ELK技术实战-安装Elk 5.x平台
ELK技术实战–了解Elk各组件 转载 http://www.ywnds.com/?p=9776php
ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,由这三个软件及其相关的组件能够打造大规模日志实时处理系统。java
其中,Elasticsearch 是一个基于 Lucene 的、支持全文索引的分布式存储和索引引擎,主要负责将日志索引并存储起来,方便业务方检索查询。node
Logstash是一个日志收集、过滤、转发的中间件,主要负责将各条业务线的各种日志统一收集、过滤后,转发给 Elasticsearch 进行下一步处理。linux
Kibana是一个可视化工具,主要负责查询 Elasticsearch 的数据并以可视化的方式展示给业务方,好比各种饼图、直方图、区域图等。nginx
所谓“大规模”,指的是 ELK Stack 组成的系统以一种水平扩展的方式支持天天收集、过滤、索引和存储 TB 规模以上的各种日志。git
一般,各种文本形式的日志都在处理范围,包括但不限于 Web 访问日志,如 Nginx/Apache Access Log 。github
基于对日志的实时分析,能够随时掌握服务的运行情况、统计 PV/UV、发现异常流量、分析用户行为、查看热门站内搜索关键词等。web
版本跳跃redis
ELK在5.0版本之后(从2.x版本直接所有升级为5.x版本),Elastic公司将原来的ELK Stack称之为Elastic Stack,缘由是引入了Beats套件。
Elastic Products全家福:
Elastic Stack平台搭建
对于ELK部署使用而言,下面是一个再常见不过的架构了,以下图:
上图是ELK Stack实际应用中典型的一种架构,其中:
1)filebeat:部署在具体的业务机器上,经过定时监控的方式获取增量的日志,并转发到Kafka消息系统暂存。
2)Kafka:以高吞吐量的特征,做为一个消息系统的角色,接收从filebeat收集转发过来的日志,一般以集群的形式提供服务。
3)logstash:而后,Logstash从Kafka中获取日志,并经过Input-Filter-Output三个阶段的处理,更改或过滤日志,最终输出咱们感兴趣的数据。一般,根据Kafka集群上分区(Partition)的数量,1:1肯定Logstash实例的数量,组成Consumer Group进行日志消费。
4)elasticsearch:最后,Elasticsearch存储并索引Logstash转发过来的数据,并经过Kibana查询和可视化展现,达到实时分析日志的目的。
Elasticsearch/Kibana还能够经过安装x-pack插件实现扩展功能,好比监控Elasticsearch集群状态、数据访问受权等。
咱们一步步安装部署Elastic Stack系统的各个组件,而后以网站访问日志为例进行数据实时分析。
首先,到ELK 官网下载须要用到的Filebeat/Logstash/Elasticsearch/Kibana软件安装包。(推荐下载编译好的二进制可执行文件,直接解压执行就能够部署)
1. 系统环境
|
1
2
3
4
5
6
7
|
System: Centos release 7.2 (Final)
ElasticSearch: 5.4.1
Logstash: 5.4.1
Kibana: 5.4.1
Java: openjdk version "1.8.0_131"
kafka: 2.10
Nginx: 1.10.1
|
2. 软件下载
|
1
2
3
4
5
|
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.4.1.tar.gz
wget https://artifacts.elastic.co/downloads/kibana/kibana-5.4.1-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/logstash/logstash-5.4.1.tar.gz
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.4.1-linux-x86_64.tar.gz
wget http://apache.fayea.com/kafka/0.10.2.1/kafka_2.10-0.10.2.1.tgz
|
这里我下载是我所使用的软件版本(都是当前最新版),若是你想使用旧一点或者更新一点的版本能够自行下载。
|
1
2
3
4
5
6
7
8
9
|
$ ll
total 327156
-rw-r--r-- 1 root root 1539364 Jun 5 05:33 3.2.0.tar.gz
-rw-r--r-- 1 root root 33321278 Jun 1 09:58 elasticsearch-5.4.1.tar.gz
-rw-r--r-- 1 root root 8780385 Jun 1 09:57 filebeat-5.4.1-linux-x86_64.tar.gz
-rw-r--r-- 1 root root 53791517 Jun 1 09:59 kibana-5.4.1-linux-x86_64.tar.gz
-rw-r--r-- 1 root root 92710340 Jun 1 09:59 logstash-5.4.1.tar.gz
-rw-r--r-- 1 root root 9788179 Jun 1 09:58 packetbeat-5.4.1-linux-x86_64.tar.gz
-rw-r--r-- 1 root root 38424081 Apr 26 15:59 kafka_2.10-0.10.2.1.tgz
|
3. 安装Nginx
