ELK(ElasticSearch分布式搜索引擎、Logstash数据收集处理引擎和Kibana可视化化平台)是在大型后端架构中,一个标准的数据采集方案。
在公网IP为x.x.x.x的服务器上部署Elasticsearch+ Logstash+filebeat+redis+Kibana架构。这种架构先通过Logstash收集日志,然后通过Elasticsearch分析日志,最后在Kibana中展示数据。可以在客户端部署filebeat(轻量级数据收集引擎),filebeat消耗比Logstash更少的资源就能够收集到日志。可以通过部署redis来避免数据的丢失,当Logstash出现故障时,日志还是存在于redis中,当Logstash再次启动,就会读取redis中存储的日志。
第一步,卸载旧版本docker。
命令:yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine
第二步,安装gcc依赖。
命令:yum -y install gcc gcc-c++
第三步,使用docker仓库进行安装。
# 设置仓库,安装所需的软件包。
命令:yum install -y yum-utils device-mapper-persistent-data lvm2
# 可以选择阿里云源地址
命令:yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
第四步,安装docker。
# 安装最新版本的docker Engine-Community和containerd
命令:yum install docker-ce docker-ce-cli containerd.io
# 列出存储库中可用的版本并按版本号从高到低进行排序
命令:yum list docker-ce --showduplicates | sort -r
# 通过其完整的软件包名称安装特定版本,如docker-ce-24.0.0。
命令:yum install docker-ce-24.0.0 docker-ce-cli-24.0.0 containerd.io
第五步,启动docker。
命令:systemctl enable docker
systemctl start docker
systemctl restart docker
第六步,验证docker是否正确安装。
命令:docker version
docker run hello-world
若结果显示“Hello from docker!”,则说明docker安装成功。
第一步,创建docker网络。
命令:docker network create -d bridge elastic
第二步,拉取8.4.3版本的elasticsearch。
命令:docker pull elasticsearch:8.4.3
第三步,执行docker脚本。
命令:docker run -it \
-p 9200:9200 \
-p 9300:9300 \
--name elasticsearch \
--net elastic \
-e ES_JAVA_OPTS="-Xms1g -Xmx1g" \
-e "discovery.type=single-node" \
-e LANG=C.UTF-8 \
-e LC_ALL=C.UTF-8 \
elasticsearch:8.4.3
注意:第一次执行脚本不要加参数“-d”,这样首次运行时就会生成随机密码和随机enrollment token,需要将生成的随机密码和随机enrollment token保存。
第四步,创建一个Elasticsearch挂载目录。
命令:mkdir -p /usr/local/elk8.4.3/elasticsearch
第五步,将容器内的文件复制到主机上。
命令:docker cp elasticsearch:/usr/share/elasticsearch/config /usr/local/elk8.4.3/elasticsearch/
docker cp elasticsearch:/usr/share/elasticsearch/data /usr/local/elk8.4.3/elasticsearch/
docker cp elasticsearch:/usr/share/elasticsearch/plugins /usr/local/elk8.4.3/elasticsearch/
docker cp elasticsearch:/usr/share/elasticsearch/logs /usr/local/elk8.4.3/elasticsearch/
第六步,编辑文件夹/usr/local/elk8.4.3/elasticsearch/config中的配置文件elasticsearch.yml。
编辑配置文件elasticsearch.yml,在文件中添加下面的代码:
xpack.monitoring.collection.enabled: true
第七步,重启docker容器,使上面的配置生效。
命令:docker restart elasticsearch
第八步,登录网址:https://x.x.x.x:9200进行测试。
用户名是“elastic”, 密码是第一次启动elastic时生成的密码“t+7vo-mo--6tXTQdKq62”。
第一步,在docker中拉取8.4.3版本的kibana镜像。
命令:docker pull kibana:8.4.3
第二步,在docker中执行启动脚本命令。
命令:docker run -it \
-d \
--restart=always \
--log-driver json-file \
--log-opt max-size=100m \
--log-opt max-file=2 \
--name kibana \
-p 5601:5601 \
--net elastic \
kibana:8.4.3
第三步,创建一个kibana挂载目录。
命令:mkdir -p /usr/local/elk8.4.3/kibana
第四步,将容器内的文件复制到主机上。
命令:docker cp kibana:/usr/share/kibana/config /usr/local/elk8.4.3/kibana/
docker cp kibana:/usr/share/kibana/data /usr/local/elk8.4.3/kibana/
docker cp kibana:/usr/share/kibana/plugins /usr/local/elk8.4.3/kibana/
docker cp kibana:/usr/share/kibana/logs /usr/local/elk8.4.3/kibana/
第五步,编辑文件夹/usr/local/elk8.4.3/kibana/config中的配置文件kibana.yml。
编辑配置文件kibana.yml,在文件中添加下面的代码:
# 注意一定要用https
elasticsearch.hosts: [ "https://x.x.x.x:9200" ]
i18n.locale: "zh-CN"
第六步,查看kibana中的日志。
