搭建ELK+Kafka+filebeat日志分析系统

摘要

顾名思义ELK+Kafka+Filebeat是由Elasticsearch，Logstash，Kibana，Kafka以及Filebeat几大组件构成的一个基于web页面的日志分析工具。

日志分析是运维工程师解决系统故障，发现问题的主要手段。日志包含多种类型，包括程序日志，系统日志以及安全日志等。通过对日志分析，预发故障的发生，又可以在故障发生时，寻找到蛛丝马迹，快速定位故障点。及时解决。

一、组件介绍

1.1、Elasticsearch

是一个基于Lucene的搜索服务器。提供搜集、分析、存储数据三大功能。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便

1.2、Logstash

主要是用来日志的搜索、分析、过滤日志的工具。用于管理日志和事件的工具，你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用，例如搜索、存储等

1.3、Kibana

是一个优秀的前端日志展示框架，它可以非常详细的将日志转化为各种图标，为用户提供强大的数据可视化支持，它能够搜索、展示存储在Elasticsearch中索引数据。使用它可以很方便的使用图表、表格、地图展示和分析数据

1.4、Kafka

数据缓冲队列。作为消息队列解耦了处理过程，同时提高了可扩展性。具有峰值处理能力，使用消息队列能够使关键组件顶住突发的访问压力，而不会因为突发的超负荷的请求而完全崩溃

发布和订阅记录流，类似于消息队列或企业消息传递系统
以容错持久的方式存储记录流
处理记录发生的流

1.5、filebeat

隶属于Beats，轻量级数据收集引擎。基于原先Logstash-forwarder的源码改造出来。换句话说：Filebeat就是新版的Logstash-forwarder，也会是ELK Stack在Agent的第一选择，目前Beats包含四种工具：

Packetbeat（搜集网络流量数据）
Metricbeat（搜集系统、进程和文件系统级别的CPU和内存使用情况等数据）
Filebeat（搜集文件系统）
Winlogbeat（搜集Windows事件日志数据）

二、环境介绍

主机名	IP地址	系统版本	安装软件
master	20.0.0.10	Centos7.4	Elasticsearch/zookeeper/kafka/Logstash/kibana
node1	20.0.0.20		Elasticsearch/zookeeper/kafka
node2	20.0.0.30		Elasticsearch/zookeeper/kafka
node3	20.0.0.40		Filebeat

三、版本说明

jdk:1.8
Elasticsearch: 6.5.4
Logstash: 6.5.4
Kibana: 6.5.4
Kafka: 2.11.1
Filebeat: 6.5.4
相应的版本最好下载对应的插件

四、搭建架构

五、实施部署

下载并上传软件包到对应机器上

5.1、Elasticsearch集群部署

5.1.1、基本配置（四台节点都要设置）

 1 修改主机名
 2 [root@server1 ~]# hostnamectl set-hostname master
 3 [root@server2 ~]# hostnamectl set-hostname node1
 4 [root@server3 ~]# hostnamectl set-hostname node2
 5 [root@server4 ~]# hostnamectl set-hostname node3
 6 
 7 关闭防火墙和核心防护
 8 [root@master ~]# systemctl stop firewalld.service     #master上演示
 9 [root@master ~]# setenforce 0
10 
11 添加映射
12 [root@master ~]# vi /etc/hosts     #master上演示
13 20.0.0.10   master
14 20.0.0.20   node1
15 20.0.0.30   node2
16 20.0.0.40   node3

5.1.2、安装配置jdk（下面的操作在master、node1和node2上配置，master上演示）

 1 解压缩
 2 [root@master ~]# tar zxf jdk-8u91-linux-x64.tar.gz -C /usr/local/
 3 
 4 改文件名
 5 [root@master ~]# mv /usr/local/jdk1.8.0_91/ /usr/local/java
 6 
 7 环境变量
 8 [root@master ~]# echo '
 9 JAVA_HOME=/usr/local/java
10 PATH=$JAVA_HOME/bin:$PATH
11 export JAVA_HOME PATH
12 ' >> /etc/profile.d/java.sh
13 
14 执行脚本
15 [root@master ~]# source /etc/profile.d/java.sh
16 
17 查看java版本
18 [root@master ~]# java -version
19 java version "1.8.0_91"
20 Java(TM) SE Runtime Environment (build 1.8.0_91-b14)
21 Java HotSpot(TM) 64-Bit Server VM (build 25.91-b14, mixed mode)

5.1.3、安装配置ES

①创建运行ES的普通用户

1 [root@master ~]# useradd elsearch
2 [root@master ~]# echo "123456" | passwd --stdin "elsearch"