这里咱们部署ELK以前,须要一个产生日志的源,这里呢就选项Nginx服务器。
默认状况下,CentOS的官方资源是没有php-fpm和Nginx的,须要安装第三方资源库便可。(此步骤可省略)
|
1
2
3
|
$ wget http://www.atomicorp.com/installers/atomic
$ sh ./atomic
$ yum check-update
|
安装启动nginx(关于nginx能够看本博客也有详细介绍)
|
1
2
|
$ yum install nginx -y
$ nginx
|
|
1
2
|
$ netstat -nplt | grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12719/nginx: master
|
nginx的访问日志格式定义,默认以下:
|
1
2
|
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
|
在/etc/nginx/conf.d/default.conf中添加以下一行,定义nginx日志使用的格式,以及日志文件的位置。
|
1
|
access_log /var/log/nginx/access.log main;
|
而后从新启动nginx
|
1
2
|
$ nginx -s stop
$ nginx
|
4. 安装JAVA
因为kafka/logstash/elastisearch的运行依赖于Java环境, 而Logstash 1.5以上版本依赖java版本不能低于java 1.7,所以推荐使用最新版本的Java。由于咱们只须要Java的运行环境,因此能够只安装JRE,不过这里我依然使用JDK。因为我使用的是CentOS7系统,java版本是1.8,符合需求,我就使用yum直接安装了。
|
1
|
$ yum install java-1.8.0-openjdk
|
查看JAVA版本
|
1
2
3
4
|
$ java -version
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-b11)
OpenJDK 64-Bit Server VM (build 25.131-b11, mixed mode)
|
若是java -version没有问题,就不须要设置环境变量。通常使用yum安装的jdk不须要设置JAVA_HOME环境变量。若是你是使用二进制版本安装的jdk,那么可能须要设置一下JAVA_HOME环境变量,具体的JAVA_HOME环境变量设置根据安装路径不一样而不一样。
5. 安装部署Kafka
确认已安装java运行环境,直接解压Kafka便可使用。
|
1
|
$ tar xvf kafka_2.10-0.10.2.1.tgz -C /usr/local/elk
|
解压后,编辑配置文件:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
$ cat /usr/local/elk/kafka_2.10-0.10.2.1/config/server.properties
############################# Server Basics #############################
broker.id=0
delete.topic.enable=true
############################# Socket Server Settings #############################
listeners=PLAINTEXT://0.0.0.0:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
############################# Log Basics #############################
log.dirs=/tmp/kafka-logs
num.partitions=1
num.recovery.threads.per.data.dir=1
############################# Log Flush Policy #############################
log.flush.interval.messages=10000
log.flush.interval.ms=1000
############################# Log Retention Policy #############################
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
############################# Zookeeper #############################
zookeeper.connect=localhost:2181
zookeeper.connection.timeout.ms=6000
|
kafka须要依赖zookeeper,因此须要先启动zookeeper。
|
1
|
$ nohup /usr/local/elk/kafka_2.10-0.10.2.1/bin/zookeeper-server-start.sh /usr/local/elk/kafka_2.10-0.10.2.1/config/zookeeper.properties &
|
启动Kafka Server:(指定 JMX_PORT 端口,能够经过 Kafka-manager 获取统计信息)
|
1
|
$ nohup /usr/local/elk/kafka_2.10-0.10.2.1/bin/kafka-server-start.sh /usr/local/elk/kafka_2.10-0.10.2.1/config/server.properties &
