ELK企业级日志分析系统
目录
一、ELK概述
1、ELK日志分析系统
我们需要收集哪些日志?
日志收集后,如何展示(可视化)?
日志收集展示出来后,怎么使用?
我们要怎么收集日志
完整日志系统基本特征
二、ELK的工作原理
三、ELK日志处理步骤
四、Elasticsearch概述
五、LogStash概述
六、Kibana概述
七、部署ELK
实验需求
配置基础环境
(一)ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)
1.环境准备
2.部署 Elasticsearch 软件(node1和node2)
3.安装 Elasticsearch-head 插件
(二)ELK Logstash 部署(在 Apache 节点上操作)
1.更改主机名
2.安装Apahce服务(httpd)
3.安装Java环境
4.安装logstash
5.测试 Logstash
6.定义 logstash配置文件
(三)ELK Kiabana 部署(在 Node1 节点上操作)
1.安装 Kiabana
2.设置 Kibana 的主配置文件
3.启动 Kibana 服务
4.验证 Kibana
5.将 Apache 服务器的日志(访问的、错误的)添加到 Elasticsearch 并通过 Kibana 显示
(四) Filebeat+ELK 部署
环境配置
1.安装 Filebeat
2.设置 Kibana 的主配置文件
3.在 Logstash 组件所在节点上新建一个 Logstash 配置文件
5.浏览器访问
http://192.168.80.10:5601 登录 Kibana,单击“Create Index Pattern”按钮添加索引“filebeat-*”,单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
一、ELK概述
1、ELK日志分析系统
- ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、 Logstash 和Kiabana三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求。
- ElasticSearch:是基于Lucene (- 一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。
- Elasticsearch是用Java 开发的,可通过RESTful Web接口,让用户可以通过浏览器与Elasticsearch 通信。
- Elasticsearch是个分布式搜索和分析引擎,优点是能对大容量的数据进行接近实时的存储、搜索和分析操作。
- Logstash:作为数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置,一般会发送给Elasticsearch。
- Logstash由JRuby 语言编写,运行在Java虚拟机(JVM). 上, 是一款强大的数据处理工具,可以实现数据传输、格式处理、格式化输出。Logstash 具有强大的 插件功能,常用于日志处理。
- Kiabana:是基于Node.js 开发的展示工具,可以为Logstash和ElasticSearch 提供图形化的日志分析Web界面展示,可以汇总、分析和搜索重要数据日志。
- Filebeat:轻量级的开源日志文件数据搜集器。通常在需要采集数据的客户端安装
- Filebeat,并指定目录与日志格式,Filebeat 就能快速收集数据,并发送给logstash 进行解析,或是直接发给Elasticsearch存储,性能上相比运行于JVM上的logstash 优势明显,是对它的替代
总结:
- Logstash(日志收集):主要用于收集、输出、格式化数据
- Elasticsearch(日志存储和搜索):用于建立索引,因为它的副本和分片,他的搜索能力很强。
- Kibana(展示):作为展示用的,展示的话在于日志收集后、由es创建建立索引,并且最后传给kibana,通过kibana展现出来。他的兼容性特别好。
7.10和7.20,但是有一个特性就是,启动时,必须为非root用户。es启动时很吃内存。而且会卡很久
我们需要收集哪些日志?
- 收集**系统日志**:为监控做准备,要收集tomcat系统日志,tomcat所在节点的日志
- 收集**服务日志**:比如数据库mysql,收集慢查询日志、错误日志、普通日志,要收集tomcat服务日志。
- 收集**业务日志**(业务日志必须收集):业务口子日志在log4j,log4j是由java环境开发的,跑在tomcat上
日志收集后,如何展示(可视化)?
- kibana
- grafana:可以以地图的方式展示,功能更全面一些,界面会好看一些
日志收集展示出来后,怎么使用?
