4.Mysql慢查询配置

可以在永久配置,也可以临时配置。
永久配置(配置文件中配置/etc/my.cnf):
[mysqld]
slow_query_log = on #开启slow 日志
long_query_time = 1 #阈值为两秒
slow_query_log_file = /usr/local/mysql/data/web-slow.log #slow 日志文件路径
重启服务生效配置/etc/init.d/mysql restart 

临时配置:
mysql>set global slow_query_log='ON'; 
mysql>set global slow_query_log_file='/usr/local/mysql/data/web-slow.log';
mysql>set global long_query_time=1;

检查是否开启慢查询日志功能:
mysql>show variables like 'slow_query%';  #查看slow_query_log、slow_query_log_file
mysql>show variables like 'long_query_time'; #long_query_time

验证:
>seq 1 9999999 > /tmp/big
进入mysql
>create database db1;  #创建数据库db1
>use db1;
>create table t1(id int(10)not null)engine=innodb; #创建表t1
>load data infile '/tmp/big' into table t1; #导入数据
>select count(*) from t1 where Id like "%1%9"; #条件查询,如果该查询超过了设置的1s,则会在/usr/local/mysql/data/web-slow.log 

5.具体分析

1)Filebeat
配置:>vi filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/local/mysql/data/web-slow.log
  #正则表达式  
  multiline.pattern: "^# User@Host:"
  #true 或 false;默认是false,匹配pattern的行合并到上行;true,不匹配pattern的行合并到上一行
  multiline.negate: true
  #after 或 before,合并到上行的末尾或开头
  multiline.match: after  
output.logstash:
  hosts: ["logstash ip:5044"]

启动:./filebeat -e -c filebeat.yml
2)Logstash
配置:>vi config/logstash.conf

input {
  beats {
    port => 5044
  }
}

filter {
  grok {
    match => [ "message", "(?m)^# User@Host: %{USER:user}\[[^\]]+\] @ (?:(?\S*) )?\[(?:%{IP:clientip})?\]\s*# Query_time: %{NUMBER:query_time:float}\s+Lock_time: %{NUMBER:lock_time:float}\s+Rows_sent: %{NUMBER:rows_sent:int}\s+Rows_examined: %{NUMBER:rows_examined:int}\s*(?:use %{DATA:database};\s*)?SET timestamp=%{NUMBER:timestamp};\s*(?(?\w+)\s+.*)" ]
  }

  grok {
    match => { "message" => "# Time: " }
    add_tag => [ "drop" ]
    tag_on_failure => []
  }
  if "drop" in [tags] {
    drop {}
  }
  date {
    match => ["mysql.slowlog.timestamp", "UNIX", "YYYY-MM-dd HH:mm:ss"]
    target => "@timestamp"
    timezone => "Asia/Shanghai"
  }
  ruby {
    code => "event.set('[@metadata][today]', Time.at(event.get('@timestamp').to_i).localtime.strftime('%Y.%m.%d'))"
  }
  mutate {
    remove_field => [ "message" ]
  }
}

output {
  elasticsearch {
    hosts => ["http://elasticsearch ip:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}   

启动:bin/logstash -f config/logstash.conf
3)Elasticsearch
配置:vi config/elasticsearch.yml

network.host: 0.0.0.0
http.port: 9200
cluster.initial_master_nodes: ["node-1"]
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

启动:bin/elasticsearch
4)Kibana
配置:vi config/kibana.yml

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://elasticsearch ip:9200"]

启动:bin/kibana
5)测试使用:
a.初始化elasticsearch环境
>curl 127.0.0.1:9200/_cat/indices
>curl -XDELETE 127.0.0.1:9200/your indices
b.Mysql端生产慢查询日志:
mysql>select count(*) from t1 where Id = 2999;
c.查询索引:
>curl 127.0.0.1:9200/_cat/indices
会看到生成了索引,比如这里的filebeat-7.3.0-2019.08.24
d.测试elasticsearch中的数据格式是否正确:
http://elasticsearch ip:9200/filebeat-7.3.0-2019.08.24/_search?pretty
e.可视化Kibana网页端:
http://kibana ip:5601

使用ELK分析Mysql慢查询日志_第1张图片

使用ELK分析Mysql慢查询日志_第2张图片

使用ELK分析Mysql慢查询日志_第3张图片

使用ELK分析Mysql慢查询日志_第4张图片

使用ELK分析Mysql慢查询日志_第5张图片

6.参考资料

1)ES在centOS 启动报错 UnsupportedOperationException 异常
2)elasticsearch不能以root用户启动的解决方法
3)Exception in thread "main" java.lang.IllegalStateException: Unable to access 'path.scripts'
4)the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
5)java.lang.IllegalStateException: failed to obtain node locks
6)bootstrap checks failed
7)kibana添加ES索引403错误解决
8)kibana创建索引失败
9)Logstash
10)failed to obtain node locks, tried [[/opt/modules_elk/elasticsearch-7.3.0/data]] with lock id [0]; 
11)ELK实践课程

你可能感兴趣的:(ELK,elk安装及问题解决,mysql慢查询,elk分析mysql慢查询)