elk快照备份

elk快照备份

一、需求引入

　　话说，生产用的elk部署在一台2核8G的服务器上，内存使用率经常到95%左右。而且之前因为有多个logstash配置文件来收集日志，有从tcp输入（开发写的程序，实时写入，给运营的人分析），也有后来我加的从nginx或者tomcat日志文件作为logstash输入的，filebeat去采集（就是配置文件中的input部分配置）。

　　然后问题就出来了，巅峰时刻同时运行着tcp输入的有5个，filebeat采集的有2~3个。经常导致elk崩溃，如下图：

 　　tcp采集日志输送到logstash这个方式我还没搞清楚，是我来公司前就有这玩意的，开发也没给过我细说，所以不知道整个流程是怎么样的，只知道要是elk崩溃，从崩溃那一刻起到人为给它修复这段时间的日志是会丢失的！！！还是filebeat采集好，一般都会全量给到logstash采集的，只要日志文件没删。。。

　　刚刚已经提到过，服务器配置渣渣，这个改变不了的事实，然后我没尝试过调优（这个是我的问题），而且还同时采集这么多日志文件，引用一句话：两害相权取其轻。我只能跟运营同事商量好，只保留她每天必须要看、要分析的日志，然后其他停掉，最后只留了一个tcp和一个filebeat采集tomcat日志。后来elk就没有莫名其妙挂掉了，当然这不是权宜之计，所以以后等对elk比较熟悉还是要调优滴！！然后还是有点心惊，哪天挂了，想到运营的人因为看不到日志会各种“￥#%&@#”……还是加个索引备份好了~~必要时刻恢复还原到内网的elk上给他们看

二、需求实现

1、创建备份文件路径

　　创建一个保存数据备份文件的路径，该路径要与elasticsearch.yml中配置的备份仓库路径一致，并且该文件夹路径授予最高权限

mkdir /backup/elkdata -p
chown ljy.ljy -R /backup/elkdata

2、创建备份仓库（后面脚本用到）

1】配置文件添加仓库路径

（1）cd /home/ljy/elk5.2/elasticsearch-5.2.1/

（2）vim config/elasticsearch.yml 添加： path.repo: /backup/elkdata

 重启elasticsearch服务生效

kill es进程号
/home/ljy/elk5.2/elasticsearch-5.2.1/bin/elasticsearch >> nohup.out 2>&1 &

2】创建备份仓库：

（1）注册，运行成功是会返回一个“acknowledged：true”的信息的

curl -XPUT 'es服务器地址:es端口/_snapshot/elkbackup' -d '{
"type": "fs",
"settings": { "location": "/backup/elkdata"}
}'

 

（2）查看快照存储库

curl -XGET es服务器地址:es端口/_snapshot/elkbackup?pretty

或者运行：

　curl -XGET es服务器地址:es端口/_snapshot/_all?pretty

 3、备份脚本说明

　　elk数据备份实际上是快照备份，备份脚本主要由两个文件组成

　　参考链接（感谢大哥热心分享 ^_^）：https://www.twblogs.net/a/5d008b7dbd9eee14644f72b0

　　（1）配置信息文件：elasticsearch_backup_config.txt

　　记录（没说明的请看参考链接）：

　　（a）es的ip地址和监听端口； （b）快照存储库名字（备份仓库）：warehouseName； （c）备份保留backupsFileDay天的记录

　　（d）backupBeforeDelete；  　（e）要备份的索引名称indexNames　　（f）curl绝对路径

　　

　　（2）主备份脚本：snapbak.sh

脚本没有语法错误的，不知道为啥成绿色了 = =

#!/bin/bash

#db_backups_conf.txt文件路径
db_backups_conf="/home/ljy/scripts/elasticsearch_backup_config.txt"

base_path='/backup/elkdata'
mv_elk_bath='/backup/elkmvdata'

#本机只保留最近3天快照
find ${mv_elk_bath}/ -type f -mtime +2 -exec rm -rf {} ; > /dev/null 2>&1

##先把原来的挪走
# 获取前一天的：年，月，日
y=`date +"%Y" -d "-1day"`
ym=`date +"%Y%m" -d "-1day"`
d=`date "+%d" -d "-1day"`

if [ ! -d ${mv_elk_bath}/${y}/${ym}/${d} ];
then
    mkdir -p ${mv_elk_bath}/${y}/${ym}/${d}
    scp -rp ${base_path}/* ${mv_elk_bath}/${y}/${ym}/${d}/
fi


#判断配置信息文件是否存在
if [ -f "${db_backups_conf}" ];then

        echo $(date +'%Y-%m-%d %H:%M:%S')" 发现备份文件配置信息文件存在"
 