- 用于给大数据分析,作为立体化展示的一个数据源
- 给研发去使用(排障、解决bug等)
- 统计数据流量,作为分析报告的数据源
我们要怎么收集日志
- 我们需要有针对性的去收集日志
- 日志收集是根据我们设置的日志级别来看的,对于不是很重要的日志,日志级别调高一点。比如error的时候报给我,普通日志不用报。这样可以有效降低日志量。像这种业务日志,我们不适合调error级别,我们需要调成warning级别。
完整日志系统基本特征
- 收集:能够采集多种来源的日志数据
- 传输:能够稳定的把日志数据解析过滤并传输到存储系统
- 存储:存储日志数据
- 分析:支持UI分析
- 警告:能够提供错误报告,监控机制
二、ELK的工作原理
(1)在所有需要收集日志的服务器上部署Logstash; 或者先将日志进行集中化管理在日志服务器上, 在日志服务器上部署 Logs tash。
(2)Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中。
(3)Elasticsearch 对格式化后的数据进行索引和存储。
(4)Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。
三、ELK日志处理步骤
【1】将日志进行集中化管理(Beats)
管理包含四种工具:
- Packetbeat(搜集网络流量数据)
- Topbeat(搜集系统、进程和文件系统级别的CPU和内存使用情况等数据)
- Filebeat(搜集文件数据)
- Winlogbeat(搜集Windows事件日志数据)
【2】将日志格式化(Logstash)并输出到Elasticsearch
【3】对格式化后的数据进行索引和存储(Elasticsearch)
【4】前端数据的展示(Kibana)
四、Elasticsearch概述
- 提供了一个分布式多用户能力的全文搜索引擎
Elasticsearch特性
- 接近实时
- 集群
- 节点
- 索引
- 索引(库)→类型(表)→文档(记录)
- 分片和副本
实际情况下,索引存储的数据可能超过单个节点的硬件限制,如一个10亿文档需1TB空间可能不适合存储在单个节点的磁盘上,或者从单个节点搜索请求太慢了,为了解决这个问题,elasticsearch提供将索引分成多个分片的功能,当在创建索引时,可以定义想要分片的数量。每个分片就是一个全功能的独立索引,可以位于集群中任何节点上。
五、LogStash概述
- 一款强大的数据处理工具
- 可实现数据传输、格式处理、格式化输出
- 数据输入、数据加工(如过滤,改写等)以及数据输出
- 由三个组件组成:Input、Output、Filter Plugin
Input:获取日志
Output:输出日志
Filter Plugin:过滤日志、格式处理
LogStash主要组件
- Shipper
- Indexer
- Broker
- Search and Storage
- Web Interface
六、Kibana概述
- 一个针对Elasticsearch的开源分析及可视化平台
- 搜索、查看存储在Elasticsearch索引中的数据
- 通过各种图表进行高级数据分析及展示
Kibana主要功能
- Elasticsearch无缝之集成
- 整合数据,复杂数据分析
- 让更多团队成员收益
- 接口灵活,分享更容易
- 配置简单、可视化多数据源
- 简单数据导出
七、部署ELK
实验需求
1、配置ELK日志分析集群
2、使用Logstash收集日志
3、使用Kibana查看分析日志
配置基础环境
#所有节点,关闭系统防火墙和安全机制
systemctl stop firewalld
setenforce 0
(一)ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)
1.环境准备
#更改主机名
#Node1节点:
hostnamectl set-hostname node1
su -
#Node2节点:
hostnamectl set-hostname node2
su -
#Apache节点
hostnamectl set-hostname Apache
su -
#查看Java环境(三台都要),桌面系统默认已安装
java -version #如果没有安装,yum -y install java
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-b12)
OpenJDK 64-Bit Server VM (build 25.131-b12, mixed mode)
#配置域名解析(node1和node2)
echo '192.168.184.10 node1' >> /etc/hosts
echo '192.168.184.20 node2' >> /etc/hosts
2.部署 Elasticsearch 软件(node1和node2)
(1)安装elasticsearch—rpm包
#上传elasticsearch-5.5.0.rpm到/opt目录下
cd /opt
rpm -ivh elasticsearch-5.5.0.rpm
(2)加载系统服务
systemctl daemon-reload
systemctl enable elasticsearch.service
(3)修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
--17--取消注释,指定集群名字
cluster.name: my-elk-cluster
