Blog.076 ELK 企业级日志分析系统

本章目录

 

 

 

 

1. ELK 概述
  1.1 使用 ELK 的原因
  1.2 完整日志系统基本特征
  1.3 ELK 工作原理
2. ELK 集群部署
  2.1 ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)
  2.2 ELK Logstash 部署(在 Apache 节点上操作)
  2.3 ELK Kiabana 部署(在 Node1 节点上操作)
  2.4 Filebeat+ELK 部署

 

 

 

 

1. ELK 概述

    ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。
    Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。
    它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。主要负责将日志索引并存储起来,方便业务方检索查询。
    Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。
    一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
    是一个日志收集、过滤、转发的中间件,主要负责将各条业务线的各类日志统一收集、过滤后,转发给 Elasticsearch 进行下一步处理。
    Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。


  1.1 使用 ELK 的原因

    日志主要包括系统日志、应用程序日志和安全日志。 系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷, 性能安全性, 从而及时采取措施纠正错误。
    往往单台机器的日志我们使用grep、awk等工具就能基本实现简单分析,但是当日志被分散的储存不同的设备上。 如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。 当务之急我们使用集中化的日志管理, 例如∶ 开源的syslog,将所有服务器上的日志收集汇总。集中化管理日志后, 日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。
    一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时, 大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统, 可以提高定位问题的效率。


  1.2 完整日志系统基本特征

  • 收集∶能够采集多种来源的日志数据
  • 传输∶能够稳定的把日志数据解析过滤并传输到存储系统
  • 存储∶存储日志数据
  • 分析∶支持 UI分析
  • 警告∶能够提供错误报告,监控机制


  1.3 ELK 工作原理

    (1)在所有需要收集日志的服务器上部署Logstash; 或者先将日志进行集中化管理在日志服务器上, 在日志服务器上部署 Logs tash。
    (2)Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中。
    (3)Elasticsearch 对格式化后的数据进行索引和存储。
    (4)Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。


2. ELK 集群部署

    环境准备:

  • Node1节点:192.168.229.90:Elasticsearch 、 Kibana:2核4G
  • Node2节点:192.168.229.80:Elasticsearch:2核4G
  • Apache节点:192.168.229.70:Logstash、Apache:2核4G
  • 所有服务器关闭防火墙和SElinux


  2.1 ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)

    (1)更改主机名、配置域名解析、查看Java环境

 1 ##更改主机名、配置域名解析、查看Java环境
 2 
 3 Node1节点:hostnamectl set-hostname node1
 4 Node2节点:hostnamectl set-hostname node2
 5  
 6 vim /etc/hosts
 7 192.168.229.90 node1
 8 192.168.229.80 node2
 9  
10 java -version   #如果没有安装,yum -y install java
11 openjdk version "1.8.0_131"
12 OpenJDK Runtime Environment (build 1.8.0_131-b12)

 

 


    (2)部署 Elasticsearch 软件

  • 安装elasticsearch—rpm包
1 #上传elasticsearch-5.5.0.rpm到/opt目录下
2 
3 cd /opt
4 rpm -ivh elasticsearch-5.5.0.rpm  

 

  • 加载系统服务
1 systemctl daemon-reload
2 systemctl enable elasticsearch.service 

 

  • 修改elasticsearch主配置文件
 1 cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
 2 vim /etc/elasticsearch/elasticsearch.yml
 3 --17--取消注释,指定集群名字
 4 cluster.name: my-elk-cluster
 5 --23--取消注释,指定节点名字:Node1节点为node1,Node2节点为node2
 6 node.name: node1
 7 --33--取消注释,指定数据存放路径
 8 path.data: /data/elk_data
 9 --37--取消注释,指定日志存放路径
10 path.logs: /var/log/elasticsearch/
11 --43--取消注释,改为在启动的时候不锁定内存
12 bootstrap.memory_lock: false
13 --55--取消注释,设置监听地址,0.0.0.0代表所有地址
14 network.host: 0.0.0.0
15 --59--取消注释,ES 服务的默认监听端口为9200
16 http.port: 9200
17 --68--取消注释,集群发现通过单播实现,指定要发现的节点 node1、node2
18 discovery.zen.ping.unicast.hosts: ["node1", "node2"]
19  
20 grep -v "^#" /etc/elasticsearch/elasticsearch.yml  

 

  • 创建数据存放路径并授权
1 mkdir -p /data/elk_data
2 chown elasticsearch:elasticsearch /data/elk_data/  

