就单纯从ELK上来讨论,其实是三个组件的缩写,即:ElasticSearch、Logstash、Kibana,当然结合实际业务,也可以把ELK发展到ELKF,也就是多了一个Filebeat;这里的Filebeat只是众多beat中较为出名、用的最多的一个,还有很多beat可以实现不同文件、类型的日志采集。
Elasticsearch
分布式搜索和分析引擎。具有高可伸缩、高可靠和易管理等特点。基于 Apache Lucene 构建,能对大容量的数据进行接近实时的存储、搜索和分析操作。
Logstash
日志收集器。搜集各种数据源,并对数据进行过滤、分析、格式化等操作,然后存储到 Elasticsearch。
Kibana
数据分析和可视化平台。与 Elasticsearch 配合使用,对其中数据进行搜索、分析、图表展示。
Filebeat
一个轻量级开源日志文件数据搜集器,Filebeat 读取文件内容,发送到 Logstash 进行解析后进入 Elasticsearch,或直接发送到 Elasticsearch 进行集中式存储和分析。
架构介绍
基于ELK的使用方式,Logstash 作为日志搜集器,Elasticsearch 进行日志存储,Kibana作为日志呈现,大致以下几种架构。
- 架构一
架构二
架构三
架构四
Beats 集合了多种单一用途数据采集器,每款采集器都是以用于转发数据的通用库 libbeat 为基石,beat 所占的系统CPU和内存几乎可以忽略不计,libbeat平台还提供了检测机制,当下游服务器负载高或网络拥堵时,会自动降低发生速率。下面的例子我们使用 Filebeat 来对文件日志的收集,其他的 beat 可以忽略。
架构四相比于架构二,如果将每台服务器上部署的 Logstash 都换成对应的 Beats ,那就是更理想的架构了。
不管怎么样,对于日志解析和过滤的 Logstash 资源消耗还是比较高的,所以如果需要,可以将 Logstash 的部署使用分布式,Elasticsearch 的部署使用集群来强化整个日志系统。
转载于: https://mp.weixin.qq.com/s?subscene=23&__biz=MzU3MTUxOTIwMw==&mid=2247484837&idx=1&sn=7f0de3eeea3fc6ee299587704f5c44cd&chksm=fcdfbc29cba8353fd894582da7ae2c93b5920c4dbb1e197b011a817dc0962e317842a32d5560&scene=7&key=5ea26212a5cd15891be4fdf15216ffd079717165e9e3e989d51726b6571985c13168df15537822de411fa02ce25171be33150a939901564fd28512cd14f35a47b112e58be9d0c2b7c5164cb1b9f9ed7f7bf158e1e77a7bd55bd18035a4d50c3c32d5dfa297605b97547fdbed906d79c7a93ff3b4e28c67ac463e57fcde47f4aa&ascene=0&uin=MTA5MTc2NDg4NA%3D%3D&devicetype=Windows+7+x64&version=63000011&lang=zh_CN&exportkey=AQGVUGZhVEp0YYnsAmcs5Bk%3D&pass_ticket=irzP86a7YzJp5K5TuVkPByd4VOsDelQvRJDy7sf7KGB1Zr6oEDkh9iS%2FC%2FSukwev&wx_header=0&fontgear=2
收集日志的agent采用轻量的filebeat,并且中间使用redis进行数据写入的缓冲,整体架构如下图
主机规划:
-
192.168.2.141 :部署应用 nginx, filebeat
-
192.168.2.142 :部署redis
-
192.168.2.143 :部署logstash
-
192.168.2.144 :部署elasticsearch
-
192.168.2.145 :部署kibana
部署nginx与filebeat
-
安装nginx
-
[root@nginx-filebeat ~]# yum install nginx -y
-
安装filebeat
-
[root@nginx-filebeat sowft]# yum install filebeat-5.6.10-x86_64.rpm -y
-
查看filebeat安装后的相关路径
-
[root@nginx-filebeat sowft]# rpm -ql filebeat
-
配置filebeat,将日志输出到redis
在
/etc/filebeat/filebeat.full.yml
文件中有对redis配置的内容,将里面的对应内容复制添加到/etc/filebeat/filebeat.yml
中,如下配置
-
#------------------------------- Redis output ----------------------------------
-
output.redis:
-
# Boolean flag to enable or disable the output module.
-
enabled: true
-
# The list of Redis servers to connect to. If load balancing is enabled, the
-
# events are distributed to the servers in the list. If one server becomes
-
# unreachable, the events are distributed to the reachable servers only.
-
hosts: ["192.168.2.142:6379"]
-
# The Redis port to use if hosts does not contain a port number. The default
-
# is 6379.
-
port: 6379
-
# The name of the Redis list or channel the events are published to. The
-
# default is filebeat.
-
key: filebeat
-
# The password to authenticate with. The default is no authentication.
-
#password:
-
# The Redis database number where the events are published. The default is 0.
-
db: 0
-
# The Redis data type to use for publishing events. If the data type is list,
-
# the Redis RPUSH command is used. If the data type is channel, the Redis
-
# PUBLISH command is used. The default value is list.
-
datatype: list
部署redis
-
[root@redis-server ~]# yum install reids -y
-
修改监听端口,其他设置可以暂不修改
-
bind 0.0.0.0
安装logstash
-
安装jdk
-
yum install java-1.8.0-openjdk-devel.x86_64 -y
-
安装logstash
-
[root@logstash logstash]# yum localinstall logstash-5.6.10.rpm -y
-
将logstash指令加入环境变量
-
[root@logstash ~]# vim /etc/profile.d/logstash.s
-
export PATH=/usr/share/logstash/bin:$PATH
-
[root@logstash ~]# source /etc/profile.d/logstash.sh
-
修改vim /etc/logstash/jvm.options文件
-
-Xms1g
-
-Xmx1g
-
#两个值保持一样,如果不一样logstash无法传输文档到ESserver
-
测试logstash正确性
[root@logstash ~]# cd /etc/logstash/conf.d
[root@logstash conf.d]# vim test.conf
input
{
stdin{}
}
output
{
stdout{}
}
-
执行测试指令
-
[root@logstash conf.d]# logstash -f ./test.conf -t
-
Configuration OK
logstash上的配置文件暂时可以不配置,等部署完elasticsearch后在配置logstash的过滤规则,这里只做正确性测试即可
部署elasticsearch
-
安装jdk
-
[root@elastic ~]# yum install java-1.8.0-openjdk-devel.x86_64 -y
-
安装elasticsearch
-
[root@elastic opt]# yum install elasticsearch-5.6.10.rpm -y
-
修改配置
-
[root@elastic ~]# vim /etc/elasticsearch/elasticsearch.yml
-
cluster.name: my-application
-
node.name: node-1
-
path.data: /elk/data
-
path.logs: /elk/logs
-
network.host: 192.168.2.144
-
http.port: 9200
-
创建日志和数据目录
-
[root@elastic ~]# mkdir -p /elk/{data,logs}
-
将目录属主改为elasticsearch用户
-
[root@elastic ~]# chown -R elasticsearch.elasticsearch /elk/
-
启动服务
-
[root@elastic ~]# systemctl start elasticsearch
在nginx应创建测试数据访问
-
创建测试页面
-
[root@nginx-filebeat html]# for i in {1..150};do echo test$i > test$i.html;done
-
模拟不同地址访问生成日志
-
[root@nginx-filebeat ~]#
while true;
do
ip=$[$RANDOM%223+1];
curl --header "X-Forwarded-For: $ip.33.22.100" http://192.168.2.141/test$ip.html;
sleep 2;
done
以上的配置可以自动测试访问nginx,并生成不同的ip地址段
配置logstash过滤规则
-
input {
-
# file {
-