|
6. 安装部署Filebeat
|
1
|
$ tar xvf filebeat-5.4.1-linux-x86_64.tar.gz -C /usr/local/elk/
|
把filebeat解压后就可使用了,是否是很简单。
开启日志增量监控 ,添加filebeat输出源为kafka(修改filebeat.yml文件):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
$ cat /usr/local/elk/filebeat-5.4.1-linux-x86_64/filebeat.yml
filebeat.prospectors:
- input_type: log
paths:
- /var/log/*.log
- input_type: log
paths:
- /var/log/nginx/*.log
encoding: utf-8
document_type: my-nginx-log
scan_frequency: 10s
harvester_buffer_size: 16384
max_bytes: 10485760
tail_files: true
output.kafka:
enabled: true
hosts: ["127.0.0.1:9092"]
topic: elk-%{[type]}
worker: 2
max_retries: 3
bulk_max_size: 2048
timeout: 30s
broker_timeout: 10s
channel_buffer_size: 256
keep_alive: 60
compression: gzip
max_message_bytes: 1000000
required_acks: 0
client_id: beats
|
上述配置表示,Filebeat按期监控:/var/log/nginx/目录下全部以.log结尾的文件,而且将增量日志转发到Kafka集群。filebeat支持file、tcp、udp等输入方式,输出方式支持kafka,file,redis,elasticsearch、logstash等。
而后,后台启动Filebeat进程:
|
1
|
$ nohup /usr/local/elk/filebeat-5.4.1-linux-x86_64/filebeat -c /usr/local/elk/filebeat-5.4.1-linux-x86_64/filebeat.yml &
|
这时候,在浏览器上访问Nginx服务器并生成访问日志后,Filebeat 会及时的将日志转发到 Kafka 集群。
咱们这个时候能够查一下kafka的队列信息,能够看到有elk-log的。
|
1
2
3
|
$ /usr/local/elk/kafka_2.10-0.10.2.1/bin/kafka-topics.sh --list --zookeeper localhost:2181
__consumer_offsets
elk-log
|
具体深刻kafka须要单独学习了,若是嫌麻烦可使用Redis比较简单。
7. 安装配置Logstash
|
1
|
$ tar xvf logstash-5.4.1.tar.gz -C /usr/local/elk
|
把logstash解压后就可使用了,是否是很简单。和全部的编程语言同样,咱们以一个输出 “hello world” 的形式开始咱们的logstash学习。
7.1 开始使用logstash
在终端中,像下面这样运行命令来启动 Logstash进程:
|
1
2
3
4
5
6
7
8
9
10
|
$ /usr/local/elk/logstash-5.4.1/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'
Sending Logstash's logs to /usr/local/elk/logstash-5.4.1/logs which is now configured via log4j2.properties
[logstash.setting.writabledirectory] Creating directory {:setting=>"path.queue", :path=>"/usr/local/elk/logstash-5.4.1/data/queue"}
[logstash.agent ] No persistent UUID file found. Generating new UUID {:uuid=>"cbfff69e-1504-48f8-bd8b-6b37b8e6b1d9", :path=>"/usr/local/elk/logstash-5.4.1/data/uuid"}
[logstash.pipeline ] Starting pipeline {"id"=>"main", "pipeline.workers"=>4, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>5, "pipeline.max_inflight"=>500}
[logstash.pipeline ] Pipeline main started
The stdin plugin is now waiting for input:
[2017-06-05T09:41:06,159][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
hello world
|
执行完命令,而后你会发现终端在等待你的输入。没问题,敲入hello world,而后回车,logstash会返回如下结果!