 

  • 启动elasticsearch是否成功开启
1 systemctl start elasticsearch.service
2 netstat -antp | grep 9200  

 


    (3)查看节点信息

    浏览器访问 http://192.168.229.90:9200 、 http://192.168.229.80:9200 查看节点 Node1、Node2 的信息。
    浏览器访问 http://192.168.229.90:9200/_cluster/health?pretty 、 http://192.168.229.80:9200/_cluster/health?pretty查看群集的健康情况,可以看到 status 值为 green(绿色), 表示节点健康运行。
    浏览器访问 http://192.168.229.90:9200/_cluster/state?pretty 检查群集状态信息。

    #使用上述方式查看群集的状态对用户并不友好,可以通过安装 Elasticsearch-head 插件,可以更方便地管理群集。


    (4)安装 Elasticsearch-head 插件

    Elasticsearch 在 5.0 版本后,Elasticsearch-head 插件需要作为独立服务进行安装,需要使用npm工具(NodeJS的包管理工具)安装。
    安装 Elasticsearch-head 需要提前安装好依赖软件 node 和 phantomjs。
    node:是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
    phantomjs:是一个基于 webkit 的JavaScriptAPI,可以理解为一个隐形的浏览器,任何基于 webkit 浏览器做的事情,它都可以做到。

 

  • 编译安装 node
 1 #上传软件包 node-v8.2.1.tar.gz 到/opt
 2 
 3 yum install gcc gcc-c++ make -y
 4  
 5 cd /opt
 6 tar zxvf node-v8.2.1.tar.gz
 7  
 8 cd node-v8.2.1/
 9 ./configure
10 make && make install  

 

  • 安装 phantomjs
1 #上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
2 
3 cd /opt
4 tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
5 cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
6 cp phantomjs /usr/local/bin 

 

  • 安装 Elasticsearch-head 数据可视化工具
1 #上传软件包 elasticsearch-head.tar.gz 到/opt
2 
3 cd /opt
4 tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/
5 cd /usr/local/src/elasticsearch-head/
6 npm install 

 

  • 修改 Elasticsearch 主配置文件
1 vim /etc/elasticsearch/elasticsearch.yml
2 ......
3 --末尾添加以下内容--
4 http.cors.enabled: true #开启跨域访问支持,默认为 false
5 http.cors.allow-origin: "*" #指定跨域访问允许的域名地址为所有
6  
7 systemctl restart elasticsearch 

 

  • 启动 elasticsearch-head 服务
 1 #必须在解压后的 elasticsearch-head 目录下启动服务,进程会读取该目录下的 gruntfile.js 文件,否则可能启动失败。
 2 
 3 cd /usr/local/src/elasticsearch-head/
 4 npm run start &
 5  
 6 > elasticsearch-head@0.0.0 start /usr/local/src/elasticsearch-head
 7 > grunt server
 8  
 9 Running "connect:server" (connect) task
10 Waiting forever...
11 Started connect web server on http://localhost:9100
12  
13 #elasticsearch-head 监听的端口是 9100
14 netstat -natp |grep 9100  

 

  • 通过 Elasticsearch-head 查看 Elasticsearch 信息

    通过浏览器访问 http://192.168.229.90:9100/ 地址并连接群集。如果看到群集健康值为 green 绿色,代表群集很健康。

  • 插入索引
 1 #通过命令插入一个测试索引,索引为 index-demo,类型为 test。
 2 
 3 curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
 4 //输出结果如下:
 5 {
 6 "_index" : "index-demo",
 7 "_type" : "test",
 8 "_id" : "1",
 9 "_version" : 1,
10 "result" : "created",
11 "_shards" : {
12 "total" : 2,
13 "successful" : 2,
14 "failed" : 0
15 },
16 "created" : true
17 }  

 

    浏览器访问 http://192.168.229.90:9100/ 查看索引信息,可以看见索引默认被分片5个,并且有一个副本。
    点击“数据浏览”,会发现在node1上创建的索引为 index-demo,类型为 test 的相关信息。


  2.2 ELK Logstash 部署(在 Apache 节点上操作)

    Logstash 一般部署在需要监控其日志的服务器。在本案例中,Logstash 部署在 Apache 服务器上,用于收集 Apache 服务器的日志信息并发送到 Elasticsearch。

 

    (1)更改主机名

1 hostnamectl set-hostname apache 

 

 


    (2)安装Apahce服务(httpd)