命令:docker logs -f kibana
kibana中的日志文件中会显示“5601”端口号。
第七步,登录网址:http://x.x.x.x:5601进行认证登录。
在“注册令牌”中输入第一次启动elastic时生成的enrollment token“eyJ2ZXIiOiI4LjQuMyIsImFkciI6WyIxNzIuMTguMC4yOjkyMDAiXSwiZmdyIjoiMDY5NDlkZDRkYmUzOWU5MDBhZDljMDVhYzU3YTVkMjAyYzI4ZmE5MTQ2YzY5ZmU2MTc1OTJiN2ZjY2YwNzFiNSIsImtleSI6IjlHSE5INGtCN2tud0Y0OEVzc1FuOjFpZGg3N3J2VEZTZmNPR3puRndRMUEifQ==”。
接着,点击“配置弹性”,就会弹出一个“需要验证”对话框,需要输入验证码进行验证。
可以从kibana的日志中获取验证码。
命令:docker logs -f kibana
然后,点击“验证”,就会进行“保存设置”“启动弹性”“完成设置”操作。
最后,页面会显示“欢迎来到弹性”,可以在“用户名”输入“elastic”, “密码”输入第一次启动elastic时生成的“t+7vo-mo--6tXTQdKq62”。
第一步,在docker中拉取8.4.3版本的logstash镜像。
命令:docker pull logstash:8.4.3
第二步,在docker中执行启动脚本命令。
命令:docker run -it \
-d \
--name logstash \
-p 9600:9600 \
-p 5044:5044 \
--net elastic \
logstash:8.4.3
第三步,创建一个logstash挂载目录。
命令:mkdir -p /usr/local/elk8.4.3/logstash
第四步,将容器内的文件复制到主机上。
命令:docker cp logstash:/usr/share/logstash/config /usr/local/elk8.4.3/logstash/
docker cp logstash:/usr/share/logstash/pipeline /usr/local/elk8.4.3/logstash/
第五步,将/usr/local/elk8.4.3/elasticsearch/config/certs复制到/usr/local/elk8.4.3/logstash/config/certs。
命令:cp -pr /usr/local/elk8.4.3/elasticsearch/config/certs /usr/local/elk8.4.3/logstash/config/certs
第六步,编辑文件夹/usr/local/elk8.4.3/logstash/config中的配置文件logstash.yml。
编辑配置文件logstash.yml,得到下面的代码:
http.host: "0.0.0.0"
xpack.monitoring.enabled: true
# 必须是https
xpack.monitoring.elasticsearch.hosts: [ "https://x.x.x.x:9200" ]
xpack.monitoring.elasticsearch.username: "elastic"
xpack.monitoring.elasticsearch.password: "第一次启动elasticsearch时保存的信息中查找"
xpack.monitoring.elasticsearch.ssl.certificate_authority: "/usr/share/logstash/config/certs/http_ca.crt"
xpack.monitoring.elasticsearch.ssl.ca_trusted_fingerprint: "第一次启动elasticsearch时保存的信息中查找"
第七步,编辑文件夹/usr/local/elk8.4.3/logstash/pipeline中的配置文件logstash.yml。
编辑配置文件logstash.yml,得到下面的代码:
input {
beats {
port => 5044
}
}
filter {
date {
match => [ "@timestamp", "yyyy-MM-dd HH:mm:ss Z" ]
}
mutate {
remove_field => ["@version", "agent", "cloud", "host", "input", "log", "tags", "_index", "_source", "ecs", "event"]
}
}
output {
elasticsearch {
hosts => ["https://x.x.x.x:9200"]
index => "server-%{+YYYY.MM.dd}"
ssl => true
ssl_certificate_verification => false
cacert => "/usr/share/logstash/config/certs/http_ca.crt"
ca_trusted_fingerprint => "第一次启动elasticsearch时保存的信息中查找"
user => "elastic"
password => "第一次启动elasticsearch时保存的信息中查找"
}
}
第一步,在docker中拉取8.4.3版本的filebeat镜像。
命令:docker pull elastic/filebeat:8.4.3
第二步,在docker中执行启动脚本命令。
命令:docker run -it \
-d \
--name filebeat \
--network host \
-e TZ=Asia/Shanghai \
elastic/filebeat:8.4.3 \
filebeat -e -c /usr/share/filebeat/filebeat.yml
第三步,创建一个filebeat挂载目录。
命令:mkdir -p /usr/local/elk8.4.3/filebeat
第四步,将容器内的文件复制到主机上。
命令:docker cp filebeat:/usr/share/filebeat/filebeat.yml /usr/local/elk8.4.3/filebeat/
docker cp filebeat:/usr/share/filebeat/data /usr/local/elk8.4.3/filebeat/
docker cp filebeat:/usr/share/filebeat/logs /usr/local/elk8.4.3/filebeat/
第五步,编辑文件夹/usr/local/elk8.4.3/filebeat中的配置文件filebeat.yml。
编辑配置文件filebeat.yml,得到下面的代码:
filebeat.config:
modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
processors:
- add_cloud_metadata: ~
- add_docker_metadata: ~