|
1
2
3
4
5
6
|
{
"@timestamp" => 2017-06-05T13:41:41.840Z,
"@version" => "1",
"host" => "gpmaster",
"message" => "hello world"
}
|
输出没有问题,就证实能够正式来使用logstash了。
解释一下命令含义
每位系统管理员都确定写过不少相似这样的命令:cat randdata | awk ‘{print $2}’ | sort | uniq -c | tee sortdata。这个管道符|能够算是Linux世界最伟大的发明之一(另外一个是“一切皆文件”)。Logstash就像管道符同样!你输入(就像命令行的 cat )数据,而后处理过滤(就像 awk 或者 uniq 之类)数据,最后输出(就像 tee )到其余地方。
Logstash会给事件添加一些额外信息。最重要的就是@timestamp,用来标记事件的发生时间。由于这个字段涉及到Logstash的内部流转,因此必须是一个job对象,若是你尝试本身给一个字符串字段重命名为@timestamp的话,Logstash会直接报错。因此,请使用filters/date插件来管理这个特殊字段。
此外,大多数时候,还能够见到另外几个:
host – 标记事件发生在哪里。
type – 标记事件的惟一类型。
tags – 标记事件的某方面属性,这是一个数组,一个事件能够有多个标签。
你能够随意给事件添加字段或者从事件里删除字段。事实上事件就是一个 Ruby对象,或者更简单的理解为就是一个哈希也行。
小贴士:每一个logstash过滤插件,都会有四个方法叫add_tag, remove_tag, add_field和remove_field。它们在插件过滤匹配成功时生效。
Logstash的运行方式为主程序+配置文件。Collect,Enrich和Transport的行为在配置文件中定义。配置文件的格式有点像json。
下面来建立一个logstash_index.conf文件:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
$ cat /usr/local/elk/logstash-5.4.1/etc/logstash_index.conf
input {
kafka {
#codec => "json"
topics_pattern => "elk-.*"
bootstrap_servers => "127.0.0.1:9092"
auto_offset_reset => "latest"
group_id => "logstash-g1"
}
}
output {
elasticsearch { #Logstash输出到elasticsearch;
hosts => ["localhost:9200"] #elasticsearch为本地;
index => "logstash-nginx-%{+YYYY.MM.dd}" #建立索引;
document_type => "nginx" #文档类型;
workers => 1 #进程数量;
user => elastic #elasticsearch的用户;
password => changeme #elasticsearch的密码;
flush_size => 20000
idle_flush_time => 10
}
}
|
如上配置文件,input定义了从Redis中读取数据;而output我是输出到了本地的elasticsearch中存储。
Logstash传递的每条数据都带有元数据,如@version,@timestamp,host等等,有些能够修改,有些不容许修改。host记录的是当前的主机信息。Logstash可能不会去获取主机的信息或者获取的不许,这里建议替换成本身定义的主机标识,以保证最终的日志输出能够有完美的格式。
另外我这里添加了elasticsearch的用户名和密码,由于后面我使用了x-pack插件,默认用户名是elastic,密码是changeme。
启动Logstash:
|
1
|
$ nohup /usr/local/elk/logstash-5.4.1/bin/logstash -f /usr/local/elk/logstash-5.4.1/etc/logstash_index.conf &
|
8. 安装使用Elastcearch
|
1
|
$ tar xvf elasticsearch-5.4.1.tar.gz -C /usr/local/elk/
|
同Logstash同样,解压完就可使用了。可是注意使用elasticsearch不能使用root用户,因此这里我建立了一个elk用户,把elasticsearch.2.3.2目录及子目录的属主和属组改成elk用户了。
|
1
2
|
$ useradd elk
$ chown elk.elk -R /usr/local/elk/elasticsearch-5.4.1
|
修改elasticsearch配置文件,添加以下几行(注意开启network.host):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
$ cat /usr/local/elk/elasticsearch-5.4.1/config/elasticsearch.yml
# ---------------------------------- Cluster -----------------------------------
cluster.name: my-application
# ------------------------------------ Node ------------------------------------
node.name: node-1
#node.attr.rack: r1
# ----------------------------------- Paths ------------------------------------
path.data: /data/elasticsearch/
path.logs: /var/log/elasticsearch/
# ----------------------------------- Memory -----------------------------------
bootstrap.memory_lock: false
# ---------------------------------- Network -----------------------------------
network.host: 0.0.0.0
http.port: 9200
