ELK日志分析方案

时间 2019-11-16

标签 elk 日志分析方案繁體版

原文原文链接

针对公司项目微服务化，随着项目及服务器的不断增多，决定采用ELK（Elasticsearch+Logstash+Kibana）日志分析平台进行微服务日志分析。redis

1.ELK总体方案

1.1 ELK架构图

1.2 ELK工做流程

1.在微服务服务器上部署Logstash，做为Shipper的角色，对微服务日志文件数据进行数据采集，将采集到的数据输出到Redis消息队列。数据库

2.在另一台服务器上部署Logstash，做为Indexer的角色，从Redis消息队列中读取数据（能够对数据进行处理），输出到Elasticsearch-Master主节点。bash

3.Elasticsearch-Master主节点内部与副节点同步数据。（Elasticsearch集群建议3个服务以上奇数）服务器

4.Kibana部署一台服务器内，读取Elasticsearch集群数据，展现Web查询页面，提供数据展现。架构

2.消息队列选型

2.1 Redis

在我这个最终方案中，选择了使用Redis做为消息队列进行缓冲，下降Elasticsearch压力，起到削峰做用，主要缘由仍是因为公司考虑成本问题，日志收集也是只针对咱们单个项目组来使用，因此选择了公司如今就已经有的Redis集群进行复用。elasticsearch

2.2 Kafka

最初方案中，在消息队列上选择的是Kafka，毕竟Kafka天生就是作为消息队列的，具体两者的毕竟在这里我就很少说了，百度上一大堆。微服务

3.安装

这里就不在这里写出来了，提供三个地址仅供参考：ui

Linux安装Logstash
Linux安装Kibana
Linux安装Elasticsearchspa

4.Logstash配置

4.1 log2redis

从日志文件读取到redis日志

#从日志文件读取数据
#file{}
#type 日志类型
#path 日志位置
# 能够直接读取文件（a.log）
# 能够全部后缀为log的日志（*.log）
# 读取文件夹下全部文件（路径）
#start_position 文件读取开始位置 （beginning）
#sincedb_path 从什么位置读取（设置为/dev/null自动从开始位置读取）
input {
     file {
        type => "log"
        path => ["/root/logs/info.log"]
        start_position => "beginning"
        sincedb_path => "/dev/null"
     }
}
#根据时间戳分隔日志
#grok 区分日志中得字段
filter {
     multiline {
       pattern => "^%{TIMESTAMP_ISO8601} "
       negate => true
       what => previous
     }
     #定义数据的格式
     grok {
       match => { "message" => "%{DATA:datetime} - %{DATA:logLevel} - %{DATA:serviceName} - %{DATA:ip} - %{DATA:pid} - %{DATA:thread} - %{DATA-msg}"}
     }
}
#输出数据到Redis
#host Redis主机地址
#port Redis端口
#db Redis数据库编号
#data_type Redis数据类型
#key Redis的key
#password Redis密码
output {
    redis {
        host => "ip"
        port => "6379"
        db => "6"
        data_type => "list"
        password => "password"
        key => "test_log"
    }
}
复制代码

4.2 redis2es

从redis读取到es

#从redis内读取数据
#host Redis主机ip
#port Redis端口
#data_type Redis数据类型
#batch_count
#password Redis密码
#key Redis读取Key
input {
    redis {
        host => "ip"
        port => "6379"
        db => "6"
        data_type => "list"
        password => "password"
        key => "test_log"
    }
}
#数据的输出咱们指向了es集群
#hosts Elasticsearch主机地址
#index Elasticsearch索引名称
output {
  elasticsearch {
        hosts => "ip:9200"
        index => "logs-%{+YYYY.MM.dd}"
  }
}
复制代码

5 其余

其余剩下的就是Es集群和Kibana了，这两个没什么特别值得注意的地方，上网随便搜，一大堆文章。

以上仅仅表明本人项目使用方案，不必定完美适合全部场景，仅供参考。