②安装配置ES

 1 解压缩
 2 [root@master ~]# tar zxf elasticsearch-6.5.4.tar.gz -C /usr/local/
 3 [root@master ~]# mv /usr/local/elasticsearch-6.5.4/ /usr/local/elasticsearch
 4 
 5 修改配置文件
 6 [root@master ~]# vim /usr/local/elasticsearch/config/elasticsearch.yml
 7 cluster.name: elk
 8 node.name: elk01           #node1为elk02,node2为elk03
 9 node.master: true
10 node.data: true
11 path.data: /data/elasticsearch/data
12 path.logs: /data/elasticsearch/logs
13 bootstrap.memory_lock: false
14 bootstrap.system_call_filter: false
15 network.host: 0.0.0.0
16 http.port: 9200
17 discovery.zen.ping.unicast.hosts: ["20.0.0.10","20.0.0.20","20.0.0.30"]
18 discovery.zen.ping_timeout: 150s
19 discovery.zen.fd.ping_retries: 10
20 client.transport.ping_timeout: 60s
21 http.cors.enabled: true
22 http.cors.allow-origin: "*"
23 
24 创建ES数据及日志存储目录
25 [root@master ~]# mkdir -p /data/elasticsearch/data 
26 [root@master ~]# mkdir -p /data/elasticsearch/logs 
27 
28 修改安装目录及存储目录权限
29 [root@master ~]# chown -R elsearch:elsearch /data/elasticsearch
30 [root@master ~]# chown -R elsearch:elsearch /usr/local/elasticsearch

 配置项解读
 1 cluster.name              #集群名称，各节点配成相同的集群名称
 2 node.name                #节点名称，各节点配置不同
 3 node.master              #指示某个节点是否符合成为主节点的条件
 4 node.data                 #指示节点是否为数据节点。数据节点包含并管理索引的一部分
 5 path.data              #数据存储目录
 6 path.logs               #日志存储目录
 7 bootstrap.memory_lock       #内存锁定，是否禁用交换
 8 bootstrap.system_call_filter    #系统调用过滤器
 9 network.host              #绑定节点IP
10 http.port                     #rest api端口
11 discovery.zen.ping.unicast.hosts       #提供其他Elasticsearch服务节点的单点广播发现功能
12 discovery.zen.ping_timeout     #节点在发现过程中的等待时间
13 discovery.zen.fd.ping_retries    #节点发现重试次数
14 http.cors.enabled                    #是否允许跨源REST请求，用于允许head插件访问ES
15 http.cors.allow-origin     #允许的源地址

③系统优化

 1 修改内存参数
 2 [root@master ~]# vim /etc/security/limits.conf
 3 #末尾添加
 4 *       soft     nofile          65536
 5 *       hard     nofile          131072
 6 *       soft     nproc           2048
 7 *       hard     nproc           4096
 8 
 9 增加最大内存映射数
10 [root@master ~]# echo "vm.max_map_count=262144" >> /etc/sysctl.conf
11 [root@master ~]# sysctl -p
12 vm.max_map_count = 262144

④启动ES

 1 切换到elsearch用户
 2 [root@master ~]# su - elsearch
 3 
 4 启动ES
 5 [elsearch@master ~]$ cd /usr/local/elasticsearch/
 6 [elsearch@master elasticsearch]$ nohup bin/elasticsearch &
 7 [1] 41611
 8 [elsearch@master elasticsearch]$ nohup: 忽略输入并把输出追加到"nohup.out"
 9 
10 查看进程
11 [elsearch@master elasticsearch]$ jobs
12 [1]+  运行中               nohup bin/elasticsearch &
13 
14 查看进程启动情况
15 [elsearch@master elasticsearch]$ tailf nohup.out
16 ......
17 [2020-12-10T16:32:24,284][INFO ][o.e.n.Node               ] [elk01] started     #显示started启动成功

⑤网页访问http://20.0.0.10:9200

⑥安装配置head监控插件

1）安装node

 1 添加阿里云源并重建yum源
 2 [root@master elasticsearch]# wget -O /etc/yum.repos.d/CentOS-Base-epel.repo http://mirrors.aliyun.com/repo/Centos-7.repo
 3 [root@master elasticsearch]# wget -P /etc/yum.repos.d http://mirrors.163.com/.help/CentOS7-Base-163.repo
 4 [root@master elasticsearch]# yum clean all
 5 [root@master elasticsearch]# yum makecache
 6 
 7 安装node
 8 [root@master elasticsearch]# wget https://npm.taobao.org/mirrors/node/latest-v4.x/node-v4.4.7-linux-x64.tar.gz    #下载
 9 [root@master ~]# tar zxf node-v4.4.7-linux-x64.tar.gz -C /usr/local/   #解压缩
10 [root@master ~]# mv /usr/local/node-v4.4.7-linux-x64/ /usr/local/node
11 [root@master ~]# echo '
12 NODE_HOME=/usr/local/node
13 PATH=$NODE_HOME/bin:$PATH
14 export NODE_HOME PATH
15 ' >> /etc/profile.d/node.sh
16 [root@master ~]# source /etc/profile.d/node.sh 
17 [root@master ~]# node --version   #检查版本
18 v4.4.7