        #获取等号前内容，作为map中的Key值
        dbArrOne=($(awk -F'[=]' '{print $1}' ${db_backups_conf} ))

        #获取等号后内容，作为map中的value值
        dbArrTwo=($(awk -F'[=]' '{print $2}' ${db_backups_conf}))
 
        #创建一个空map
        declare -A map=()

        #通过循环，将db_backups_conf配置文件中的信息存储在map中
        for((i=0;i<${#dbArrOne[@]};i++))
        do
                map[${dbArrOne[i]}]=${dbArrTwo[i]}
        done
 
        #获取要备份的索引名称的字符串
        indexNames=${map["indexNames"]}


        #获取默认的字符串分隔符
        old_ifs="$IFS"

        #设置字符串分隔符为逗号
        IFS=","
 
        #将要备份的索引名称value值的字符串进行分隔，获取一个数组
        indexNamesArr=($indexNames)

 
        #将字符串的分隔符重新设置为默认的分隔符
        IFS="$old_ifs"

        #获取当前年月日
        saveday=$(date +%Y%m%d)
 
        #获取超出备份天数的年月日
        delday=$(date -d ${map["backupsFileDay"]}' days ago' +%Y%m%d)


        #执行命令，备份es数据
        {
           #检测es访问地址是否有效
           esStatus=$(curl -s -m 5 -IL http://${map["ipAddress"]}:${map["portNumber"]}|grep 200)
           if [ "$esStatus" != "" ];then
             echo $(date +'%Y-%m-%d %H:%M:%S')" es地址访问正常：http://"${map["ipAddress"]}":"${map["portNumber"]}",开始备份数据"

             #遍历备份索引名称，逐个删除旧备份，重新全量备份
             for indexName in ${indexNamesArr[@]};
             do   
                echo $indexName;
                ##逐个判断索引是否存在
                indexStatus=$(curl -s -m 5 -IL http://${map["ipAddress"]}:${map["portNumber"]}/${indexName}|grep 200)
                if [ "$indexStatus" != "" ];then 
                #先备份，然后再删除旧备份
                   if [ ${map["backupBeforeDelete"]} == "yes" ];then
                       echo $(date +'%Y-%m-%d %H:%M:%S')" 开始同步备份索引："${indexName}_backup_${saveday}  
                       curl -XPUT '127.0.0.1:9500/_snapshot/elk_backup/'${indexName}'_backup_'${saveday}'?wait_for_completion=true' -d '{"indices":"'${indexName}'"}'
                       echo $(date +'%Y-%m-%d %H:%M:%S')" 完成同步备份索引："${indexName}_backup_${saveday}

                       #删除旧备份                       
                       echo $(date +'%Y-%m-%d %H:%M:%S')" 开始删除备份索引："${indexName}_backup_${delday}
                       curl -XDELETE '127.0.0.1:9500/_snapshot/elk_backup/'${indexName}'_backup_'${delday}''
                       echo $(date +'%Y-%m-%d %H:%M:%S')" 完成删除备份索引："${indexName}_backup_${delday}     
                   fi
                else
                   echo $(date +'%Y-%m-%d %H:%M:%S')" es中不能存在索引："${indexName}

                fi                                 
             done
             fi 
        }
else
     echo "文件不存在"
fi

（3）事实上，线上还有一个备份到nas上的脚本

分每天和每月（每月仅备份1个）

#/bin/bash
#Date: 2020-08-02
#Script Name: elk_logs_bak
#备份elk快照数据到nas

# 日志位置
base_path='/backup/elkdata'

nas_bak='/nasdir/elk_bak/day_bak'
# 获取当前年信息和月信息
ym=$(date +"%Y%m")
dy=`date "+%Y%m%d"`
d=`date "+%d"`

#按年月创建文件夹
if [ ! -d ${nas_bak}/${ym}/${d} ];
then
   sudo mkdir -p ${nas_bak}/${ym}/${d}
fi

scp -rp ${base_path}/* ${nas_bak}/${ym}/${d}/

#每月备份最后一天数据
nasmonth_bak='/nasdir/elk_bak/month_bak'
lastday=`date -d"$(date -d"1 month" +"%Y%m01") -1 day" +"%d"`
thisday=`date +"%d"`
#保留一个月的最后一天日志
if [ $thisday == lastday ];
then
   mkdir -p ${nasmonth_bak}/${ym}/
   scp -rp ${nas_bak}/${ym}/${d}/* ${nasmonth_bak}/${ym}/
fi


find ${nas_bak}/${ym}/ -type f -mtime +30 -exec rm -rf {} ; > /dev/null 2>&1