安科网

ELK日志分析系统(理论+部署)

李玉志

李玉志

2019-12-25

关注 关注
ELK日志分析系统简介

日志服务器

  • 提高安全性
  • 集中存放日志
  • 缺陷
    • 对日志的分析困难

ELK日志分析系统

  • Elasticsearch
  • Logstash
  • Kibana

日志处理步骤

  • 将日志进行集中化管理
  • 将日志格式化( Logstash )并输出到Elasticsearch
  • 对格式化后的数据进行索弓|和存储( Elasticsearch )
  • 前端数据的展示( Kibana )

Elasticsearch介绍

Elasticsearch的概述

  • 提供了一个分布式多用户能力的全文搜索弓|擎

Elasticsearch的概念

  • 接近实时
  • 集群
  • 节点
  • 索引
    • 索引(库)->类型(表)->文档(记录)
  • 分片和副本

Logstash介绍

Logstash介绍

  • 一款强大的数据处理工具,可以实现数据传输、格式处理、格式化输出
  • 数据输入、数据加工(如过滤,改写等)以及数据输出

LogStash主要组件

  • Shipper
  • Indexer
  • Broker
  • Search and Storage
  • Web Interface

Kibana介绍

Kibana介绍

  • 一个针对Elasticsearch的开源分析及可视化平台
  • 搜索、查看存储在Elasticsearch索弓|中的数据
  • 通过各种图表进行高级数据分析及展示

Kibana主要功能

  • Elasticsearch无缝之 集成
  • 整合数据,复杂数据分析
  • 让更多团队成员受益
  • 接口灵活,分享更容易
  • 配置简单,可视化多数据源
  • 简单数据导出

部署ELK日志分析系统

实验环境

  • node1节点服务器IP地址:192.168.80.128
  • node2节点服务器IP地址:192.168.80.129
  • apache服务器IP地址:192.168.80.800

在node1,node2上安装elasticsearch

[ ~]# vim /etc/hosts         //配置解析名
192.168.80.128 node1
192.168.80.129 node2
[ ~]# java -version         //查看是Java是否安装
[ ~]# mount.cifs //192.168.80.2/LNMP-C7 /mnt/
Password for //192.168.80.2/LNMP-C7:  
[ mnt]# cd /mnt/elk/
[ elk]# rpm -ivh elasticsearch-5.5.0.rpm         //安装
[ elk]# systemctl daemon-reload         //重载守护进程
[ elk]# systemctl enable elasticsearch.service        //开机自动启动
[ elk]# cd /etc/elasticsearch/
[ elasticsearch]# cp elasticsearch.yml elasticsearch.yml.bak      //备份
[ elasticsearch]# vim elasticsearch.yml        //修改配置文件
cluster.name: my-elk-cluster       //集群名
node.name: node1                   //节点名,第二个节点为node2
path.data: /data/elk_data          //数据存放位置
path.logs: /var/log/elasticsearch/  //日志存放位置
bootstrap.memory_lock: false         //不在启动时锁定内存
network.host: 0.0.0.0                //提供服务绑定的IP地址,为所有地址
http.port: 9200  ##端口号为9200
discovery.zen.ping.unicast.hosts: ["node1", "node2"]         //集群发现通过单播实现
[ elasticsearch]# mkdir -p /data/elk_data           //创建数据存放点
[ elasticsearch]# chown elasticsearch.elasticsearch /data/elk_data/     //给权限
[ elasticsearch]# systemctl start elasticsearch.service        //开启服务
[ elasticsearch]# netstat -ntap | grep 9200         //查看开启情况
tcp6     0    0 :::9200        :::*          LISTEN      2166/java

ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)

在node1,node2上安装node组件依赖包

[ elasticsearch]# yum install gcc gcc-c++ make -y       //安装编译工具
[ elasticsearch]# cd /mnt/elk/
[ elk]# tar zxvf node-v8.2.1.tar.gz -C /opt/             //解压插件
[ elk]# cd /opt/node-v8.2.1/
[ node-v8.2.1]# ./configure                            //配置
[ node-v8.2.1]# make && make install                   //编译安装