#
-
# start_position => "end"
-
# path => ["/var/log/nginx/access.log"]
-
#
-
# }
-
# 以上file段配置是针对logstash作为agent端收集日志的场景使用,从本地文件输入
-
redis {
-
host => "192.168.2.142"
-
port => "6379"
-
key => "filebeat" #这里的key要与filebeat.yml中定义的key相同
-
data_type => "list"
-
# threads => "5"
-
db => "0"
-
}
-
}
-
filter {
-
grok {
-
match => { "message" => "%{HTTPD_COMBINEDLOG} "%{DATA:realclient}"" }
-
remove_field => "message"
-
}
-
# "%{DATA:realclient}" 可以记录nginx的真实客户端地址
-
date {
-
match => [ "timestamp","dd/MMM/YYYY:H:m:s Z" ]
-
remove_field => "timestamp"
-
}
-
}
-
output {
-
# elasticsearch { #输出到elasticsearch服务器,先输出到本地终端查看,没有问题后输出到elasticsearch
-
# hosts => "192.168.2.144:9200"
-
# index => "logstash-%{+YYYY.MM.dd}"
-
# document_type => "nginx_logs"
-
# }
-
stdout { #输出到屏幕测试
-
codec => rubydebug
-
}
-
}
-
以上的logstash的日志输出格式如下:
-
{
-
"request" => "/test1.html",
-
"agent" => ""curl/7.29.0"",
-
"offset" => 11699,
-
"auth" => "-",
-
"ident" => "-",
-
"input_type" => "log",
-
"verb" => "GET",
-
"source" => "/var/log/nginx/access.log",
-
"type" => "log",
-
"referrer" => ""-"",
-
"@timestamp" => 2018-09-27T08:35:35.000Z,
-
"realclient" => "1.33.22.100",
-
"response" => "200",
-
"bytes" => "6",
-
"clientip" => "192.168.2.141",
-
"beat" => {
-
"name" => "nginx-filebeat",
-
"hostname" => "nginx-filebeat",
-
"version" => "5.6.10"
-
},
-
"@version" => "1",
-
"httpversion" => "1.1"
-
}
-
把配置文件中的配置output输出对象改为输出到elasticsearch
-
output {
-
elasticsearch {
-
hosts => "192.168.2.144:9200"
-
index => "logstash-%{+YYYY.MM.dd}"
-
document_type => "nginx_logs"
-
}
-
# stdout { #输出到屏幕测试
-
# codec => rubydebug
-
# }
-
}
注意:/etc/logstash/conf.d/ 目录下的所有文件都会被加载,不仅仅是以.conf结尾的文件,所以正常情况下该目录只存在一个确定使用的配置文件,其他文件都不要放在这
-
启动logstash服务
-
systemctl start logstash
-
查看elasticsearch服务生成的数据文件,实时访问服务,看看数据文件大小是否变化
-
[root@logstash ~]# curl -XGET 192.168.2.144:9200/_cat/indices
-
yellow open logstash-2018.09.27 vOhS-Hq7RG-oAYTUJng91Q 5 1 93 0 560.7kb 560.7kb
-
[root@logstash ~]# curl -XGET 192.168.2.144:9200/_cat/indices
-
yellow open logstash-2018.09.27 vOhS-Hq7RG-oAYTUJng91Q 5 1 106 0 651.2kb 651.2kb
-
#最开头以yellow开头说明配置项有点小问题。
-
#这个地方以红黄蓝颜色标记数据传输状态。
-
#黄色是缺失索引文件副本,ESserver是以集群的方式工作的,但这里是单节点
部署配置kibana
-
[root@kibana opt]# yum localinstall kibana-5.6.1-x86_64.rpm -y
-
配置
-
server.port: 5601
-
server.host: "0.0.0.0"
-
server.name: "kibana"
-
elasticsearch.url: "http://192.168.2.144:9200"
-
启动
-
[root@kibana ~]# systemctl start kibana
登录Kibana只需在浏览器数据kibana服务器地址+5601端口即可,经过访问测试,以上配置登录kibana调取日志访问成功
配置用户的ip归属地
ip地址的归属地查询需要使用互联网上的地图的解析库,地图的解析库会定期地更新,下载到服务器本地,解压,在logstash的配置文件中指定解压后的
.mmdb
后缀的文件路径
地图解析库下载地址:https://dev.maxmind.com/geoip/geoip2/geolite2/
-
logstash的配置文件添加 geoip段,最终配置段如下:
-