Linux高级实战部署专题篇:elk日志中心集群多服务部署大全(ELK+filebeat集群:elasticsearch+kibana+logstash+kafka+filebeat)
日志中心分析集群:
相关文档参考:https://blog.csdn.net/sinat_16658263/article/details/90444038
1、Elasticsearch: 主要用来日志存储
是一个基于Lucene的搜索服务器。提供搜集、分析、存储数据三大功能。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。
2、Logstash: 主要用来日志的搜集(filebeat)json xml .conf output
主要是用来日志的搜集、分析、过滤日志的工具。用于管理日志和事件的工具,你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用,例如搜索、存储等。
3、Kibana: 主要用于日志的展示
是一个优秀的前端日志展示框架,它可以非常详细的将日志转化为各种图表,为用户提供强大的数据可视化支持,它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。
4、Kafka:(kafka集群+elk)是一种高吞吐量的分布式发布订阅消息系统。
是一种高吞吐量的分布式发布订阅消息系统。具有峰值处理能力,使用消息队列能够使关键组件顶住突发的访问压力,而不会因为突发的超负荷的请求而完全崩溃。
• 1.发布和订阅记录流,类似于消息队列或企业消息传递系统。
• 2.以容错持久的方式存储记录流。
• 3.处理记录发生的流。
5、Filebeat:隶属于Beats家族,轻量级数据收集引擎,是logstash的升级
隶属于Beats,轻量级数据收集引擎。基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择,目前Beats包含四种工具:
• 1.Packetbeat(搜集网络流量数据)
• 2.Metricbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据。通过从操作系统和服务收集指标,帮助您监控服务器及其托管的服务。)
• 3.Filebeat(搜集文件数据)
• 4.Winlogbeat(搜集 Windows 事件日志数据)
beats家族:filebeat搜集日志文件数据;packetbeat搜集网络流量数据
ELK+filebeat集群:elasticsearch+kibana+logstash+kafka+filebeat
EFK集群:elasticsearch+kibana+kafka+filebeat
一,为什么会用的ELK集群?
1,普通的日志分析场景:直接在日志文件中grep、awk就可以获得自己想要的信息,但在规模较大的场景中,此方法效率底下,面临问题包括日志量太大如何归档、文本搜索太慢、如何多纬度的查询。这样我们就需要集中化的日志管理,所有的服务器上的日志收集汇总。解决方案:建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。
2,大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一个集中式日志系统,可以提高定位问题的效率。
3,完整的集中式日志系统需要包含以下几个特点:
Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
Kibana: 数据分析与可视化平台,对Elasticsearch存储的数据进行可视化分析,通过表格的形式展现出来。
二,拓展:设置静态ip就这样来配置
vim /etc/sysconfig/network-scripts/ifcfg-ens33
修改为none/static
BOOTPROTO="dhcp" #默认值none或static 这两种属于静态获取ip地址,dhcp自动获取ip
IPADDR=192.168.222.131 #设置静态ip地址
GATEWAY=192.168.222.2 #设置网关,nat模式网关是2,桥接为1
NETMASK=255.255.255.0 #设置掩码
#PREFIX=24 或者设置掩码
DNS1=114.114.114.114 #dns全国通用地址,dns最多可以设置三个
DNS2=8.8.8.8 #谷歌的dns
三,Elasticsearch部署(端口号9200)
1,安装配置JDK
[root@xingdian ~]# tar xfz /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
[root@xingdian ~]# mv /usr/local/jdk-8u121 /usr/local/java
[root@xingdian ~]# vim /etc/profile 设置JDK环境变量
JAVA_HOME=/usr/local/java
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
[root@xingdian ~]# source /etc/profile
[root@xingdian ~]#java -version
2,安装配置elasticsearch简称ES
创建普通用户ES并设置密码
[root@xingdian ~]# useradd es
[root@xingdian ~]# echo "es" | passwd --stdin "es" 无交互式的设置密码
安装配置ES
[root@xingdian ~]# tar xfz /usr/local/package/elasticsearch-6.5.4.tar.gz -C /usr/local/
[root@xingdian ~]# vim /usr/local/elasticsearch-6.5.4/config/elasticsearch.yml
cluster.name: bjbpe01-elk #名字可以自定义修改
node.name: elk01 #名字可以自定义修改