2）下载head插件

1 [root@master ~]# wget https://github.com/mobz/elasticsearch-head/archive/naster.zip
2 [root@master ~]# unzip -d /usr/local/ master.zip

3)安装grunt

1 [root@master ~]# cd /usr/local/elasticsearch-head-master/
2 [root@master elasticsearch-head-master]# npm install -g grunt-cli
3 [root@master elasticsearch-head-master]# grunt --version    #查看版本
4 [root@master elasticsearch-head-master]# grunt --version
5 grunt-cli v1.3.2

4）修改head源码

 1 [root@master elasticsearch-head-master]# vi /usr/local/elasticsearch-head-master/Gruntfile.js
 2      94                 connect: {
 3      95                         server: {
 4      96                                 options: {
 5      97                                         port: 9100,
 6      98                                         base: '.',
 7      99                                         keepalive: true,
 8     100                                         hostname:'*'
 9 #注意要在true后面加“，”而hostname“*”后不需要
10 
11 [root@master elasticsearch-head-master]# vi /usr/local/elasticsearch-head-master/_site/app.js 
12 4385                 init: function(parent) {
13    4386                         this._super();
14    4387                         this.prefs = services.Preferences.instanc        e();               4388                         this.base_uri = this.config.base_uri || t        his.prefs.get("app-base_uri") || "http://20.0.0.10:9200";
15 #原本是http://localhost:9200

5）下载head必要的文件

1 [root@master ~]# wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
2 [root@master ~]# yum -y install bzip2
3 [root@master ~]# tar jxf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /tmp

6）运行head

1 [root@master elasticsearch-head-master]# npm install --registry=https://registry.npm.taobao.org
2 [root@master elasticsearch-head-master]# nohup grunt server &
3 [1] 42584
4 [root@master elasticsearch-head-master]# nohup: 忽略输入并把输出追加到"nohup.out"

7)测试网页访问https://20.0.0.10:9100

5.2、Kibana部署

5.2.1、安装配置Kibana（master上安装）

①安装

1 [root@master ~]# tar zxf kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/

②配置

1 [root@master ~]# echo '
2 server.port: 5601
3 server.host: "20.0.0.10"
4 elasticsearch.url: "http://20.0.0.10:9200"
5 kibana.index: ".kibana"
6 ' >> /usr/local/kibana-6.5.4-linux-x86_64/config/kibana.yml

③启动

1 [root@master ~]# cd /usr/local/kibana-6.5.4-linux-x86_64/
2 [root@master kibana-6.5.4-linux-x86_64]# nohup ./bin/kibana &
3 [2] 42730
4 [root@master kibana-6.5.4-linux-x86_64]# nohup: 忽略输入并把输出追加到"nohup.out"

5.3、Kafka部署

5.3.1、安装配置jdk(master、node1和node2上操作，master上演示)

 1 解压缩
 2 [root@master ~]# tar zxf jdk-8u91-linux-x64.tar.gz -C /usr/local/
 3 
 4 改文件名
 5 [root@master ~]# mv /usr/local/jdk1.8.0_91/ /usr/local/java
 6 
 7 环境变量
 8 [root@master ~]# echo '
 9 JAVA_HOME=/usr/local/java
10 PATH=$JAVA_HOME/bin:$PATH
11 export JAVA_HOME PATH
12 ' >> /etc/profile.d/java.sh
13 
14 执行脚本
15 [root@master ~]# source /etc/profile.d/java.sh
16 
17 查看java版本
18 [root@master ~]# java -version
19 java version "1.8.0_91"
20 Java(TM) SE Runtime Environment (build 1.8.0_91-b14)
21 Java HotSpot(TM) 64-Bit Server VM (build 25.91-b14, mixed mode)