# --------------------------------- Discovery ----------------------------------
#discovery.zen.ping.unicast.hosts: ["host1", "host2"]
#discovery.zen.minimum_master_nodes: 3
# ---------------------------------- Gateway -----------------------------------
#gateway.recover_after_nodes: 3
<span class="pl-ent">indices.memory.index_buffer_size</span>: <span class="pl-s">15%</span>
|
指定文档和日志的存储路径以及监听的地址和端口。注意,应当保证有足够的磁盘空间来存储文档,不然ES将拒绝写入新数据。
建立elasticsearch须要的数据目录和日志目录。
|
1
2
3
4
|
$ mkdir -p /data/elasticsearch
$ mkdir -p /var/log/elasticsearch/
$ chown elk.elk /data/elasticsearch/ -R
$ chown elk.elk /var/log/elasticsearch/ -R
|
启动elasticsearch
|
1
|
$ nohup sudo -u elk /usr/local/elk/elasticsearch-5.4.1/bin/elasticsearch &
|
|
1
2
|
$ netstat -nplt | grep 9200
tcp6 0 0 :::9200 :::* LISTEN 5026/java
|
若是启动Elasticsearch出现如下错误提示:
错误1:max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
解决:打开/etc/security/limits.conf文件,添加如下两行代码并保存:
|
1
2
|
* soft nofile 65536 //*表示任意用户,这里是elasticsearch报的错,也能够直接填运行elk的用户;
* hard nofile 131072
|
错误2:memory locking requested for elasticsearch process but memory is not locked
解决:修改elasticsearch.yml文件
|
1
|
bootstrap.memory_lock : false
|
错误3:max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
解决:修改内核配置
|
1
2
|
$ sysctl -w vm.max_map_count=262144
$ sysctl -p
|
错误4:os::commit_memory(0x00000001006cd000, 77824, 0) failed; error=’Cannot allocate memory’ (errno=12)
解决:提供内存不足,增大主机内存或减少elasticsearch的内存大小
JVM默认配置参数:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
$ grep -v "^#" /usr/local/elk/elasticsearch-5.4.1/config/jvm.options | grep -v "^$"
-Xms1g
-Xmx1g
-XX:+UseConcMarkSweepGC
-XX:CMSInitiatingOccupancyFraction=75
-XX:+UseCMSInitiatingOccupancyOnly
-XX:+DisableExplicitGC
-XX:+AlwaysPreTouch
-server
-Xss1m
-Djava.awt.headless=true
-Dfile.encoding=UTF-8
-Djna.nosys=true
-Djdk.io.permissionsUseCanonicalPath=true
-Dio.netty.noUnsafe=true
-Dio.netty.noKeySetOptimization=true
-Dio.netty.recycler.maxCapacityPerThread=0
-Dlog4j.shutdownHookEnabled=false
-Dlog4j2.disable.jmx=true
-Dlog4j.skipJansi=true
-XX:+HeapDumpOnOutOfMemoryError
|
而后使用curl访问http://localhost:9200/?pretty
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
$ curl http://localhost:9200/?pretty
{
"name" : "node-1",
"cluster_name" : "my-application",
"cluster_uuid" : "Jf0qp0GqQ_W1MHN4pDtLdA",
"version" : {
"number" : "5.4.1",
"build_hash" : "2cfe0df",
"build_date" : "2017-05-29T16:05:51.443Z",
"build_snapshot" : false,
"lucene_version" : "6.5.1"
},
"tagline" : "You Know, for Search"
}
|
若是能够看到相似上面的返回,则说明ES单机运行没有问题了。
安装x-pack插件
x-pack是elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,虽然x-pack被设计为一个无缝的工做,可是你能够轻松的启用或者关闭一些功能。
|
1
|
$ /usr/local/elk/elasticsearch-5.4.1/bin/elasticsearch-plugin install x-pack
|
ES若是是一个集群,须要在每个节点上安装(包括kibana)。
用户和权限管理
x-pack安装以后有一个超级用户elastic ,其默认的密码是changeme,拥有对全部索引和数据的控制权,可使用该用户建立和修改其余用户,固然这里能够经过kibana的web界面进行用户和用户组的管理。
X-pack的elk之间的数据传递保护
安装完x-pack以后,咱们就能够用咱们所建立的用户来保护elk之间的数据传递
1:kibana<——>elasticsearch
在kibana.yml文件中配置:
|
1
2
|
elasticsearch.username: "elastic"