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: ["172.16.244.26", "172.16.244.27"]
discovery.zen.ping_timeout: 150s
discovery.zen.fd.ping_retries: 10
client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.name 集群名称,各节点配成相同的集群名称。
node.name 节点名称,各节点配置不同。
node.master 指示某个节点是否符合成为主节点的条件。
node.data 指示节点是否为数据节点。数据节点包含并管理索引的一部分。
path.data 数据存储目录。
path.logs 日志存储目录。
bootstrap.memory_lock 内存锁定,是否禁用交换。
bootstrap.system_call_filter 系统调用过滤器。
network.host 绑定节点IP。
http.port rest api端口。
discovery.zen.ping.unicast.hosts 提供其他 Elasticsearch 服务节点的单点广播发现功能。
discovery.zen.ping_timeout 节点在发现过程中的等待时间。
discovery.zen.fd.ping_retries 节点发现重试次数。
http.cors.enabled 是否允许跨源 REST 请求,用于允许head插件访问ES。
http.cors.allow-origin 允许的源地址。
设置JVM堆大小(服务器实际运行内存小,则可以不执行该操作)
[root@xingdian ~]# sed -i 's/-Xms1g/-Xms4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options
[root@xingdian ~]# sed -i 's/-Xmx1g/-Xmx4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options
sed -i 's///g' 是无感知替换
或者:
[root@xingdian ~]#vim /usr/local/elasticsearch-6.5.4/config/jvm.options
Xms4g
Xmx4g
###### 创建ES数据以及日志存储目录给予权限
[root@xingdian ~]# mkdir -p /data/elasticsearch/{data,logs}
[root@xingdian ~]# chown -R es.es /data/elasticsearch
[root@xingdian ~]# chown -R es.es /usr/local/elasticsearch-6.5.4
##### 3,系统文件句柄优化配置
```shell
[root@xingdian ~]#vim /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096
注:*代表所有用户,soft 指的是当前系统生效的设置值,nofile - 打开文件的最大数目,nproc - 进程的最大数目。
增加最大内存映射数
[root@xingdian ~]# echo "vm.max_map_count=262144" >> /etc/sysctl.conf
[root@xingdian ~]# sysctl -p 使配置文件生效
4,启动ES
su - es -c "cd /usr/local/elasticsearch && nohup bin/elasticsearch &"
5,ElasticSearch Head0.1.2(ES插件需要安装到谷歌上)
在谷歌浏览器输入:192.168.222.131:9200
插件源文件的字符集需要修改为utf-8
6,模拟插入数据
index-demo/test
{"user":"xingdian","mesg":"hello world"}
四,kibana服务部署
1,上传并解压安装包
[root@192 ~]# tar zxf kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/
[root@192 ~]# mv /usr/local/kibana-6.5.4-linux-x86_64/ /usr/local/kibana
2,配置文件修改(kibana.yml)
[root@192 ~]#vim /usr/local/kibana/config/kibana.yml
修改这四个配置:
server.port: 5601
server.host: "172.16.244.28"
elasticsearch.url: "http://192.168.222.131:9200"
kibana.index: ".kibana"
注意:
server.port kibana服务端口,默认5601
server.host kibana主机IP地址,默认localhost
elasticsearch.url 用来做查询的ES节点的URL,默认http://localhost:9200
kibana.index kibana在Elasticsearch中使用索引来存储保存的searches, visualizations和dashboards,默认.kibana
3,启动kibana服务
[root@192 ~]#cd /usr/local/kibana 切换到启动目录下
[root@192 ~]#nohup ./bin/kibana & 后台运行该程序
输入网址访问:192.168.222.131:9200
为kibana安装nginx反向代理(可选项)
1.安装
yum -y install nginx httpd-tools
2.配置
user nginx;
worker_processes 4;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;
worker_rlimit_nofile 65535;