output.logstash:
enabled: true
# The Logstash hosts
hosts: ["x.x.x.x:5044"]
filebeat.inputs:
- type: log
enabled: true
paths:
- /usr/share/filebeat/target/*/*/*.log. # 这个路径是需要收集的日志路径,是docker容器中的路径
scan_frequency: 10s
exclude_lines: ['HEAD']
exclude_lines: ['HTTP/1.1']
multiline.pattern: '^[[:space:]]+(at|.{3})\b|Exception|捕获异常'
multiline.negate: false
multiline.match: after
第一步,安装编译工具及库文件。
命令:yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel
第二步,下载并解压redis安装包。
命令:cd /usr/local/src
wget http://download.redis.io/releases/redis-4.0.10.tar.gz
tar zxvf redis-4.0.10.tar.gz -C /usr/local
第三步,编译安装redis。
命令:cd /usr/local/redis-4.0.10
make
cd /usr/local/redis-4.0.10/src
make install
第一步,新建/usr/local/redis/etc文件夹,并将/usr/local/redis-4.0.10/redis.conf复制到/usr/local/redis/etc。
命令:mkdir -p /usr/local/redis/etc
cp /usr/local/redis-4.0.10/redis.conf /usr/local/redis/etc
第二步,新建/usr/local/redis/bin、/usr/local/redis/db和/usr/local/redis/logs文件夹,/usr/local/redis-4.0.10/src文件夹中的常用命令复制到/usr/local/redis/bin。
命令:mkdir -p /usr/local/redis/bin
mkdir -p /usr/local/redis/db
mkdir -p /usr/local/redis/logs
cd /usr/local/redis-4.0.10/src
cp mkreleasdhdr.sh redis-benchmark redis-check-aof redis-check-dump redis-cli redis-server /usr/local/redis/bin
第三步,编辑配置文件/etc/sysctl.conf。
命令:vim /etc/sysctl.conf
在最后一行添加下面代码:
vm.overcommit_memory = 1
# 使设置立即生效
命令:sysctl -p
第四步,redis开启外部访问权限的方法。
编辑配置/usr/local/redis/etc/redis.conf文件,做以下几处修改:
“bind 127.0.0.1”为“bind 0.0.0.0”,
“daemonize no”改为“daemonize yes”,
“requirepass foobared”改为“requirepass 123456”,
“dir ./”改为“dir /usr/local/redis/db”,
“logfile ”改为“logfile /usr/local/redis/logs/redis.log”,保存并重启redis。
第一步,后台启动redis服务。
命令:cd /usr/local/redis/bin
redis-server /usr/local/redis/etc/redis.conf
# 结果第一行最后面显示redis端口
命令:ps -ef | grep redis
# 结果第一行最后面显示redis进程号
命令:netstat -nap | grep 6379
服务端启动成功后,启动redis 客户端,查看端口号。
命令:redis-cli
auth 123456
set [key] [value]
get [key]
exit
netstat -nap | grep 6379
第二步,外部IP地址访问redis。
命令:ip a
redis-cli -h 172.25.217.108 -p 6379
auth "123456"
keys *
set [key] [value]
get [key]
exit
第三步,关闭redis服务。
命令:pkill redis-server
/usr/local/redis/bin/redis-cli shutdown
netstat -nap | grep 6379
使用/usr/local/redis-4.0.10/utils中的脚本redis_init_script设置开机自启动。
第一步,修改redis_init_script脚本代码。
redis_init_script脚本代码如下:
#!/bin/sh
...
REDISPORT=6379
#服务端所处位置
EXEC=/usr/local/redis/bin/redis-server
#客户端位置
CLIEXEC=/usr/local/redis/bin/redis-cli
#redis的PID文件位置,需要修改
PIDFILE=/var/run/redis_6379.pid
#redis的配置文件位置,需将${REDISPORT}修改为文件名
CONF="/usr/local/redis/etc/redis.conf"
...
第二步,将redis_init_script复制为/etc/rc.d/init.d/redisd。
命令:cd /usr/local/redis-4.0.10/utils
cp redis_init_script /etc/rc.d/init.d/redisd
chmod +x /etc/rc.d/init.d/redisd
# 设置为开机自启动服务器
命令:chkconfig redisd on
# 打开服务
命令:service redisd start
# 关闭服务
命令:service redisd stop
第一步,登录网址:http://x.x.x.x:5601。
第二步,在kibana页面选择点击“堆栈监控”。
第三步,点击“堆栈监控”会跳转到“未找到监视数据”页面,然后点击“设置自我监控”就会跳转到“监控当前已关闭”页面。
第四步,点击“打开监控”会跳转到“成功获取监视数据”页面以及“我们正在寻找您的监控数据”页面。
第五步,成功获取并成功找到监视数据之后,页面会出现一个“创建规则”对话框,然后点击“还行”即可。
第六步,点击“还行”会跳转到“集群概述”页面,该页面显示各种监控数据可供用户方便了解集群的情况。
第七步,在kibana页面选择点击“堆栈管理”。
第八步,点击“堆栈管理”会跳转到“堆栈管理”页面,然后点击“数据—索引管理”,若能看到索引的“健康”状态为“绿”,“地位”为“打开”,则说明ELK部署配置成功。