elk日志分析系统:
elk是一套完整的日志集中处理方案,由三个开源的软件简称组成;
E:Easticsearch 简称ES是一个开源的,分布式的存储检索引擎,(索引型的非关系数据库)存储日志
由java代码开发的,基于Lucene结构开发的一套全文检索引擎,他也拥有一个web接口
用户可以通过浏览器的形式和ES组件进行通信
作用;存储,允许全文搜索,也可以结构化搜索(也可以根据索引点来进行搜索),索引点可以支持大容量的日志数据,也可以搜索不同类型的文档。
k:kiabana图形化界面,可以更好的分析存储在ES上的日志数据,提供了一个图形化的界面,来浏览ES上的日志数据。汇总分析,搜索。
l:Logstash 数据收集引擎。可以支持动态的(实时)从各种服务应用收集日志资源,还可以对收集到日志数据进行过滤,分析,丰富收集的到日志数据,统一格式。然后把数据同步到es存储引擎。
RUBY语言编写的,运行在java虚拟机上的一个强大的数据处理工具,数据传输,格式化输出,格式化处理,主要用来处理日志
数据收集工具:
filebeat:轻量级的开源的,日志收集工具,收集的速度比较快,但是没有数据分析和过滤的能力,一般是结合logstash一块使用
kafka
RabbitMQ 中间件消息队列
总结:elk作用当我们管理一个大集群式,需要分析和定位的日志就会很多,每一台服务器分别去分析,将会耗时耗力
所以我们应运而生了一个集中的统一的日志管理和分析系统,极大的挺高了定位问题的效率
1、收集,可以收集基本上市面上常用的软件日志
2、传输:收集到的日志需要发送到es上
3、存储:es负责存储数据、
4、ui:图形化界面(kiabana)
需要3台服务器
需要两台
es1:
es2 :
logstash,kiabana(4核,8g)
vim /etc/security/limits.conf
*soft nofile 65536
*hard nofile 65536
*soft nproc 32000
*hard nproc 32000
*soft memlock unlimited
*hard memlock unlimited
vim /etc/systemd/system.conf
DefaultLimitNOFILE=65536
一个用户会话的默认最大文件描述符的限制量
文件描述符:用于标识打开文件或者i/o资源限制的整数。
DefaultLimitNPROC=32000
一个用户可以打开的最大进程数量的限制32000,一个用户终端可以运行多少个进程
DefaultLimitMEMLOCK=infinity
一个用户的终端默认锁定内存的限制,不限制
内核优化
ES是基于lucene架构,实现的一款索引型数据库,lucene可以利用操作系统的内存来缓存ES的索引数据。
提供个更快的查询速度,在工作中我们会把系统的一半内存留给lucene
机器内存小于64G,50%给es,50%给操作系统,供lucene使用
机器内存大于64G,ES分配4-32G即可,其他的都给操作系统,供lucene
vm.max_map_count=262144
一个进程可以拥有的最大内存映射区的参数。
内存映射:将文件或者其他设备映射进程地址空间的方法。允许进程直接读取或写入文件,无需 常规的I/O方式。
映射空间越大,ES和lucene的速度越快
2g/262144
4g/4194304
8g/8388608
systemctl enable
netstat -antp | grep 9200
http://192.168.233.12:9200/_cluster/health?pretty
查询健康状态
yum install gcc gcc-c++ make -y
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1
./configure
make -j 2 && make install
http.cors.enabled: true
开启隽语访问支持
http.cors.allow-origin: "*"
开启跨域访问之后,允许访问的域名的地址*:所有
npm run start &
9100是可视化工具的访问端口 9200还是es数据库的访问端口
logstash的命令常用选项
-f 指定配置文件,根据配置文件识别输入和输出流
-e;一般用于测试,从命令行当中获取输入,然后传送到,经过logstash加工之后形成一个标准输出
-t:检测配置文件是否正确,然后退出。
所有的键盘输出命令行输出,转化成标准输出(rubydebug的模式),6.0之后,logstash的默认输出格式就啊是rubydebug格式的标准输出
logstash -e 'input { stdin{} } output { stdout{} }'
logstash -e 'input' { stdin{} } output { elasticsearch { hosts=>["20.0.0.77:9200","20.0.0.121:9200"]}} --path.data /opt/test1
vim /etc/kibana/kibana.yml
touch /var/log/kibana.log
chowm kibana:kibana /var/log/kibana.log
systemctl restart kibana
cd /etc.logstash/conf.d
mkdir /opt/log
vim system.conf
input {
file{
path=>" /var/log/messages"
type =>"system"
start_position =>"beginning"
}
}
output {
elasticsearch{
hosts => ["20.0.0.77:9200","20.0.0.121"]
index =>"system-%{+YYYY.MM.dd}"
}
}
logstash -f system.conf --path.data /opt/test1
http的
vim /httpd.conf
input {
file{
path => " /etc/httpd/logs/access_log"
type =>"access"
start_postion =>"beginning"
file{
path => " /etc/httpd/logs/error_log"
type =>"error"
start_postion =>"beginning"
}
}
output {
if [type] == "access" {
elasticsearch{
hosts => ["20.0.0.77:9200","20.0.0.121:9200"]
index => "http_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch{
hosts => ["20.0.0.77:9200","20.0.0.121:9200"]
index => "http_error]-%{+YYYY.MM.dd}"
}
}
}
elk
es存储数据,索引型的数据库
logstatsh:收集日志,然后按照标准化格式发送给ES (RUBYDEBUG的格式)
k:可视化工具,更人性化的显示用户信息,方便用户检索查询
http的日志收集写一个nginx的logstash的配置文件。
要使用json格式
logstash -f nginx.conf --path.data /opt/test2 &
-f指定配置文件