ElK架构初步设计流程即使用方法介绍

ElK架构初步设计流程即使用方法介绍

1、Elastic Stack

Elasticsearch

Elasticsearch 基于java，是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引
副本机制，restful风格接口，多数据源，自动搜索负载等。

Logstash

Logstash 基于java，是一个开源的用于收集,分析和存储日志的工具。

Kibana

Kibana 基于nodejs，也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch
提供的日志分析友好的 Web 界面，可以汇总、分析和搜索重要数据日志。

Beats

Beats是elastic公司开源的一款采集系统监控数据的代理agent，是在被监控服务器上以客户端形式运行的数据收集
器的统称，可以直接把数据发送给Elasticsearch或者通过Logstash发送给Elasticsearch，然后进行后续的数据分析活
动。
Beats由如下组成:

• Packetbeat：是一个网络数据包分析器，用于监控、收集网络流量信息，Packetbeat嗅探服务器之间的流量， 解析应用层协议，并关联到消息的处理，其支 持ICMP (v4 and v6)、DNS、HTTP、Mysql、PostgreSQL、 Redis、MongoDB、Memcache等协议；
• Filebeat：用于监控、收集服务器日志文件，其已取代 logstash forwarder；
• Metricbeat：可定期获取外部系统的监控指标信息，其可以监控、收集 Apache、HAProxy、MongoDB MySQL、Nginx、PostgreSQL、Redis、System、Zookeeper等服务；

2、搭建elk架构

前提：下载elasticsearch、kibana、Logstash、filebeat、nginx等，创建新用户。ps：elasticsearch、kibana等不支持root启动。

2、1 elasticsearch搭建
解压到新用户文件夹，此文件夹归属于新用户而不是root。
配置：

vim /elasticsearch/conf/elasticsearch.yml

vim /etc/security/limits.conf 

添加

vim /etc/sysctl.conf

添加vm.max_map_count=655360

执行以下命令生效：
sysctl -p

关闭防火墙：systemctl stop firewalld.service
Cd /elasticsearch/bin
./elasticsearch
启动

2、2 elasticsearch-head插件
在google商店中安装elasticsearch-head，连接ip：9100
``

2、3安装kibana
解压到新文件夹

vim kibana/config/kibana.yml
将server.host,elasticsearch.url修改成所在服务器的ip地址

Kibana的默认端口是5601

开启防火墙:systemctl start firewalld.service

开启5601端口:firewall-cmd --permanent --zone=public --add-port=5601/tcp

重启防火墙：firewall-cmd –reload

启动kbana  
cd /kabana/bin
./kabana

关闭防火墙可在windows下浏览
浏览器访问：http://192.168.25.131:5601

2、4安装filebeat

解压到指定文件

cd filebeat-6.5.4-linux-x86_64
#创建如下配置文件 
itcast.yml 
filebeat.inputs: 
  - type: stdin  
  - enabled: true
setup.template.settings:  
  index.number_of_shards: 3 
  output.console:  
  	pretty: true  
  	enable: true   
  #启动filebeat ./filebeat -e -c itcast.yml

连接elasticsearch

内置了很多的module，但是都没有启用，如果需要启用需要进行enable操作：
./filebeat modules enable nginx #启动 
./filebeat modules disable nginx #禁用

进入moudels.d进行配置nginx

- module: nginx
  # Access logs
  access:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/usr/local/nginx/logs/access.log"]

  # Error logs
  error:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/usr/local/nginx/logs/error.log"]
    #

  # Ingress-nginx controller logs. This is disabled by default. It could be used in Kubernetes environments to parse ingress-nginx logs
  ingress_controller:
    enabled: false

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
   # var.paths: 

配置itcast，然后启动，可以分词Logstash也可以。
2、5安装logstash
解压

#第一个logstash示例 
bin/logstash -e 'input { stdin { } } output { stdout {} }'

基本配置如下
input { 
#输入  stdin
 { ... } 
 #标准输入 }
filter {
 #过滤，对数据进行分割、截取等处理    
 ... }
output { #输出    
stdout { ... }
 #标准输出 }


例如#vim itcast-pipeline.conf
input {
   file {
         path => "/itcast/logstash/logs/app.log"      		start_position => "beginning"}}
filter {
    mutate {
          split => {"message"=>"|"
          }}}
output {    stdout { codec => rubydebug } }

#启动 ./bin/logstash -f ./itcast-pipeline.conf

3、elk综合构建

nginx产生日志
通过Filebeat读取日志文件中的内容，并且将内容发送给Logstash
Logstash接收到内容后，进行处理，如分割操作，然后将内容发送到Elasticsearch中
Kibana会读取Elasticsearch中的数据，并且在Kibana中进行设计Dashboard，最后进行展示

#fb_nginx.yml

filebeat.inputs:
#- type: log  
#  enabled: true
#  paths:
#    - /urs/local/nginx/logs/*.log
#  tags: ["nginx"]
setup.template.settings:
  index.number_of_shards: 3
output.logstash:
  hosts: ["192.168.118.164:5044"]
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
#setup.kibana:  
#  host: "192.168.118.164:5601"

#output.console:  
#  pretty: true  
#  enable: true
~
./filebeat -c -e fb_nginx.yml 执行                   

Logstash配置
#Logstash_nginx.yml

 input {
  beats {
    port=> 5044
  }
}


filter {
  mutate{
    split => {"message" => " " }
  }
}

output {
  elasticsearch {
    hosts => ["192.168.118.164:9200"]
  }
}
./bin/logstash -f logstash_nginx.yml

启动kibana设置自定义页面