在node1,node2上安装phantomjs前端框架

[ elk]# tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/     //解压到/usr/local/src下
[ elk]# cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin/
[ bin]# cp phantomjs /usr/local/bin/                //编译系统识别

在node1,node2上安装elasticsearch-head数据可视化

[ bin]# cd /mnt/elk/
[ elk]# tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/       //解压
[ elk]# cd /usr/local/src/elasticsearch-head/
[ elasticsearch-head]# npm install               //安装

修改配置文件

[ elasticsearch-head]# vim /etc/elasticsearch/elasticsearch.yml     //末行加入
http.cors.enabled: true                  //开启跨域访问支持,默认为false
http.cors.allow-origin: "*"              //跨域访问允许的域名地址
[ elasticsearch-head]# systemctl restart elasticsearch.service       //重启
[ elasticsearch-head]# cd /usr/local/src/elasticsearch-head/
[ elasticsearch-head]# npm run start &                         //后台运行数据可视化服务
[1] 82515
[ elasticsearch-head]# netstat -ntap | grep 9100
tcp        0      0 0.0.0.0:9100    0.0.0.0:*      LISTEN      82525/grunt  
[ elasticsearch-head]# netstat -ntap | grep 9200
tcp6       0    0 :::9200              :::*        LISTEN      82981/java

在浏览器上查看健康值状态

ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)

在node1上创建索引

ELK日志分析系统(理论+部署)ELK日志分析系统(理论+部署)

创建索引信息

[ ~]# curl -XPUT ‘localhost:9200/index-demo/test/1?pretty&pretty‘ -H ‘content-Type: application/json‘ -d ‘{"user":"zhangsan","mesg":"hello world"}‘

在浏览器中查看

ELK日志分析系统(理论+部署)

在Apache服务器上安装logstash,多elasticsearch进行对接

[ ~]# yum install httpd -y         //安装服务
[ ~]# systemctl start httpd.service        //启动服务
[ ~]# java -version
[ ~]# mount.cifs //192.168.100.8/LNMP-C7 /mnt/       //挂载
Password for //192.168.100.8/LNMP-C7:
[ ~]# cd /mnt/elk/
[ elk]# rpm -ivh logstash-5.5.1.rpm        //安装logstash
[ elk]# systemctl start logstash.service 
[ elk]# systemctl enable logstash.service   //设置开机自启
[ elk]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/      //便于系统识别
[ elk]# logstash -e ‘input { stdin{} } output { stdout{} }‘        //标准输入输出
The stdin plugin is now waiting for input:
16:58:11.145 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com        //输入
2019-12-19T08:58:35.707Z apache www.baidu.com
www.sina.com.cn      //输入
2019-12-19T08:58:42.092Z apache www.sina.com.cn
[ elk]# logstash -e ‘input { stdin{} } output { stdout{ codec=>rubydebug } }‘      //使用rubydebug显示详细输出,codec为一种编解码器
The stdin plugin is now waiting for input:
17:03:08.226 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com              //格式化的处理
{
        "@timestamp" => 2019-12-19T09:03:80.267Z,
            "@version" => "1",
                    "host" => "apache",
             "message" => "www.baidu.com"
}
[ elk]# logstash -e ‘input { stdin{} } output { elasticsearch { hosts=>["192.168.80.129:9200"] } }‘
##使用logstach将信息写入elasticsearch中
The stdin plugin is now waiting for input:
17:06:46.846 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com              //输入信息
www.sina.com.cn

用浏览器查看信息

ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)

将系统日志文件输出到elasticsearch

[ elk]# chmod o+r /var/log/messages            //给其他用户读权限
[ elk]# vim /etc/logstash/conf.d/system.conf     //创建文件
input {
                file{
                path => "/var/log/messages"        //输出目录
                type => "system"
                start_position => "beginning"
                }
}
output {
                elasticsearch {
                #输入地址指向node1节点
                hosts => ["192.168.80.129:9200"]
                index => "system-%{+YYYY.MM.dd}"
                }
}
[ elk]# systemctl restart logstash.service      //重启服务

用数据浏览查看详细信息

ELK日志分析系统(理论+部署)