1 yum -y install httpd
2 systemctl start httpd  

 

 


    (3)安装Java环境

1 yum -y install java
2 java -version  

 

 


    (4)安装logstash

1 #上传软件包 logstash-5.5.1.rpm 到/opt目录下
2 
3 cd /opt
4 rpm -ivh logstash-5.5.1.rpm
5 systemctl start logstash.service
6 systemctl enable logstash.service
7  
8 ln -s /usr/share/logstash/bin/logstash /usr/local/bin/  

 

 


    (5)测试 Logstash

    Logstash 命令常用选项:

  • -f:通过这个选项可以指定 Logstash 的配置文件,根据配置文件配置 Logstash 的输入和输出流。
  • -e:从命令行中获取,输入、输出后面跟着字符串,该字符串可以被当作 Logstash 的配置(如果是空,则默认使用 stdin 作为输入,stdout 作为输出)。
  • -t:测试配置文件是否正确,然后退出。

 

 1 #输入采用标准输入,输出采用标准输出(类似管道)
 2 
 3 logstash -e 'input { stdin{} } output { stdout{} }'
 4 ......
 5 www.baidu.com   #键入内容(标准输入)
 6 2020-12-22T03:58:47.799Z node1 www.baidu.com    #输出结果(标准输出)
 7 www.sina.com.cn #键入内容(标准输入)
 8 2017-12-22T03:59:02.908Z node1 www.sina.com.cn  #输出结果(标准输出)
 9  
10 //执行 ctrl+c 退出
11  
12 #使用 rubydebug 输出详细格式显示,codec 为一种编解码器
13 logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
14 ......
15 www.baidu.com   #键入内容(标准输入)
16 {
17 "@timestamp" => 2020-12-22T02:15:39.136Z,    #输出结果(处理后的结果)
18 "@version" => "1",
19 "host" => "apache",
20 "message" => "www.baidu.com"
21 }
22  
23 #使用 Logstash 将信息写入 Elasticsearch 中
24 logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.229.90:9200"] } }'
25 输入  输出  对接
26 ......
27 www.baidu.com   #键入内容(标准输入)
28 www.sina.com.cn #键入内容(标准输入)
29 www.google.com  #键入内容(标准输入)  
30 
31 
32 ##结果不在标准输出显示,而是发送至 Elasticsearch 中,可浏览器访问 http://192.168.229.90:9100/ 查看索引信息和数据浏览。

 


    (6)定义 logstash配置文件

    Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)。

 

 1 #格式如下:
 2 
 3 input {...}
 4 filter {...}
 5 output {...}  
 6 
 7 #在每个部分中,也可以指定多个访问方式。例如,若要指定两个日志来源文件,则格式如下:
 8 
 9 input {
10 file { path =>"/var/log/messages" type =>"syslog"}
11 file { path =>"/var/log/httpd/access.log" type =>"apache"}
12 }  

 

 1 #修改 Logstash 配置文件,让其收集系统日志/var/log/messages,并将其输出到 elasticsearch 中。
 2 
 3 chmod +r /var/log/messages  #让 Logstash 可以读取日志
 4  
 5 vim /etc/logstash/conf.d/system.conf
 6 input {
 7 file{
 8 path =>"/var/log/messages"   #指定要收集的日志的位置
 9 type =>"system"  #自定义日志类型标识
10 start_position =>"beginning" #表示从开始处收集
11 }
12 }
13 output {
14 elasticsearch { #输出到 elasticsearch
15 hosts => ["192.168.229.90:9200"] #指定 elasticsearch 服务器的地址和端口
16 index =>"system-%{+YYYY.MM.dd}"  #指定输出到 elasticsearch 的索引格式
17 }
18 }
19  
20 systemctl restart logstash  

 

    浏览器访问 http://192.168.229.90:9100/ 查看索引信息。


  2.3 ELK Kiabana 部署(在 Node1 节点上操作)

    (1)安装 Kiabana

1 #上传软件包 kibana-5.5.1-x86_64.rpm 到/opt目录

 

 


    (2)设置 Kibana 的主配置文件

1 vim /etc/kibana/kibana.yml
2 --2--取消注释,Kiabana 服务的默认监听端口为5601
3 server.port: 5601
4 --7--取消注释,设置 Kiabana 的监听地址,0.0.0.0代表所有地址
5 server.host: "0.0.0.0"
6 --21--取消注释,设置和 Elasticsearch 建立连接的地址和端口
7 elasticsearch.url: "http://192.168.229.90:9200"
8 --30--取消注释,设置在 elasticsearch 中添加.kibana索引
9 kibana.index: ".kibana"  