--23--取消注释,指定节点名字:Node1节点为node1,Node2节点为node2
node.name: node1
--33--取消注释,指定数据存放路径
path.data: /data/elk_data
--37--取消注释,指定日志存放路径
path.logs: /var/log/elasticsearch/
--43--取消注释,改为在启动的时候不锁定内存
bootstrap.memory_lock: false
--55--取消注释,设置监听地址,0.0.0.0代表所有地址
network.host: 0.0.0.0
--59--取消注释,ES 服务的默认监听端口为9200
http.port: 9200
--68--取消注释,集群发现通过单播实现,指定要发现的节点 node1、node2
discovery.zen.ping.unicast.hosts: ["node1", "node2"]
grep -v "^#" /etc/elasticsearch/elasticsearch.yml
node2节点可以通过scp复制修改配置文件
- 拖入安装包后
scp elasticsearch.yml node2:/etc/elasticsearch/
(4)创建数据存放路径并授权
mkdir -p /data/elk_data
chown elasticsearch:elasticsearch /data/elk_data/
(5)启动elasticsearch是否成功开启
systemctl start elasticsearch.service
netstat -antp | grep 9200
(6)查看节点信息
#查看节点 Node1、Node2 的信息。
浏览器访问 http://192.168.80.71:9200 、 http://192.168.80.72:9200
#查看群集的健康情况,可以看到 status 值为 green(绿色), 表示节点健康运行。
浏览器访问 :
http://192.168.80.71:9200/_cluster/health?pretty
http://192.168.80.72:9200/_cluster/health?pretty
#检查群集状态信息。
浏览器访问
http://192.168.80.71:9200/_cluster/state?pretty
http://192.168.80.72:9200/_cluster/state?pretty
#使用上述方式查看群集的状态对用户并不友好,可以通过安装 Elasticsearch-head 插件,可以更方便地管理群集。3.安装 Elasticsearch-head 插件
- Elasticsearch 在 5.0 版本后,Elasticsearch-head 插件需要作为独立服务进行安装,需要使用npm工具(NodeJS的包管理工具)安装。
- 安装 Elasticsearch-head 需要提前安装好依赖软件 node 和 phantomjs。
- node:是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
- phantomjs:是一个基于 webkit 的JavaScriptAPI,可以理解为一个隐形的浏览器,任何基于 webkit 浏览器做的事情,它都可以做到。
node1(192.168.80.71)
node2(192.168.80.72)
(1)编译安装 node
#上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c++ make -y
cd /opt
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
make -j4 && make install
(2)安装 phantomjs
#上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin
(3)安装 Elasticsearch-head 数据可视化工具
#上传软件包 elasticsearch-head.tar.gz 到/opt
cd /opt
tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/
cd /usr/local/src/elasticsearch-head/
npm install
(4)修改 Elasticsearch 主配置文件
vim /etc/elasticsearch/elasticsearch.yml
......
--末尾添加以下内容--
http.cors.enabled: true #开启跨域访问支持,默认为 false
http.cors.allow-origin: "*" #指定跨域访问允许的域名地址为所有
systemctl restart elasticsearch
(5)启动 elasticsearch-head 服务
#必须在解压后的 elasticsearch-head 目录下启动服务,进程会读取该目录下的 gruntfile.js 文件,否则可能启动失败。
cd /usr/local/src/elasticsearch-head/
npm run start &
> [email protected] start /usr/local/src/elasticsearch-head
> grunt server
Running "connect:server" (connect) task
Waiting forever...