在node1服务器上安装kibana数据可视化

[ ~]# cd /mnt/elk/
[ elk]# rpm -ivh kibana-5.5.1-x86_64.rpm           //安装
[ elk]# cd /etc/kibana/
[ kibana]# cp kibana.yml kibana.yml.bak               //备份
[ kibana]# vim kibana.yml                     //修改配置文件
server.port: 5601                          //端口号
server.host: "0.0.0.0"                     //监听任意网段
elasticsearch.url: "http://192.168.80.129:9200"             //本机节点地址
kibana.index: ".kibana"                              //索引名称
[ kibana]# systemctl start kibana.service         //开启服务
[ kibana]# systemctl enable kibana.service

浏览器访问kibana

ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)

在apache服务器中对接apache日志文件,进行统计

[ elk]# vim /etc/logstash/conf.d/apache_log.conf      //创建配置文件
input {
                file{
                path => "/etc/httpd/logs/access_log"       //输入信息
                type => "access"
                start_position => "beginning"
                }
                file{
                path => "/etc/httpd/logs/error_log"
                type => "error"
                start_position => "beginning"
                }
}
output {
                if [type] == "access" {          //根据条件判断输出信息
                elasticsearch {
                hosts => ["192.168.80.129:9200"]
                index => "apache_access-%{+YYYY.MM.dd}"
                }
        }   
                if [type] == "error" {
                elasticsearch {
                hosts => ["192.168.80.129:9200"]
                index => "apache_error-%{+YYYY.MM.dd}"
                }
        }
}
[ elk]# logstash -f /etc/logstash/conf.d/apache_log.conf        //根据配置文件配置logstach

访问网页信息,查看kibana统计情况

ELK日志分析系统(理论+部署)ELK日志分析系统(理论+部署)

选择management>Index Patterns>create index patterns;创建apache两个日志的信息

ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)
ELK日志分析系统(理论+部署)

elasticsearch elk日志分析 ul

李玉志

李玉志

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Elasticsearch py客户端库安装及使用方法解析

elasticsearch-py是一个官方提供的low-level的elasticsearch python客户端库。因为它只是对elasticsearch的rest API接口做了一层简单的封装,因此提供了最大的灵活性,但是于此同时使用起来就不是太方便。

newbornzhao 2020-09-14

ElasticSearch最全详细使用教程

本文介绍了ElasticSearch的必备知识:从入门、索引管理到映射详解。Green - everything is good ,即最佳状态。Yellow - all data is available but some replicas are not

做对一件事很重要 2020-09-07

十张图说清Elasticsearch原理!

说到 Elasticsearch,其中最明显的一个特点就是 near real-time 准实时,当文档存储在 Elasticsearch 中时,将在 1 秒内以几乎实时的方式对其进行索引和完全搜索。Segment:也叫段,类似于倒排索引,相当于一个数据

renjinlong 2020-09-03

ElasticSearch 交互使用

tcp 0 0 10.0.0.121:5601 0.0.0.0:* LISTEN 88636/node

李玉志 2020-08-19

django 对接elasticsearch实现全文检索

# python manage.py rebuild_index #数据库有多少条数据,全部会被同步到es中。object = BookSerializer # 只读,不可以进行反序列化。fields = # text 由索引类进行返回, object

明瞳 2020-08-19

Spring Boot 集成 Elasticsearch 实战

可以在 ES 官方文档中发现,ES 为 Java REST Client 提供了两种方式的 Client:Java Low Level Client 和 Java High Level REST Client。低级别客户端,它允许通过 HTTP 请求与 E

李玉志 2020-08-19

如何对 ElasticSearch 集群进行压力测试

当 ElasticSearch 的业务量足够大,比如每天都会产生数百 GB 数据的时候,你就会自然而然的需要一个性能更强的 ElasticSearch 集群。特别是当你使用的场景是一些典型的大量数据进入的场景,比如网站日志、用户行为记录、大型电商网站的站内

mengyue 2020-08-07

操作ElasticSearch插件和可视化工具 Kibana

当 ElasticSearch 的实例并运行,您可以使用 localhost:9200,基于 JSON 的 REST API 与ElasticSearch 进行通信。在 ElasticSearch 自己的文档中,所有示例都使用 curl。但是,当使用 AP

molong0 2020-08-06

Elasticsearch实战 | match_phrase搜不出来,怎么办?