events {
worker_connections 65535;
use epoll;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
server_names_hash_bucket_size 128;
autoindex on;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 120;
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
#gzip模块设置
gzip on; #开启gzip压缩输出
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 16k; #压缩缓冲区
gzip_http_version 1.0; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 2; #压缩等级
gzip_types text/plain application/x-javascript text/css application/xml; #压缩类型,默认就已经包含textml,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn。
gzip_vary on;
#开启限制IP连接数的时候需要使用
#limit_zone crawler $binary_remote_addr 10m;
#tips:
#upstream bakend{#定义负载均衡设备的Ip及设备状态}{
# ip_hash;
# server 127.0.0.1:9090 down;
# server 127.0.0.1:8080 weight=2;
# server 127.0.0.1:6060;
# server 127.0.0.1:7070 backup;
#}
#在需要使用负载均衡的server中增加 proxy_pass http://bakend/;
server {
listen 80;
server_name 172.16.244.28;
#charset koi8-r;
# access_log /var/log/nginx/host.access.log main;
access_log off;
location / {
# auth_basic "Kibana"; #可以是string或off,任意string表示开启认证,off表示关闭认证。
# auth_basic_user_file /etc/nginx/passwd.db; #指定存储用户名和密码的认证文件。
proxy_pass http://172.16.244.28:5601;
proxy_set_header Host $host:5601;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
location /status {
stub_status on; #开启网站监控状态
access_log /var/log/nginx/kibana_status.log; #监控日志
auth_basic "NginxStatus"; }
location /head/{
# auth_basic "head";
# auth_basic_user_file /etc/nginx/passwd.db;
proxy_pass http://172.16.244.25:9100;
proxy_set_header Host $host:9100;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
# redirect server error pages to the static page /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
五,logstash服务部署(新机器)
1,安装JDK(logstash运行需要依赖jdk)
[root@xingdian ~]# tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
[root@xingdian ~]# mv /usr/local/jdk-8u121 /usr/local/java
[root@xingdian ~]# vim /etc/profile
JAVA_HOME=/usr/local/java
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
[root@xingdian ~]# source /etc/profile
[root@xingdian ~]# java -version
2,安装logstash
[root@xingdian ~]# tar xf logstash-7.3.2.tar.gz -C /usr/local/
[root@xingdian ~]# mv logstash-7.3.2/ logstash
[root@xingdian ~]# ln -s /usr/local/logstash/bin/logstash /usr/bin/logstash (做软连接要用绝对路径,可以直接使用这个命令)
3,数据的测试
[root@xingdian ~]#logstash -e 'input { stdin{} } output { stdout{} }'
-e 后面跟搜集定义在终端输入并终端显示
[root@xingdian ~]#logstash -e 'input { stdin{} } output { stdout{ codec => rubydebug} }'
codec 定义编码器 用什么格式输出
<<把内容写到elasticsearch中>>
[root@xingdian ~]#logstash -e 'input { stdin{} } output { elasticsearch { hosts => ["192.168.222.131:9200"]} }'
\#输入下面的测试数据
123456