Started connect web server on http://localhost:9100
#elasticsearch-head 监听的端口是 9100
netstat -natp |grep 9100
(6)通过 Elasticsearch-head 查看 Elasticsearch 信息
通过浏览器访问
http://192.168.80.71:9100/
http://192.168.80.72:9100/
地址并连接群集。如果看到群集健康值为 green 绿色,代表群集很健康。
在Elasticsearch 后面的栏目中输入并连接
http://192.168.80.71:9200
http://192.168.80.72:9200
然后点连接 会发现:集群健康值: green (0 of 0)(7)插入索引
#通过命令插入一个测试索引,索引为 index-demo,类型为 test。
curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
//输出结果如下:
{
"_index" : "index-demo",
"_type" : "test",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 2,
"successful" : 2,
"failed" : 0
},
"created" : true
}
浏览器访问 http://192.168.80.10:9100/ 查看索引信息,可以看见索引默认被分片5个,并且有一个副本。
点击“数据浏览”,会发现在node1上创建的索引为 index-demo,类型为 test 的相关信息。
真机访问,查看索引信息
http://192.168.80.71:9100
(二)ELK Logstash 部署(在 Apache 节点上操作)
- Logstash 一般部署在需要监控其日志的服务器。在本案例中,Logstash 部署在 Apache 服务器上,用于收集 Apache 服务器的日志信息并发送到 Elasticsearch。
1.更改主机名
hostnamectl set-hostname apache
2.安装Apahce服务(httpd)
yum -y install httpd
systemctl start httpd
3.安装Java环境
yum -y install java
java -version
4.安装logstash
#上传软件包 logstash-5.5.1.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-5.5.1.rpm
systemctl start logstash.service
systemctl enable logstash.service
ln -s /usr/share/logstash/bin/logstash /usr/local/bin/
5.测试 Logstash
Logstash 命令常用选项:
定义输入和输出流:
#输入采用标准输入,输出采用标准输出(类似管道)
logstash -e 'input { stdin{} } output { stdout{} }'
......
www.baidu.com #键入内容(标准输入)
2020-12-22T03:58:47.799Z node1 www.baidu.com #输出结果(标准输出)
www.sina.com.cn #键入内容(标准输入)
2017-12-22T03:59:02.908Z node1 www.sina.com.cn #输出结果(标准输出)
//执行 ctrl+c 退出
#使用 rubydebug 输出详细格式显示,codec 为一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
......
www.baidu.com #键入内容(标准输入)
{
"@timestamp" => 2020-12-22T02:15:39.136Z, #输出结果(处理后的结果)
"@version" => "1",
"host" => "apache",
"message" => "www.baidu.com"
}
#使用 Logstash 将信息写入 Elasticsearch 中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.80.71:9200"] } }'
输入 输出 对接
......
www.baidu.com #键入内容(标准输入)
www.sina.com.cn #键入内容(标准输入)
www.google.com #键入内容(标准输入)
//结果不在标准输出显示,而是发送至 Elasticsearch 中,可浏览器访问 http://192.168.80.71:9100/ 查看索引信息和数据浏览。
真机访问,查看索引信息
打开浏览器 输入http://192.168.80.71:9100/ 查看索引信息
6.定义 logstash配置文件
Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)
#格式如下:
input {...}
filter {...}
output {...}
#在每个部分中,也可以指定多个访问方式。例如,若要指定两个日志来源文件,则格式如下:
input {
file { path =>"/var/log/messages" type =>"syslog"}
file { path =>"/var/log/httpd/access.log" type =>"apache"}
}
#修改 Logstash 配置文件,让其收集系统日志/var/log/messages,并将其输出到 elasticsearch 中。
chmod +r /var/log/messages #让 Logstash 可以读取日志
ll /var/log/messages
vim /etc/logstash/conf.d/system.conf
input {
file{
path =>"/var/log/messages" #指定要收集的日志的位置
type =>"system" #自定义日志类型标识
start_position =>"beginning" #表示从开始处收集
}
}
output {