5.3.2、安装配置ZK

Kafka运行依赖ZK，Kafka官网提供的tar包中，以及包含了ZK，这里不再额外下载ZK程序

①安装

1 [root@master ~]# tar zxf kafka_2.11-1.1.1.tgz -C /usr/local/

②配置

 1 [root@master ~]# sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-1.1.1/config/zookeeper.properties     #所有未注释内容前加#
 2 [root@master ~]# echo '
 3 > dataDir=/opt/data/zookeeper/data
 4 > dataLogDir=/opt/data/zookeeper/logs
 5 > clientPort=2181
 6 > tickTime=2000
 7 > initLimit=20
 8 > syncLimit=10
 9 > server.1=20.0.0.10:2888:3888
10 > server.1=20.0.0.20:2888:3888
11 > server.1=20.0.0.30:2888:3888
12 > ' >>/usr/local/kafka_2.11-1.1.1/config/zookeeper.properties

③创建目录

1 [root@master ~]# mkdir -p /opt/data/zookeeper/{data,logs}

④创建myid文件

1 [root@master ~]# echo 1 > /opt/data/zookeeper/data/myid     #每台Kafka机器都要做成唯一ID

5.3.3、配置Kafka

①配置

 1 [root@master ~]# sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-1.1.1/config/server.properties
 2 
 3 echo '
 4 broker.id=1         #Kafka机器的每个ID和myid保持一样
 5 listeners=PLAINTEXT://20.0.0.10:9092     #监听自己的IP地址
 6 num.network.threads=3
 7 num.io.threads=8
 8 socket.send.buffer.bytes=102400
 9 socket.receive.buffer.bytes=102400
10 socket.request.max.bytes=104857600
11 log.dirs=/opt/data/kafka/logs
12 num.partitions=6
13 num.recovery.threads.per.data.dir=1
14 offsets.topic.replication.factor=2
15 transaction.state.log.replication.factor=1
16 transaction.state.log.min.isr=1
17 log.retention.hours=168
18 log.segment.bytes=536870912
19 log.retention.check.interval.ms=300000
20 zookeeper.connect=20.0.0.10:2181,20.0.0.20:2181,20.0.0.30:2181
21 zookeeper.connection.timeout.ms=6000
22 group.initial.rebalance.delay.ms=0
23 ' >> /usr/local/kafka_2.11-1.1.1/config/server.properties

②创建log目录

1 [root@master ~]# mkdir -p /opt/data/kafka/logs

③启动、验证ZK集群

 1 启动
 2 [root@master kafka_2.11-1.1.1]# nohup bin/zookeeper-server-start.sh config/zookeeper.properties &
 3 [3] 43030
 4 [root@master kafka_2.11-1.1.1]# nohup: 忽略输入并把输出追加到"nohup.out"
 5 
 6 验证，查看ZK配置
 7 [root@master kafka_2.11-1.1.1]# echo conf | nc 127.0.0.1 2181
 8 clientPort=2181
 9 dataDir=/opt/data/zookeeper/data/version-2
10 dataLogDir=/opt/data/zookeeper/logs/version-2
11 tickTime=2000
12 maxClientCnxns=60
13 minSessionTimeout=4000
14 maxSessionTimeout=40000
15 serverId=0
16 
17 查看ZK状态
18 [root@master kafka_2.11-1.1.1]# echo stat | nc 127.0.0.1 2181
19 Zookeeper version: 3.4.10-39d3a4f269333c922ed3db283be479f9deacaa0f, built on 03/23/2017 10:13 GMT
20 Clients:
21  /127.0.0.1:42614[0](queued=0,recved=1,sent=0)
22 
23 Latency min/avg/max: 0/0/0
24 Received: 5
25 Sent: 4
26 Connections: 1
27 Outstanding: 0
28 Zxid: 0x0
29 Mode: standalone
30 Node count: 4
31 
32 查看端口
33 [root@master kafka_2.11-1.1.1]# lsof -i:2181
34 COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
35 java    43030 root   96u  IPv6  85536      0t0  TCP *:eforward (LISTEN)

④启动、验证Kafka

 1 启动
 2 [root@master kafka_2.11-1.1.1]# cd /usr/local/kafka_2.11-1.1.1/
 3 [root@master kafka_2.11-1.1.1]# nohup bin/kafka-server-start.sh config/server.properties &
 4 [4] 43413
 5 [root@master kafka_2.11-1.1.1]# nohup: 忽略输入并把输出追加到"nohup.out"
 6 
 7 验证
 8 在20.0.0.10上创建topic
 9 [root@master kafka_2.11-1.1.1]# bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic
10 Created topic "testtopic".
11 查询20.0.0.10上的topic
12 [root@master kafka_2.11-1.1.1]# bin/kafka-topic.sh --zookeeper 20.0.0.10:2181 --list
13 testtopic
14 查询20.0.0.20上的topic
15 [root@node1 kafka_2.11-1.1.1]# bin/kafka-topic.sh --zookeeper 20.0.0.20:2181 --list
16 testtopic
17 查询20.0.0.30上的topic
18 [root@node2 kafka_2.11-1.1.1]# bin/kafka-topic.sh --zookeeper 20.0.0.30:2181 --list
19 testtopic