wangshibo
huanqiu
hahaha
注意:使用rubydebug和写到elasticsearch中的区别:其实就在于后面标准输出的区别,前者使用codec;后者使用elasticsearch
六,日志搜集
[root@elk-node1 ~]# vim file.conf
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning"
}
}
input {
file {
path => "/var/log/elasticsearch/huanqiu.log"
type => "es-error"
start_position => "beginning"
}
}
output {
if [type] == "system"{
elasticsearch {
hosts => ["192.168.122.119:9200"]
index => "system-%{+YYYY.MM.dd}"
}
}
if [type] == "es-error"{
elasticsearch {
hosts => ["192.168.122.119:9200"]
index => "es-error-%{+YYYY.MM.dd}"
}
}
}
[root@192 ~]# logstash -f file.conf 在当前终端展示启动
[root@192 ~]# logstash -f file.conf & 在终端后台运行
[root@192 ~]# jobs 查看
方案一:
nginx server 安装logstash 进行日志的搜集,并上传到elasticserach服务器
部署:
nginx server:
修改 nginx server 的配置文件
http {
log_format json '{"@timestamp":"$time_iso8601",'
'"@version":"1",'
'"client":"$remote_addr",'
'"url":"$uri",'
'"status":"$status",'
'"domain":"$host",'
'"host":"$server_addr",'
'"size":$body_bytes_sent,'
'"responsetime":$request_time,'
'"referer": "$http_referer",'
'"ua": "$http_user_agent"'
'}';
}
server {
access_log /var/log/nginx/access_json.log json;
}
重启nginx server 的服务
systemctl restart nginx
systemctl status nginx
**上传到elasticsearch server,在/etc/logstash/conf.d/下创建json.conf文件**
**input {
file {
path => "/var/log/nginx/access_json.log"
codec => "json"
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["192.168.122.118:9200"]
index => "nginx1-%{+YYYY.MM.dd}"
}
}**
**参数说明:
input 上传数据 path 指定日志文件的路径
codec定义编码器 用什么格式输入和输出
start_position 从头开始
hosts 输出到那台elasticsearch server
index 定义格式,显示到web界面上
执行上传**
logstash -f /etc/logstash/conf.d/json.conf
**搜集nginx日志文件的配置到此结束,通过kibana页面进行查看即可**
七,kafka集群部署
kafka是一个分布式的消息发布—订阅系统(kafka其实是消息队列)
属于apache基金会的顶级开源项目
Kafka的特性:
- 高吞吐量、低延迟:kafka每秒可以处理几十万条消息,它的延迟最低只有几毫秒,每个topic可以分多个partition, consumer group 对partition进行consumer操作。
- 可扩展性:kafka集群支持热扩展
- 可靠性:消息被持久化到本地磁盘,并且支持数据备份防止数据丢失
- 容错性:允许集群中节点失败(若副本数量为n,则允许n-1个节点失败)
- 高并发:支持数千个客户端同时读写
话题(Topic):是特定类型的消息流。
生产者(Producer):发布消息到 kafka 集群的任意终端或服务
服务代理(Broker):已发布的消息保存在一组服务器中,它们被称为代理(Broker)或Kafka集群。
消费者(Consumer):可以订阅一个或多个话题,并从Broker拉数据,从而消费这些已发布的消息。
partition(区):partition 是物理上的概念,每个 topic 包含一个或多个 partition。每一个topic将被分为多个partition(区)。
Consumer group:high-level consumer API 中,每个 consumer 都属于一个 consumer group,每条消息只能被 consumer group 中的一个 Consumer 消费,但可以被多个 consumer group 消费。
replication:partition 的副本,保障 partition 的高可用。
leader:replication 中的一个角色, producer 和 consumer 只跟 leader 交互。
follower:replication 中的一个角色,从 leader 中复制数据。
controller:kafka 集群中的其中一个服务器,用来进行 leader election 以及 各种 failover。
zookeeper:kafka 通过 zookeeper 来存储集群的 meta 信息。源数据
服务部署
1,安装JDK(kafka运行需要jdk)
[root@xingdian ~]# tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
