1.ELK概述
在规模较大的企业场景中,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。
所以企业中都会建立日志服务器,调高安全性、集中化管理,但是相应的大量的日志文件导致对日志分析困难。而今天介绍的ELK就是为了解决这一问题。
1.1 ELK日志分析系统
ELK是由Elasticsearch、Logstash、Kiban三个开源软件的组合。在实时数据检索和分析场合,三者通常是配合共用,而且又都先后归于 Elastic.co 公司名下,故有此简称。
1.2 ELK中日志处理步骤
第一步:将日志进行集中化管理(beats)
第二步:将日志格式化(Logstash),然后将格式化后的数据输出到Elasticsearch
第三步:对格式化后的数据进行索引和存储(Elasticsearch)
第四步:前端数据的展示(Kibana)
1.3 Elasticsearch概述
Elasticsearch是一个基于Lucene的搜索服务器。它基于RESTful
web接口提供了一个分布式多用户能力的全文搜索引擎。
Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。
(1)Elasticsearch的特性
接近实时的搜索
集群
节点
索引
索引(库)→类型(表)→文档(记录)
分片和副本
(2)分片和副本
在上述特性中,最重要的就是分片和副本,也是让es数据库(Elasticsearch)成为百度这些主流搜索引擎的主要原因,理论上能提升4倍的性能。
结合实际情况分析:索引存储的数据可能超过单个节点的硬件限制,如一个10亿文档需1TB空间可能不适合存储在单个节点的磁盘上,或者从单个节点搜索请求太慢了,为了解决这个问题,elasticsearch提供将索引分成多个分片的功能,当在创建索引时,可以定义想要分片的数量。每个分片就是一个全功能的独立索引,可以位于集群中任何节点上。
分片的特点:
水平分割扩展,增大存储量
分布式并行跨分片操作,提供性能和吞吐量
分布式分片的机制和搜索请求的文档如何汇总完全是有elasticsearch控制的,这些对用户而言是透明的
网络问题等等其他问题可以在任何时候不期而至,为了健壮性,强烈建议要有个故障切换机制,无论何种故障以防止分片或者节点不可用,为此,elasticsearch让我们将索引分片复制一份或多份,称为分片副本或副本
副本的特点:
高可用性,以应对分片或者节点故障,出于这个原因,分片副本要在不同的节点上
性能加强,增加吞吐量,搜索可以并行在所有副本上执行
1.4 LogStash概述
一款强大的数据处理工具
可实现数据传输、格式处理、格式化输出
数据输入、数据加工(如过滤,改写等)以及数据输出
常用插件:Input、Filter Plugin、Output
Input:收集源数据(访问日志、错误日志等)
Filter Plugin:用于过滤日志和格式处理
Output:输出日志
1.5 Kibana概述
一个针对Elasticsearch的开源分析及可视化平台
搜索、查看存储在Elasticsearch索引中的数据
通过各种图表进行高级数据分析及展示
Kibana主要功能
Elasticsearch无缝之集成
Kibana架构为Elasticsearch定制,可以将任何结构化和非结构化数据加入Elasticsearch索引。Kibana还充分利用了Elasticsearch强大的搜索和分析功能。
整合数据
Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图。
复杂数据分析
Kibana提升了Elasticsearch分析能力,能够更加智能地分析数据,执行数学转换并且根据要求对数据切割分块。
让更多团队成员收益
强大的数据库可视化接口让各业务岗位都能够从数据集合受益。
接口灵活,分享更容易
使用Kibana可以更加方便地创建、保存、分享数据,并将可视化数据快速交流。
配置简单
Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。
可视化多数据源
Kibana可以非常方便地把来自Logstash、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch,支持的第三方技术包括Apache flume、 Fluentd 等。
简单数据导出
Kibana可以方便地导出感兴趣的数据,与其它数据集合并融合后快速建模分析,发现新结果。
2.搭建部署ELK
2.1 拓扑图
| Node1 | 192.168.0.7 | Elasticsearch、Kibana |
|---|---|---|
| Node2 | 192.168.0.8 | Elasticsearch |
| Apache | 192.168.0.9 | Logstash |
2.2ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)
1.环境准备
① 配置域名解析
② 修改主机名
③ 查看java版本
2.部署 Elasticsearch 软件
① 安装elasticsearch—rpm包
② 加载系统服务
③ 修改elasticsearch主配置文件
④ 创建数据存放路径并授权
⑤ 启动elasticsearch是否成功开启
⑥ 查看node1和node2节点信息
⑦ 检查群集状态信息
3.安装 Elasticsearch-head 插件
① 放入安装包并解压
② 编译安装node
③ 安装 phantomjs
④ 安装 Elasticsearch-head 数据可视化工具
⑤ 修改 Elasticsearch 主配置文件vim /etc/elasticsearch/elasticsearch.yml
⑥ 启动 elasticsearch-head 服务
⑦ 通过 Elasticsearch-head 查看 Elasticsearch 信息
⑧ 插入索引
⑨ 访问测试
ELK Logstash 部署(apache)
1.更改主机名
2.安装Apahce服务(httpd)
3.安装Java环境
4.安装logstash
5.测试 Logstash
① 定义输入和输出流:输入采用标准输入,输出采用标准输出(类似管道)
② 定义输入和输出流:使用 rubydebug 输出详细格式显示,codec 为一种编解码器
③ 定义输入和输出流:使用 Logstash 将信息写入 Elasticsearch 中
④ 浏览器访问 http://192.168.80.10:9100/ 查看索引信息和数据浏览
6.定义 logstash配置文件
①修改配置
7.浏览器访问查看索引信息
① 查看索引是否创建
② 查看索引对应的日志文件
ELK Kiabana 部署(在 Node1 节点上操作)
1.安装 Kiabana
2.设置 Kibana 的主配置文件vim /etc/kibana/kibana.yml
3.启动 Kibana 服务
4.验证 Kibana
① 添加system索引
② 单击 “Discover” 按钮可查看图表信息及日志信息
5.将 Apache 服务器的日志(访问的、错误的)添加到 Elasticsearch 并通过 Kibana 显示
① 创建apache_log.conf文件
② 启动添加到 Elasticsearch
6.浏览器访问http://192.168.0.7:5601 登录 Kibana测试
① 使用宿主机进行访问,为了产生访问日志
② 创建apache_access索引日志
③ 创建apache_error索引日志
④ 选择“Discover”选项卡,在中间下拉列表中选择刚添加的 apache_access-* 、apache_error-* 索引, 可以查看相应的图表及日志信息。
Filebeat+ELK 部署
1.安装 Filebeat //在 Node1 节点上操作
2.设置 Kibana 的主配置文件 //在 Node1 节点上操作
① 修改配置参数
② 注释Elasticsearch output并指定 logstash 的 IP 和端口
③ 启动 filebeat
3.在 Logstash 组件所在节点上新建一个 Logstash 配置文件
使用logstash -f logstash.conf命令进行启动。
浏览器访问 http://192.168.0.7:5601 登录 Kibana测试