elasticsearch.password: "changeme"
|
2:logstash<——>elasticsearch
|
1
2
3
4
5
6
7
|
output {
elasticsearch {
hosts => ["http://localhost:9200"]
user => elastic
password => changeme
}
}
|
这里若是不进行相关配置的话,elk之间的数据传递就会出现问题。
安装Cerebro
Cerebro时一个第三方的Elasticsearch集群管理软件,能够方便地查看集群状态:
|
1
|
$ tar xvf cerebro-0.6.5.tgz -C /usr/local/elk/
|
下载地址(下载二进制版):https://github.com/lmenezes/cerebro
启动进程:
|
1
|
$ nohup /usr/local/elk/cerebro-0.6.5/bin/cerebro -Dhttp.port=1234 -Dhttp.address=0.0.0.0 &
|
能够在浏览器查看,须要输入elasticsearch的用户和密码(若是安装了x-pack)。
能够在管理后台修改模板,优化索引配置,例如:
安装head插件
因为elasticsearch 5.0版本变化较大,目前elasticsearch 5.0暂时不支持直接安装head插件,可是head做者提供了另外一种安装方法。推荐使用docker直接安装elasticsearch-head。
|
1
|
$ docker run -p 9100:9100 -d mobz/elasticsearch-head:5
|
Docker须要自行安装便可,另外因为elasticsearch安装了x-pack,因此elasticsearch有密码。head链接elasticsearch须要帐号密码。
|
1
|
http://localhost:9100/?auth_user=elastic&auth_password=changeme
|
8. 安装kibana
Kibana安装跟logstash、elasticsearch同样不须要安装,解压就能用。
|
1
|
$ tar xvf kibana-5.4.1-linux-x86_64.tar.gz -C /usr/local/elk
|
安装x-pack
|
1
2
3
4
5
6
7
8
9
10
|
$ /usr/local/elk/kibana-5.4.1-linux-x86_64/bin/kibana-plugin install x-pack
Attempting to transfer from x-pack
Attempting to transfer from https://artifacts.elastic.co/downloads/kibana-plugins/x-pack/x-pack-5.4.1.zip
Transferring 119988917 bytes....................
Transfer complete
Retrieving metadata from plugin archive
Extracting plugin archive
Extraction complete
Optimizing and caching browser bundles...
Plugin installation complete
|
调整配置文件,主要配置一下下面三个参数:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
$ cat /usr/local/elk/kibana-5.4.1-linux-x86_64/config/kibana.yml
server.port: 5601
server.host: "0.0.0.0"
server.basePath: ""
server.maxPayloadBytes: 1048576
elasticsearch.url: "http://127.0.0.1:9200"
elasticsearch.preserveHost: true
kibana.index: ".kibana"
elasticsearch.pingTimeout: 1500
elasticsearch.requestTimeout: 30000
elasticsearch.shardTimeout: 0
elasticsearch.startupTimeout: 5000
pid.file: /var/run/kibana.pid
logging.dest: stdout
logging.silent: false
logging.quiet: false
logging.verbose: false
ops.interval: 5000
i18n.defaultLocale: "en"
# elasticsearch.username: "user"
# elasticsearch.password: "pass"
|
启动Kibana
|
1
|
$ nohup /usr/local/elk/kibana-5.4.1-linux-x86_64/bin/kibana &
|
|
1
2
|
$ netstat -nplt | grep node
tcp 0 0 0.0.0.0:5601 0.0.0.0:* LISTEN 12471/node
|
而后打开浏览器输入IP加端口5601便可访问,界面以下(须要输入用户密码了):
默认帐号:elastic
默认密码:changeme
x-pack安装以后有一个超级用户elastic ,其默认的密码是changeme,拥有对全部索引和数据的控制权,可使用该用户建立和修改其余用户。
初次访问Kibana的时候,须要配置一个默认的ES索引,通常填写.monitoring*便可,这是由于在上述安装x-pack后,会自动开始监控Elasticsearch集群的状态,并将监控结果以.monitoring*命名索引文件。
添加logstash索引(Management->index Patterns->+)
看日志已经出来了。
ELK的搭建已经基本完成,接下来就是搭建elasticsearch集群,以及使用kibana了。
X-PACK使用
x-pack的监控功能
X-Pack监控组件使您可以经过Kibana轻松监控Elasticsearch,您能够实时查看集群运行情况和性能,以及分析过去的集群,索引和节点指标。 此外,您能够监控Kibana自己的性能。在群集上安装X-Pack时,监视代理会在每一个节点上运行,以从Elasticsearch收集索引指标。 经过在Kibana中安装X-Pack,您能够经过一组专用仪表板查看监视数据。
x-pack的Graph
https://www.elastic.co/guide/en/x-pack/current/graph-getting-started.html