[root@xingdian ~]# mv /usr/local/jdk-8u121 /usr/local/java
[root@xingdian ~]# vim /etc/profile
JAVA_HOME=/usr/local/java
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
[root@xingdian ~]# source /etc/profile
[root@xingdian ~]# java -version
2,安装zookeeper简称ZK
Kafka运行依赖ZK,Kafka官网提供的tar包中,已经包含了ZK,这里不再额下载ZK程序。
[root@xingdian ~]#tar zxvf /usr/local/package/kafka_2.11-2.1.0.tgz -C /usr/local/
3,配置修改
[root@xingdian ~]#sed -i 's/^[^#]/#&/' /usr/local/kafka/config/zookeeper.properties
或者删除所有注释
[root@xingdian ~]#vi /usr/local/kafka/config/zookeeper.properties
dataDir=/opt/data/zookeeper/data
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181
tickTime=2000
initLimit=20
syncLimit=10
server.1=172.16.244.31:2888:3888
server.2=172.16.244.32:2888:3888
server.3=172.16.244.33:2888:3888
//kafka集群IP:Port,以上是3台服务器作为集群
注意:
dataDir ZK数据存放目录。
dataLogDir ZK日志存放目录。
clientPort 客户端连接ZK服务的端口。
tickTime ZK服务器之间或客户端与服务器之间维持心跳的时间间隔。
initLimit 允许follower(相对于Leaderer言的“客户端”)连接并同步到Leader的初始化连接时间,以tickTime为单位。当初始化连接时间超过该值,则表示连接失败。
syncLimit Leader与Follower之间发送消息时,请求和应答时间长度。如果follower在设置时间内不能与leader通信,那么此follower将会被丢弃。
server.1=172.16.244.31:2888:3888 2888是follower与leader交换信息的端口,3888是当leader挂了时用来执行选举时服务器相互通信的端口。
创建data,log目录
[root@xingdian ~]#mkdir -p /opt/data/zookeeper/{data,logs}
创建myid文件
[root@xingdian ~]#echo 1 > /opt/data/zookeeper/data/myid
注意:多个集群的话myid要设置不一样
4,配置kafaka
[root@xingdian ~]#sed -i 's/^[^#]/#&/' /usr/local/kafka/config/server.properties
或者删除所有注释
[root@xingdian ~]#vi /usr/local/kafka/config/server.properties
broker.id=1
listeners=PLAINTEXT://172.16.244.31:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=172.16.244.31:2181,172.16.244.32:2181,172.16.244.33:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
注意:
broker.id 每个server需要单独配置broker id,如果不配置系统会自动配置。
listeners 监听地址,格式PLAINTEXT://IP:端口。
num.network.threads 接收和发送网络信息的线程数。
num.io.threads 服务器用于处理请求的线程数,其中可能包括磁盘I/O。
socket.send.buffer.bytes 套接字服务器使用的发送缓冲区(SO_SNDBUF)
socket.receive.buffer.bytes 套接字服务器使用的接收缓冲区(SO_RCVBUF)
socket.request.max.bytes 套接字服务器将接受的请求的最大大小(防止OOM)
log.dirs 日志文件目录。
num.partitions partition数量。
num.recovery.threads.per.data.dir 在启动时恢复日志、关闭时刷盘日志每个数据目录的线程的数量,默认1。
offsets.topic.replication.factor 偏移量话题的复制因子(设置更高保证可用),为了保证有效的复制,偏移话题的复制因子是可配置的,在偏移话题的第一次请求的时候可用的broker的数量至少为复制因子的大小,否则要么话题创建失败,要么复制因子取可用broker的数量和配置复制因子的最小值。
log.retention.hours 日志文件删除之前保留的时间(单位小时),默认168
log.segment.bytes 单个日志文件的大小,默认1073741824
log.retention.check.interval.ms 检查日志段以查看是否可以根据保留策略删除它们的时间间隔。
zookeeper.connect ZK主机地址,如果zookeeper是集群则以逗号隔开。
zookeeper.connection.timeout.ms 连接到Zookeeper的超时时间。
[root@xingdian ~]#mkdir -p /opt/data/kafka/logs
5,多台服务器集群的话除了myid,broker.id 不同,其他配置相同!!!
