elk日志分析系统:

elk日志分析系统:

elk是一套完整的日志集中处理方案,由三个开源的软件简称组成;

E:Easticsearch 简称ES是一个开源的,分布式的存储检索引擎,(索引型的非关系数据库)存储日志

由java代码开发的,基于Lucene结构开发的一套全文检索引擎,他也拥有一个web接口

用户可以通过浏览器的形式和ES组件进行通信

作用;存储,允许全文搜索,也可以结构化搜索(也可以根据索引点来进行搜索),索引点可以支持大容量的日志数据,也可以搜索不同类型的文档。

k:kiabana图形化界面,可以更好的分析存储在ES上的日志数据,提供了一个图形化的界面,来浏览ES上的日志数据。汇总分析,搜索。

l:Logstash 数据收集引擎。可以支持动态的(实时)从各种服务应用收集日志资源,还可以对收集到日志数据进行过滤,分析,丰富收集的到日志数据,统一格式。然后把数据同步到es存储引擎。

RUBY语言编写的,运行在java虚拟机上的一个强大的数据处理工具,数据传输,格式化输出,格式化处理,主要用来处理日志

数据收集工具:

filebeat:轻量级的开源的,日志收集工具,收集的速度比较快,但是没有数据分析和过滤的能力,一般是结合logstash一块使用

kafka

RabbitMQ 中间件消息队列

elk日志分析系统:_第1张图片\

总结:elk作用当我们管理一个大集群式,需要分析和定位的日志就会很多,每一台服务器分别去分析,将会耗时耗力

所以我们应运而生了一个集中的统一的日志管理和分析系统,极大的挺高了定位问题的效率

1、收集,可以收集基本上市面上常用的软件日志

2、传输:收集到的日志需要发送到es上

3、存储:es负责存储数据、

4、ui:图形化界面(kiabana)

需要3台服务器

需要两台

es1:

es2 :

logstash,kiabana(4核,8g)

elk日志分析系统:_第2张图片

elk日志分析系统:_第3张图片

elk日志分析系统:_第4张图片

vim /etc/security/limits.conf

*soft nofile 65536

*hard nofile 65536

*soft nproc 32000

*hard nproc 32000

*soft memlock unlimited

*hard memlock unlimited

vim /etc/systemd/system.conf

DefaultLimitNOFILE=65536

一个用户会话的默认最大文件描述符的限制量

文件描述符:用于标识打开文件或者i/o资源限制的整数。

DefaultLimitNPROC=32000

一个用户可以打开的最大进程数量的限制32000,一个用户终端可以运行多少个进程

DefaultLimitMEMLOCK=infinity

一个用户的终端默认锁定内存的限制,不限制

内核优化

ES是基于lucene架构,实现的一款索引型数据库,lucene可以利用操作系统的内存来缓存ES的索引数据。

提供个更快的查询速度,在工作中我们会把系统的一半内存留给lucene

机器内存小于64G,50%给es,50%给操作系统,供lucene使用

机器内存大于64G,ES分配4-32G即可,其他的都给操作系统,供lucene

vm.max_map_count=262144

一个进程可以拥有的最大内存映射区的参数。

内存映射:将文件或者其他设备映射进程地址空间的方法。允许进程直接读取或写入文件,无需 常规的I/O方式。

映射空间越大,ES和lucene的速度越快

2g/262144

4g/4194304

8g/8388608

systemctl enable

netstat -antp | grep 9200

http://192.168.233.12:9200/_cluster/health?pretty

查询健康状态

yum install gcc gcc-c++ make -y

tar zxvf node-v8.2.1.tar.gz

cd node-v8.2.1

./configure

make -j 2 && make install

http.cors.enabled: true

开启隽语访问支持

http.cors.allow-origin: "*"

开启跨域访问之后,允许访问的域名的地址*:所有

npm run start &

9100是可视化工具的访问端口 9200还是es数据库的访问端口

elk日志分析系统:_第5张图片

logstash的命令常用选项

-f 指定配置文件,根据配置文件识别输入和输出流

-e;一般用于测试,从命令行当中获取输入,然后传送到,经过logstash加工之后形成一个标准输出

-t:检测配置文件是否正确,然后退出。

所有的键盘输出命令行输出,转化成标准输出(rubydebug的模式),6.0之后,logstash的默认输出格式就啊是rubydebug格式的标准输出

elk日志分析系统:_第6张图片

logstash -e 'input { stdin{} } output { stdout{} }'

logstash -e 'input' { stdin{} } output { elasticsearch { hosts=>["20.0.0.77:9200","20.0.0.121:9200"]}} --path.data /opt/test1

vim /etc/kibana/kibana.yml

elk日志分析系统:_第7张图片

elk日志分析系统:_第8张图片

touch /var/log/kibana.log

chowm kibana:kibana /var/log/kibana.log

systemctl restart kibana

cd /etc.logstash/conf.d

mkdir /opt/log

vim system.conf

input {

file{

path=>" /var/log/messages"

type =>"system"

start_position =>"beginning"

}

}

output {

elasticsearch{

hosts => ["20.0.0.77:9200","20.0.0.121"]

index =>"system-%{+YYYY.MM.dd}"

}

}

logstash -f system.conf --path.data /opt/test1

elk日志分析系统:_第9张图片

http的

vim /httpd.conf

input {

file{

path => " /etc/httpd/logs/access_log"

type =>"access"

start_postion =>"beginning"

file{

path => " /etc/httpd/logs/error_log"

type =>"error"

start_postion =>"beginning"

}

}

output {

if [type] == "access" {

elasticsearch{

hosts => ["20.0.0.77:9200","20.0.0.121:9200"]

index => "http_access-%{+YYYY.MM.dd}"

}

}

if [type] == "error" {

elasticsearch{

hosts => ["20.0.0.77:9200","20.0.0.121:9200"]

index => "http_error]-%{+YYYY.MM.dd}"

}

}

}

elk

es存储数据,索引型的数据库

logstatsh:收集日志,然后按照标准化格式发送给ES (RUBYDEBUG的格式)

k:可视化工具,更人性化的显示用户信息,方便用户检索查询

http的日志收集写一个nginx的logstash的配置文件。

要使用json格式

logstash -f nginx.conf --path.data /opt/test2 &

-f指定配置文件

你可能感兴趣的:(elk)