缘起
在微服务开发过程中,一般都会利用多台服务器做分布式部署,如何能够把分散在各个服务器中的日志归集起来做分析处理,是一个微服务服务需要考虑的一个因素。
搭建一个日志系统
搭建一个日志系统需要考虑一下一些因素:
- 利用什么技术,是自己实现还利用现成的组件
- 日志需要定义统一的格式
- 日志需要拥有一个锚点来进行全局跟踪
第一个问题,针对我们小公司来说,基本没有自己的研发能力,绝对是选用第三方开源的组件了。ELK配置比较简单,有现成的UI界面,容易检索日志信息,是首选。
第二个问题,利用log4j2定义好统一的日志格式,利用logstash过滤日志内容。
第三个问题,全局跟踪的ID有几种生产方式,一种是利用UUID或者生成随机数,一种是利用数据库来生成sequence number,还可以通过自定义一个id生成服务来获取。考虑到自身服务的需要,这里选用生成随机数来实现。
日志系统架构
从左边看起,每一台webserver上都会部署一个logstash-agent,它的作用是用类似tailf的方式监听日志文件,然后把新添加的日志发送到redis队列里面,logstash-indexer负责从redis相应的队列里面取出日志,对日志进进行加工后输出到elasticsearch中,elasticsearch会根据要求对日志进行索引归集,最后用户可以通过kibana来查看和分析日志。
开始搭建日志系统
准备工作
- 安装JDK8
- 安装Redis2.8
这里不涉及怎样安装JDK和Redis,请自行查阅资料
使用logstash2.3.1, elasticsearch2.3.1, kibana2.3.1
首先去ELK官网下载相应的压缩包
https://www.elastic.co/downloads
在webserver上安装logstash-agent
1.解压 tar -zxvf logstash2.3.1
2.检验安装是否成功 bin/logstash -e "input{stdin{}}output{stdout{}}",然后在终端输入hello,看看有没有内容返回 
3.编写配置文件logstash_agent.conf
在logstash安装目录下新建conf文件夹,在里面新建配置文件logstash_agent.conf
input { file { type => "customer_service" #需要收集的日志文件 path => ["/home/java/logs/cust/customer-service-*.log"] tags => ["customer-service", "log4j2"] # codec => multiline { # pattern => "^%{TIMESTAMP_ISO8601}" negate => true what => "previous" } } } output { redis { host => "192.168.235.195" data_type => "list" key => "logstash:redis:customer" } }
4.后台启动 nohup ./bin/logstash -f conf/logstash_agent.conf &
在日志server上安装elasticsearch
1.解压tar -zxvf elasticsearch-2.3.1.tar.gz
2.修改安装目录下的配置文件config/elasticsearch.yml
把network.host字段给反注释掉,把地址改为0.0.0.0(官方并没明确说要去改这配置,默认配置应该就可以了,不过实测的时候发现如果不做这修改,elasticsearch访问不了) 
3.后台启动elasticsearch nohup ./bin/elasticsearch &
在日志server上安装logstash-indexer
与在webserver上安装logstash-agent一节基本相同,只是配置文件不一样,这里使用logstash-indexer.conf
input { redis { host => "localhost" #redis地址 data_type => "list" key => "logstash:redis:customer" type => "redis-input" } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:date} [(?<thread_name>.+?)] (?<log_level>w+)s*(?<content>.*)" } } date { match => ["timestamp", "dd/MMM/YYYY:HH:mm:ss Z"] } } output { if[type] == "customer_service" { elasticsearch { #embedded => false #protocol => "http" hosts => "localhost:9200" index => "customer-%{+YYYY.MM.dd}" } }else if[type] == "其他类型" { elasticsearch { #embedded => false #protocol => "http" hosts => "localhost:9200" index => "其他类型索引名字-%{+YYYY.MM.dd}" } }else { //做其他处理 } stdout{ #输出到标准输出,可以去掉 } }
启动logstash-indexer nohup ./bin/logstash -f conf/logstash-indexer.conf &
在日志server上安装kibana
1.解压tar -zxvf kibana-4.5.0-linux-x64.gz
2.后台启动kibana nohup ./bin/kibana &
这里没有特别去配置kibana要访问的elasticsearch地址,默认它会找本地的,如果需要,可以到conf/kibana.yml修改
配置log4j2的日志格式
<PatternLayout pattern="%d{ISO8601} %t %level %msg%n"/>
访问kibana主页
1.打开kibana主页http://your-kibana-ip:5601/
2.输入索引customer-*,并点击create 
3.在Discover页面观察日志
ToDo:
需要了解elasticsearch日志存放在哪里,定期清理日志
清理Elasticsearch索引
索引放久了需要清理,清理所以可以使用Elasticsearch的API。
例如我需要删除某个索引2016年5月份的所有索引,可以使用下面的命令:
curl -XDELETE 'http://localhost:9200/customer-2016.05.*'
更多API可以查阅Elastic官网
https://www.elastic.co/guide/en/elasticsearch/reference/current/docs-delete.html
参考资料
http://www.cnblogs.com/yjf512/p/4199105.html
http://www.cnblogs.com/xing901022/p/4805586.html
https://github.com/chenryn/logstash-best-practice-cn/blob/master/codec/multiline.md
http://www.open-open.com/lib/view/open1451801542042.html
转自
用ELK搭建简单的日志收集分析系统
http://m.blog.csdn.net/lzw_2006/article/details/51280058