Redis当队列配置
若是嫌使用kafka当队列太麻烦,能够把Kafka换成Redis便可,配置以下:
filebeat配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
filebeat.prospectors:
- input_type: log
paths:
- /var/log/*.log
- input_type: log
paths:
- /var/log/nginx/*.log
encoding: utf-8
document_type: my-nginx-log
scan_frequency: 10s
harvester_buffer_size: 16384
max_bytes: 10485760
tail_files: true
output.redis:
enabled: true
hosts: ["127.0.0.1:6379"]
port: 6379
key: filebeat
db: 0
worker: 1
timeout: 5s
max_retries: 3
|
logstash配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
input {
redis { #去redis队列取数据;
host => "localhost" #链接redis服务器;
port => 6379 #链接redis端口;
data_type => "list" #数据类型;
key => "filebeat" #队列名称;
}
}
output {
elasticsearch { #Logstash输出到elasticsearch;
hosts => ["localhost:9200"] #elasticsearch为本地;
index => "logstash-nginx-%{+YYYY.MM.dd}" #建立索引;
document_type => "nginx" #文档类型;
workers => 1 #进程数量;
flush_size => 20000
idle_flush_time => 10
user => elastic
password => changeme
}
}
|
查看Redis队列信息
|
1
2
3
4
5
|
$ redis-cli
127.0.0.1:6379> KEYS *
1) "filebeat"
127.0.0.1:6379> llen filebeat
(integer) 2
|
Redis要自行安装了。
Nginx日志输出为JSON格式
把Nginx日志的格式输出成JSON格式展现在Kibana面板,生产环境中基本都是这么使用。
配置Nginx
主要修改nginx的访问日志格式,这里定义成json格式,以便后面logstash更好的处理,建议生产环境也这样使用。在主配置/etc/nginx/nginx.conf文件中添加以下内容(注释其余日志格式):
|
1
2
3
4
5
6
7
8
9
10
11
12
|
log_format json '{"@timestamp":"$time_iso8601",'
'"host":"$server_addr",'
'"clientip":"$remote_addr",'
'"size":$body_bytes_sent,'
'"responsetime":$request_time,'
'"upstreamtime":"$upstream_response_time",'
'"upstreamhost":"$upstream_addr",'
'"http_host":"$host",'
'"url":"$uri",'
'"referer":"$http_referer",'
'"agent":"$http_user_agent",'
'"status":"$status"}';
|
在/etc/nginx/conf.d/default.conf中添加以下一行,定义nginx日志使用的格式,以及日志文件的位置。
|
1
|
access_log /var/log/nginx/access.log json;
|
而后从新启动nginx
|
1
2
|
$ nginx -s stop
$ nginx
|
配置Logstash
修改Indexer角色的配置文件:logstash_indexer.conf
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
$ cat /usr/local/logstash-2.3.2/etc/logstash_indexer.conf
input {
redis {
host => "localhost"
data_type => "list"
key => "filebeat"
type => "redis-input"
}
}
filter {
json {
source => "message"
remove_field => "message"
}
}
output {
elasticsearch {
hosts => ["localhost"]
index => "logstash-nginx-%{+YYYY.MM.dd}"
document_type => "nginx"
# template => "/usr/local/logstash-2.3.2/etc/elasticsearch-template.json"
workers => 1
flush_size => 20000
idle_flush_time => 10
}
}
|
删除elasticsearch老的数据
|
1
|
$ rm -fr /data/elasticsearch/*
|
而后重启logstash_indexer.conf和elastisearch便可,继续刷新Nginx日志。
打开Kibana,应该会让你从新建立索引,若是没有问题会出现JSON格式的日志。
参考:http://www.jianshu.com/p/f3658d267b5d
- 1. ELK技术实战-安装Elk 5.x平台
- 2. ELK 5.X 安装head 插件
- 3. 【ELK】ELK安装部署
- 4. 转载:ELK实战系列3-RabbitMQ+ELK搭建日志平台
- 5. ELK一台安装
- 6. ELK二台安装
- 7. ELK技术栈-Logstash实战案例
- 8. ELK Stack (1) —— ELK + Redis安装
- 9. ELK技术栈实践(一)
- 10. ELK安装配置步骤(实战二)
- 更多相关文章...
- • ionic 平台 - ionic 教程
- • XML 相关技术 - XML 教程
- • Composer 安装与使用
- • Docker容器实战(一) - 封神Server端技术
-
每一个你不满意的现在,都有一个你没有努力的曾经。