6,先启动zookeeper
[root@xingdian ~]#cd /usr/local/kafka
[root@xingdian ~]#nohup bin/zookeeper-server-start.sh config/zookeeper.properties &
7,做验证(可选项)
[root@xingdian ~]#echo conf | nc 127.0.0.1 2181
clientPort=2181
dataDir=/data/zookeeper/data/version-2
dataLogDir=/data/zookeeper/logs/version-2
tickTime=2000
maxClientCnxns=60
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=1
initLimit=20
syncLimit=10
electionAlg=3
electionPort=3888
quorumPort=2888
peerType=0
[root@xingdian ~]#echo stat | nc 127.0.0.1 2181
Zookeeper version: 3.4.13-2d71af4dbe22557fda74f9a9b4309b15a7487f03, built on 06/29/2018 00:39 GMT
Clients:
/172.17.0.4:35020[0](queued=0,recved=1,sent=0)
Latency min/avg/max: 0/0/0
Received: 4
Sent: 3
Connections: 1
Outstanding: 0
Zxid: 0x0
Mode: follower
Node count: 4
8,再启动kafka
[root@xingdian ~]#cd /usr/local/kafka_2.11-2.1.0/
[root@xingdian ~]#nohup bin/kafka-server-start.sh config/server.properties &
[root@xingdian ~]#jobs 可以查看到后台zookeeper和Kafka两个服务运行
[root@xingdian ~]#ss -lntp 或者 netstat -tanlp netstat -lntp
创建话题topic
[root@xingdian ~]#bin/kafka-topics.sh --create --zookeeper 192.168.222.131:2181 --replication-factor 1 --partitions 1 --topic diange
查询话题topic
[root@xingdian ~]#bin/kafka-topics.sh --zookeeper 192.168.222.131:2181 --list
模拟生产者生产消息话题
[root@xingdian ~]#bin/kafka-console-producer.sh --broker-list 192.168.222.131:9092 --topic test
\>Hello World!
需要换任意一台卡夫卡模拟消费者从192.168.222.131接受消息
[root@xingdian ~]#bin/kafka-console-consumer.sh --bootstrap-server 192.168.222.131:9092 --topic test --from-beginning
Hello World!
查看主题的信息:
[root@xingdian ~]#bin/kafka-topics.sh --describe --zookeeper 172.17.0.4:2181 --topic testtopic
9,logstash配置文件修改
vim kafka.conf
input {
kafka {
topics => "testtopic"
#codec => "json"
decorate_events => true
bootstrap_servers => "172.17.0.4:9092,172.17.0.5:9092,"
}
}
output {
elasticsearch {
hosts => ["172.17.0.2:9200"]
index => 'kafka-%{+YYYY-MM-dd}'
}
}
10,启动执行logstash
logstash -f kafka.conf
八,filebeat日志数据搜集器
Filebeat监视日志目录或特定日志文件,并将它们转发给Elasticsearch或Logstash进行索引、kafka 等。
工作原理:
Filebeat由两个主要组件组成:prospector 和harvester。这些组件一起工作来读取文件并将事件数据发送到您指定的输出。
harvester :负责读取单个文件的内容。
prospector 负责管理harvester并找到所有要读取的文件来源。
为什么使用filebeat?
