ELK部署:
介绍:
ELK是Elasticsearch + Logstash + Kibana 这种架构的简写。这是一种日志分平台析的架构。从前我们用shell三剑客(grep, sed, awk)来分析日志, 虽然也能对付大多数场景,但当日志量大,分析频繁,并且使用者可能不会shell三剑客的情况下, 配置方便,使用简单,并且分析结果更加直观的工具(平台)就诞生了,它就是ELK。 ELK是开源的,并且社区活跃,用户众多
架构说明:
1、 Elasticsearch + Logstash + Kibana
这是一种最简单的架构。这种架构,通过logstash收集日志,Elasticsearch分析日志,然后在Kibana(web界面)中展示。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。
2 、Elasticsearch + Logstash + filebeat + Kibana
与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,用来部署在客户端,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,但是这种架构有一个缺点,当logstash出现故障, 会造成日志的丢失。
3、 Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如kafka) + Kibana
这种架构是上面那个架构的完善版,通过增加中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志。目前我司使用的就是这种架构,我个人也比较推荐这种方式。
步骤:
一、安装jdk环境 (elasticsearch、logstash服务都需要jdk环境)
jdk介绍:
a、JDK (Java Development Kit) 是 Java 语言的软件开发工具包(SDK)。在JDK的安装目录下有一个jre目录,里面有两个文件夹bin和lib,在这里可以认为bin里的就是jvm,lib中则是jvm工作所需要的类库,而jvm和 lib合起来就称为jre。
b、JRE(Java Runtime Environment,Java运行环境),包含JVM标准实现及Java核心类库。JRE是Java运行环境,并不是一个开发环境,所以没有包含任何开发工具(如编译器和调试器)
c、JVM 是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。
1. 下载JDK
JDK官网下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
请根据自己服务器情况下载对应版本,linux是下载tar.gz结尾的包
2. 上传linux服务器
把JDK包上传服务器有多种方法,我是用Xshell自带的ftp功能上传服务器,比较简单,这边不多讲。
上传完成后,解压到/usr/local/
tar xf jdk-8u191-linux-x64.tar.gz -C /usr/local/ #在/usr/local/下会生成一个jdk的目录
3.设置环境变量
在/etc/profile配置文件中,在底部添加如下配置
vim /etc/profile #set java environment JAVA_HOME=/usr/local/jdk1.8 CLASSPATH=.:$JAVA_HOME/lib.tools.jar PATH=$JAVA_HOME/bin:$PATH export JAVA_HOME CLASSPATH PATH [root@localhost ~]# source /etc/profile #加载新声明的环境变量
4.查看版本:
[root@localhost ~]# java -version java version "1.8.0_162" Java(TM) SE Runtime Environment (build 1.8.0_162-b12) Java HotSpot(TM) 64-Bit Server VM (build 25.162-b12, mixed mode)
#获取以上信息,表示安装完成
二、安装redis
介绍:
REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。
Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
它通常被称为数据结构服务器,因为值(value)可以是字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型
安装步骤:
1、安装环境,下载,解压,编译
2、修改配置
3、启动,登录
安装环境、下载、解压、编译
# 下载
wget http://download.redis.io/redis-stable.tar.gz yum -y install gcc tar xf redis-stable.tar.gz -C /usr/local/ cd /usr/local/redis-stable
# 编译安装
make && make install
修改配置:
cd /usr/local/redis-stable vim redis.conf # 表示只可以本机访问,要是远程访问需要注释掉(前面加#号) bind 127.0.0.1 # 改为no 可以不用输入密码登陆 protected-mode yes # 修改端口 port 6379 # 改为 yes 后台运行 daemonize no # 连接密码修改,foobared密码 requirepass foobared
启动登录:
cd /usr/local/redis-stable # 启动 ./src/redis-server ./redis.conf # 关闭 ./src/redis-cli -p 6379 shutdown # 登录 ./src/redis-cli -h 127.0.0.1 -p 6379
三、安装elasticsearch
介绍
Elasticsearch 是一个分布式可扩展的实时搜索和分析引擎,一个建立在全文搜索引擎 Apache Lucene(TM) 基础上的搜索引擎.当然 Elasticsearch 并不仅仅是 Lucene 那么简单,它不仅包括了全文搜索功能,还可以进行以下工作:
1.分布式实时文件存储,并将每一个字段都编入索引,使其可以被搜索。
2.实时分析的分布式搜索引擎。
3.可以扩展到上百台服务器,处理PB级别的结构化或非结构化数据。
安装步骤
1.下载,解压
2.修改linux内核,设置资源参数
3.修改配置
4.启动elasticsearch、自启动脚本
5.安装中文分词
下载,解压
# 下载
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.6.1.tar.gz cd /data tar xf elasticsearch-6.6.1.tar.gz
# 创建用户,需要以普通用户启动
useradd elk
# 创建目录,用于存放数据和日志
cd /data/elasticsearch-6.6.1 mkdir data logs
修改linux内核,设置资源参数
vim /etc/sysctl.conf # 增加 vm.max_map_count=655360
# 执行以下命令,确保生效配置生效:
sysctl -p
设置资源参数
vim /etc/security/limits.conf # 修改 * soft nofile 65536 * hard nofile 131072 * soft nproc 65536 * hard nproc 131072
# 设置用户资源参数
vim /etc/security/limits.d/20-nproc.conf # 设置elk用户参数 elk soft nproc 65536
修改配置