elasticsearch { #输出到 elasticsearch
hosts => ["192.168.80.71:9200"] #指定 elasticsearch 服务器的地址和端口
index =>"system-%{+YYYY.MM.dd}" #指定输出到 elasticsearch 的索引格式
}
}
systemctl restart logstash
浏览器访问 http://192.168.80.10:9100/ 查看索引信息
多出 system-2021.07.019
(三)ELK Kiabana 部署(在 Node1 节点上操作)
1.安装 Kiabana
#上传软件包 kibana-5.5.1-x86_64.rpm 到/opt目录
cd /opt
rpm -ivh kibana-5.5.1-x86_64.rpm
2.设置 Kibana 的主配置文件
vim /etc/kibana/kibana.yml
--2--取消注释,Kiabana 服务的默认监听端口为5601
server.port: 5601
--7--取消注释,设置 Kiabana 的监听地址,0.0.0.0代表所有地址
server.host: "0.0.0.0"
--21--取消注释,设置和 Elasticsearch 建立连接的地址和端口
elasticsearch.url: "http://192.168.80.10:9200"
--30--取消注释,设置在 elasticsearch 中添加.kibana索引
kibana.index: ".kibana"
3.启动 Kibana 服务
systemctl start kibana.service
systemctl enable kibana.service
netstat -natp | grep 5601
4.验证 Kibana
浏览器访问 http://192.168.80.71:5601
第一次登录需要添加一个 Elasticsearch 索引:
Index name or pattern
//输入:system-* #在索引名中输入之前配置的 Output 前缀“system”
- 单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
- 数据展示可以分类显示,在“Available Fields”中的“host”,然后单击 “add”按钮,可以看到按照“host”筛选后的结果
5.将 Apache 服务器的日志(访问的、错误的)添加到 Elasticsearch 并通过 Kibana 显示
vim /etc/logstash/conf.d/apache_log.conf
input {
file{
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file{
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.80.71:9200"]
index => "apache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.80.71:9200"]
index => "apache_error-%{+YYYY.MM.dd}"
}
}
}
cd /etc/logstash/conf.d/
/usr/share/logstash/bin/logstash -f apache_log.conf
浏览器访问 http://192.168.80.71:9100 查看索引是否创建
浏览器访问 http://192.168.80.71:5601 登录 Kibana,
单击“Create Index Pattern”按钮添加索引,
在索引名中输入之前配置的 Output 前缀 apache_access-*,
并单击“Create”按钮。在用相同的方法添加 apache_error-*索引。
选择“Discover”选项卡,在中间下拉列表中选择刚添加的
apache_access-* 、apache_error-* 索引,
可以查看相应的图表及日志信息。
(四) Filebeat+ELK 部署
环境配置
//在 Node1 节点上操作
1.安装 Filebeat
#上传软件包 filebeat-6.2.4-linux-x86_64.tar.gz 到/opt目录
tar zxvf filebeat-6.2.4-linux-x86_64.tar.gz
mv filebeat-6.2.4-linux-x86_64/ /usr/local/filebeat
2.设置 Kibana 的主配置文件
cd /usr/local/filebeat
vim filebeat.yml
filebeat.prospectors:
- type: log #指定 log 类型,从日志文件中读取消息
enabled: true
paths:
- /var/log/messages #指定监控的日志文件
- /var/log/*.log
fields: #可以使用 fields 配置选项设置一些参数字段添加到 output 中
service_name: filebeat
log_type: log
service_id: 192.168.80.13
--------------Elasticsearch output-------------------
(全部注释掉)
----------------Logstash output---------------------
output.logstash:
hosts: ["192.168.80.12:5044"] #指定 logstash 的 IP 和端口
#启动 filebeat
./filebeat -e -c filebeat.yml
3.在 Logstash 组件所在节点上新建一个 Logstash 配置文件
cd /etc/logstash/conf.d
vim logstash.conf
input {
beats {
port => "5044"
}
}
output {
elasticsearch {
hosts => ["192.168.80.10:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
stdout {
codec => rubydebug
}
}
#启动 logstash
logstash -f logstash.conf