5.4、Logstash部署

5.4.1、安装（master上安装）

1 [root@master ~]# tar zxf logstash-6.5.4.tar.gz -C /usr/local/

5.4.2、配置

 1 创建目录
 2 [root@master ~]# mkdir -p /usr/local/logstash-6.5.4/etc/conf.d
 3 
 4 [root@master ~]# vi /usr/local/logstash-6.5.4/etc/conf.d/input.conf
 5 input {
 6 kafka {
 7     type => "httpd_kafka"
 8     codec => "json"
 9     topics => "httpd"
10     decorate_events => true
11     bootstrap_servers => "20.0.0.10:9092, 20.0.0.20:9092, 20.0.0.30:9092"
12   }
13 }
14 
15 [root@master ~]# vi /usr/local/logstash-6.5.4/etc/conf.d/output.conf
16 output {
17   if [type] == "httpd_kafka" {
18         elasticsearch {
19         hosts => ["20.0.0.10","20.0.0.20","20.0.0.30"]
20         index => 'logstash-httpd-%{+YYYY-MM-dd}'
21          }
22       }
23    }

5.4.3、启动

1 [root@master logstash-6.5.4]# nohup bin/logstash -f etc/conf.d/ --config.reload.automatic &
2 [7] 46230
3 [root@master logstash-6.5.4]# nohup: 忽略输入并把输出追加到"nohup.out"

5.5、Filebeat部署

5.5.1、下载（node3上安装）

1 [root@node3 ~]#  wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.4-linux-x86_64.tar.gz

5.5.2、解压

1 [root@node3 ~]# tar zxf filebeat-6.5.4-linux-x86_64.tar.gz -C /usr/local/
2 [root@node3 ~]# cd /usr/local/
3 [root@node3 local]# mv filebeat-6.5.4-linux-x86_64/ filebeat
4 [root@node3 local]# cd filebeat/

5.5.3、修改配置

修改Filebeat配置，支持收集本地目录日志，并输出日志到Kafka集群中

 1 [root@node3 filebeat]# cp filebeat.yml filebeat.yml.bak
 2 [root@node3 filebeat]# vim filebeat.yml
 3 filebeat.prospectors:
 4 - input_type: log
 5   paths:
 6     -  /var/log/httpd/access_log
 7   json.keys_under_root: true
 8   json.add_error_key: true
 9   json.message_key: log
10 
11 output.kafka:
12   hosts: [ "20.0.0.10:9092","20.0.0.20:9092","20.0.0.30:9092" ]
13   topic: 'httpd'

5.5.4、安装httpd服务

1 [root@node3 filebeat]# yum -y install httpd
2 [root@node3 filebeat]# systemctl start httpd
3 [root@node3 filebeat]# netstat -anpt | grep httpd
4 tcp6       0      0 :::80                   :::*                    LISTEN      57726/httpd     
5 [root@node3 filebeat]# ll /var/log/httpd/
6 总用量 4
7 -rw-r--r--. 1 root root   0 12月 10 18:38 access_log
8 -rw-r--r--. 1 root root 925 12月 10 18:38 error_log

5.5.5、启动

1 [root@node3 filebeat]# nohup ./filebeat -e -c filebeat.yml &
2 [1] 57774
3 [root@node3 filebeat]# nohup: 忽略输入并把输出追加到"nohup.out"

5.5.6、查看状态

1 [root@node3 filebeat]# tailf nohup.out

5.5.7、查看master上logstash

[root@master kibana-6.5.4-linux-x86_64]# cd /usr/local/logstash-6.5.4/
[root@master logstash-6.5.4]# tailf nohup.out

5.5.8、网页访问http://20.0.0.40(多访问几次)

5.5.9、网页访问http://20.0.0.10:9100,查看是否有所有日志产生

5.5.10、网页查看http://20.0.0.10:5601的Kibana界面，去看日志状态

5.5.11、网页访问http://20.0.0.10:9100也可以看到访问记录

5.5.12、网页访问http://20.0.0.10:5601

六、总结

ELK+Kafka+filebeat日志分析系统是一款非常强大的日志分析工具，能够帮助运维工程师更快更准确的定位到想要的日志，特别是kibana可视化工具，功能强大，使用起来非常人性化

posted @ 2020-12-09 20:04 yy1299050947 阅读(1038) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

徐豪