Filebeat是一种轻量级的日志搜集器,其不占用系统资源,自出现之后,迅速更新了原有的elk架构。Filebeats将收集到的数据发送给Logstash解析过滤,在Filebeats与Logstash传输数据的过程中,为了安全性,可以通过ssl认证来加强安全性。之后将其发送到Elasticsearch存储,并由kibana可视化分析。
自己总结:
ELK+kafka+filebeat(日志分析集群部署)
elasticsearch+kibana+kafaka+filebeat 至少五台
第一台:elasticsearch(运行需要JDK)+kibana
kafka内含zookeeper,依次启动zookeeper和kafka
第二台:kafka-1(运行需要JDK) 创建一个话题
第三台:kafka-2(运行需要JDK)
第四台:kafka-3(运行需要JDK)+logstash(运行需要JDK) 创建filebeat.conf的文件,用来启动搜集logstash -f filebeat.conf
第五台:filebeat部署+nginx(web服务器)
九,安装部署使用filebeat(新机器)
1,下载并解压filebeat
[root@192 ~]#tar xfz filebeat-6.5.4-linux-x86_64.tar.gz -C /usr/local
[root@192 ~]#mv /usr/local/filebeat-6.5.4-linux-x86_64.tar.gz /usr/local/filebeat
2,将数据利用filebeat的代理传给kafka集群,kafka集群利用logstash传给es集群
[root@192 ~]#vim filebeat.conf 编辑filebeat的搜集文件
input {
kafka {
type => "kafka-logs"
bootstrap_servers => "172.17.0.4:9092,172.17.0.5:9092"
group_id => "logstash"
auto_offset_reset => "earliest"
topics => "kafka_run_log"
consumer_threads => 5
decorate_events => true
}
}
output {
elasticsearch {
index => 'kafka-run-log-%{+YYYY.MM.dd}'
hosts => ["172.17.0.2:9200","172.17.0.3:9200"]
}
}
3,在kafka中创建topic,跟logstash保持一致
[root@192 ~]#bin/kafka-topics.sh --create --zookeeper 172.17.0.4:2181 --replication-factor 1 --partitions 1 --topic kafka_run_log
查看topic
[root@192 ~]#/usr/local/kafka_2.11-2.1.0/bin/kafka-topics.sh --zookeeper 172.17.0.4:2181 --list
4,修改配置文件filebeat.yml
与kafka的配置文件:
注意格式特别是冒号和空格
21:- type: log
24: enabled: true
27: paths:
28: - /var/log/yum.log
146:output.kafka:
147: enabled: true
148: hosts: ["172.17.0.4:9092","172.17.0.5:9092"]
149: topic: 'kafka_run_log'
5,启动kafka服务器的logstash
[root@192 ~]#logstash -f filebeat.conf
6,启动filebeat
[root@192 ~]#/usr/local/filebeat -c filebeat.yml
停止filebeat:
ps -ef |grep filebeat | kill -9 进程号
7,es集群查看
8,kibana集群测试查看
注意:
filebeat将将数据传给kafka
1.配置filebeat input 指定类型和日志
2.配置filebeat output 指定传给kafka,指定对应的kafka主机+端口 指定话题(topic)
前提:kafka得有这个话题
--zookeeper 172.17.0.4:2181 --replication-factor 1 --partitions 1 --topic kafka_run_log
查看topic
[root@192 ~]#/usr/local/kafka_2.11-2.1.0/bin/kafka-topics.sh --zookeeper 172.17.0.4:2181 --list
4,修改配置文件filebeat.yml
与kafka的配置文件:
注意格式特别是冒号和空格
21:- type: log
24: enabled: true
27: paths:
28: - /var/log/yum.log
146:output.kafka:
147: enabled: true
148: hosts: ["172.17.0.4:9092","172.17.0.5:9092"]
149: topic: 'kafka_run_log'
5,启动kafka服务器的logstash
[root@192 ~]#logstash -f filebeat.conf
6,启动filebeat
[root@192 ~]#/usr/local/filebeat -c filebeat.yml
停止filebeat:
ps -ef |grep filebeat | kill -9 进程号
7,es集群查看
8,kibana集群测试查看
注意:
filebeat将将数据传给kafka
1.配置filebeat input 指定类型和日志
2.配置filebeat output 指定传给kafka,指定对应的kafka主机+端口 指定话题(topic)
前提:kafka得有这个话题