cd /data/elasticsearch-6.6.1 vim config/elasticsearch.yml #修改,取消以下配置注释 path.data: /data/elasticsearch-6.6.1/data #数据目录 path.logs: /data/elasticsearch-6.6.1/logs network.host: 0.0.0.0 #允许哪个IP访问,0代表所有 http.port: 9200
chown -R elk:elk elasticsearch-6.6.1
启动elasticsearch
su elk cd /data/elasticsearch-6.6.1 # 加-d:后台启动 ./bin/elasticsearch
自启动脚本
#!/bin/bash su - elk /data/elasticsearch-6.6.1/bin/elasticsearch -d
安装中文分词
# 下载 wget https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v6.6.1/elasticsearch-analysis-ik-6.6.1.zip # 创建ik目录 mkdir /data/elasticsearch-6.6.1/plugins/ik mv elasticsearch-analysis-ik-6.6.1.zip elasticsearch-6.6.1/plugins/ik cd /data/elasticsearch-6.6.1/plugins/ik unzip elasticsearch-analysis-ik-6.6.1.zip
四、安装kibana(将日志以web界面形式展示)
cd /data # 下载 wget https://artifacts.elastic.co/downloads/kibana/kibana-6.6.1-linux-x86_64.tar.gz # 解压 tar xf kibana-6.6.1-linux-x86_64.tar.gz cd kibana-6.6.1-linux-x86_64
配置
vim config/kibana.yml # 取消以下注释,并修改对应IP # 服务端口 server.port: 5601 # 指明服务运行的地址 server.host: "10.10.10.20" # 指明elasticsearch运行的地址和端口 elasticsearch.hosts: ["http://10.10.10.20:9200"] # 指明kibana使用的索引,这个是自定义的 kibana.index: ".kibana"
# 启动,如果elasticsearch有kibana数据,则配置成功
/data/kibana-6.6.1-linux-x86_64/bin/kibana
五、安装filebeat
#该组件为日志收集服务,安装在需要收集日志的服务器上
# 下载
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.1-linux-x86_64.tar.gz
# 解压
tar xf filebeat-6.6.1-linux-x86_64.tar.gz cd filebeat-6.6.1-linux-x86_64
配置
vim filebeat.yml # 配置以下设置 ##该配置在input中定义多个日志路径,用于之后的logstash过滤,匹配不同索引 filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log fields: log_source: sys - type: log enabled: true paths: - /var/log/httpd/*_log fields: log_source: nginx output.redis: hosts: ["10.10.10.20:6379"] password: "" db: 0 key: "syslog"
日志输入{
filebeat.inputs: 模块用来指定日志文件的来源
type: 指定日志类型,在这里是log, 应该也可以是json。
paths指定日志文件路径。
fields: 是打标记,主要为了后面日志分析查找的方便,存储的时候也会根据fields分类存储,相同fields的数据存在同一个redis key中
}
日志输出{
output.redis:指定输出到redis
hosts:指定redis主机,可以指定多台。
password:redis密码,redis默认没有密码,在这里设为空就行
key:指定存入redis中的key
db: 指定存在redis中的db编号(redis默认安装有16个databases,0~15, 默认是存储在db0中的)
}
# 启动
./filebeat -e -c filebeat.yml
六、安装logstash(日志收集)
# 下载并解压
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.6.1.tar.gz tar xf logstash-6.6.1.tar.gz cd logstash-6.6.1
# 创建配置文件,配置以下设置
vim config/syslog.conf #该配置在output中使用fields标签匹配不同索引,从而创建俩个不同的索引给kibana使用 input { redis { host => "10.10.10.20" port => 6379 data_type => "list" key => "syslog" db => 0 } } output { if [fields][log_source] == 'sys' { elasticsearch { hosts => ["http://10.10.10.20:9200"] index => "syslog-%{+YYYY.MM.dd}" id => "syslog_id" } } if [fields][log_source] == 'nginx' { elasticsearch { hosts => ["http://10.10.10.20:9200"] index => "nginxlog-%{+YYYY.MM.dd}" id => "nginx_id" } } }
1.key => “syslog” 对应filebeat.yml配置中,redis设置的key
2.if [fields][log_source] == ‘sys’ 对应filebeat.yml配置中,input设置fields标签
3.index => “nginxlog-%{+YYYY.MM.dd}” 创建elasticsearch索引
# 启动
./bin/logstash -f config/syslog.conf
访问kibana,并添加索引
访问:IP:5601,没有密码,密码认证需要收费,可以使用nginx代理认证
创建索引:
点击 management
点击 Index Patterns
点击 Create index pattern
在当前配置页中会显示能添加的索引,如果没有显示,请查看logstash和filebeat配置
添加索引:nginxlog-* , 该索引为elasticsearch中的索引
下一步:选择@timestamp
点击:Create index pattern 创建成功
查看日志:
点击:Discover
当前页就是搜索日志页面,有切换索引,添加搜索标签,选择时间范围等功能
kibana汉化
Kibana在6.7版本以上,支持了多种语言。并且自带在安装包里,之前版本需要下载中文包安装
Kibana在6.7版本以下
wget https://mirrors.yangxingzhen.com/kibana/Kibana_Hanization.tar.gz tar xf Kibana_Hanization.tar.gz cd Kibana_Hanization/old/ python main.py /data/kibana-6.6.1-linux-x86_64 Kibana在6.7版本以上 vim /data/kibana-6.6.1-linux-x86_64/config/kibana.yml # 取消注释 i18n.locale: "zh-CN"