 

 


    (3)启动 Kibana 服务

1 systemctl start kibana.service
2 systemctl enable kibana.service
3  
4 netstat -natp | grep 5601  

 

 


    (4)验证 Kibana

    浏览器访问 http://192.168.229.90:5601
    第一次登录需要添加一个 Elasticsearch 索引:

  • Index name or pattern
  • //输入:system-* #在索引名中输入之前配置的 Output 前缀“system”

    单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
    数据展示可以分类显示,在“Available Fields”中的“host”,然后单击 “add”按钮,可以看到按照“host”筛选后的结果


    (5)将 Apache 服务器的日志(访问的、错误的)添加到 Elasticsearch 并通过 Kibana 显示

 1 vim /etc/logstash/conf.d/apache_log.conf
 2 input {
 3 file{
 4 path => "/etc/httpd/logs/access_log"
 5 type => "access"
 6 start_position => "beginning"
 7 }
 8 file{
 9 path => "/etc/httpd/logs/error_log"
10 type => "error"
11 start_position => "beginning"
12 }
13 }
14 output {
15 if [type] == "access" {
16 elasticsearch {
17 hosts => ["192.168.80.10:9200"]
18 index => "apache_access-%{+YYYY.MM.dd}"
19 }
20 }
21 if [type] == "error" {
22 elasticsearch {
23 hosts => ["192.168.80.10:9200"]
24 index => "apache_error-%{+YYYY.MM.dd}"
25 }
26 }
27 }
28  
29 cd /etc/logstash/conf.d/
30 /usr/share/logstash/bin/logstash -f apache_log.conf  

 

 

 

    浏览器访问 http://192.168.229.90:9100 查看索引是否创建
    浏览器访问 http://192.168.229.90:5601 登录 Kibana,单击“Create Index Pattern”按钮添加索引, 在索引名中输入之前配置的 Output 前缀 apache_access-*,并单击“Create”按钮。在用相同的方法添加 apache_error-*索引。
    选择“Discover”选项卡,在中间下拉列表中选择刚添加的 apache_access-* 、apache_error-* 索引, 可以查看相应的图表及日志信息。


  2.4 Filebeat+ELK 部署

 

    (1)安装 Filebeat

1 #上传软件包 filebeat-6.2.4-linux-x86_64.tar.gz 到/opt目录
2 
3 tar zxvf filebeat-6.2.4-linux-x86_64.tar.gz
4 mv filebeat-6.2.4-linux-x86_64/ /usr/local/filebeat

 

 


    (2)设置 filebeat 的主配置文件

 1 cd /usr/local/filebeat
 2  
 3 vim filebeat.yml
 4 filebeat.prospectors:
 5 - type: log #指定 log 类型,从日志文件中读取消息
 6 enabled: true
 7 paths:
 8 - /var/log/messages #指定监控的日志文件
 9 - /var/log/*.log
10 fields: #可以使用 fields 配置选项设置一些参数字段添加到 output 中
11 service_name: filebeat
12 log_type: log
13 service_id: 192.168.229.90
14  
15 --------------Elasticsearch output-------------------
16 (全部注释掉)
17  
18 ----------------Logstash output---------------------
19 output.logstash:
20 hosts: ["192.168.229.70:5044"] #指定 logstash 的 IP 和端口
21  
22 #启动 filebeat
23 ./filebeat -e -c filebeat.yml  

 

 


    (3)在 Logstash 组件所在节点上新建一个 Logstash 配置文件

 1 cd /etc/logstash/conf.d
 2  
 3 vim logstash.conf
 4 input {
 5 beats {
 6 port => "5044"
 7 }
 8 }
 9 output {
10 elasticsearch {
11 hosts => ["192.168.80.10:9200"]
12 index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
13 }
14 stdout {
15 codec => rubydebug
16 }
17 }
18  
19 #启动 logstash
20 logstash -f logstash.conf  

 

 


    (4)浏览器访问测试

 

    浏览器访问 http://192.168.229.90:5601 登录 Kibana
    单击“Create Index Pattern”按钮添加索引“filebeat-*”,单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。

 

 

 

 

 

-

 

上一篇:elk日志分析管理系统的搭建(非集群非docker安装)


下一篇:CentOS7.9单机部署elk