title=公路局正在治理解放大道路面积水问题。实际应用中可能需要: 1)检索关键词”理解”、”解放”、”道路”、“理解放大”,都能搜出这篇文档。标准分析仪是默认分析仪,如果没有指定,则默认使用该分词器。但,会出现冗余数据非常多。针对要求2),排除matc

AFei00 2020-08-03

Elasticsearch聚合后分页深入详解

不支持,看看Elasticsearch员工如何解读。这个问题,2014年在github上有很长的讨论。究其为什么ES不支持聚合后分页?可概括如下: 1)性能角度——聚合分页会在大量的记录中产生性能问题。2)正确性角度——聚合的文档计数不准确。所以奇怪的事情

molong0 2020-08-03

Elasticsearch大文件检索性能提升20倍实践(干货)

ES建立索引完成全文检索的前提是将待检索的信息导入Elaticsearch。项目中,有时候需要将一些扫描件、PDF文档、Word、Excel、PPT等文档内容导入Elasticsearch。比如:将《深入理解Elasticsearch》这边书导入ES,而这

wenwentana 2020-08-03

重磅 | 死磕Elasticsearch方法论认知清单(国庆更新版)

每个人都会犯错,别再让相同的错误一再发生,别再让我们为那些错误付出沉痛的代价。清单不是写在纸上的,而是印在心上的。我们别无选择,清单,正在一步步变革我们的生活,变革这个复杂的世界......——[美] 阿图-葛尔德《清单革命》。实战 | Elasticse

YYDU 2020-08-03

Elasticsearch实战 | 必要的时候,还得空间换时间!

另外一部分,则需要先做聚类、分类处理,将聚合出的分类结果存入ES集群的聚类索引中。数据处理层的聚合结果存入ES中的指定索引,同时将每个聚合主题相关的数据存入每个document下面的某个field下。

sifeimeng 2020-08-03

Elasticsearch索引增量统计及定时邮件实现

如何以相对简单的图形化效果展示数据的增量呢?本文给出思路和实现。2)crontab实现定时任务处理。步骤1,步骤2数据可以Excel统计得出。步骤3:Excel生成图表。3)开发中其他相关物理机器内存、CPU、磁盘读写性能等指标的监控等。

心丨悦 2020-08-03

如何在Linux下安装部署分布式全文搜索引擎

Elasticsearch是一个开源的分布式全文本搜索和分析引擎。它支持RESTful操作,并允许您实时存储,搜索和分析大量数据。Elasticsearch是最流行的搜索引擎之一,可为具有复杂搜索要求的应用程序提供动力,例如大型电子商务商店和分析应用程序。

liangwenrong 2020-07-31

ElasticSearch的下载、安装使用

下载ik中文分词器。浏览器访问是否启动成功。安装ik中文分词插件。解压分词插件包—->放到es的plugins目录下—->重新启动es即可

sifeimeng 2020-08-01

我也是才知道ElasticSearch条件更新是这么玩的

ElasticSearch 的使用度越来越普及了,很多公司都在使用。有做日志搜索的,有做商品搜索的,有做订单搜索的。大部分使用场景都是通过程序定期去导入数据到 ElasticSearch 中,或者通过 CDC 的方式来构建索引。在这种场景下,更新数据都是单

mengyue 2020-07-30

读写成功率达99.999%,提升ElasticSearch系统稳定性的秘密

ElasticSearch 是一个分布式的开源搜索和分析引擎,因其功能强大、简单易用而被应用到很多业务场景。在生产环境使用 ES 时,如果未进行优化则服务的稳定性可能得不到保障,目前我们使用 ES 作为账单平台的基础组件为微信支付提供服务时就遇到这种问题。

tigercn 2020-07-29

es快照备份到minio

用 API 删除快照很重要,而不能用其他机制。因为快照是增量的,有可能很多快照依赖于过去的段。deleteAPI 知道哪些数据还在被更多近期快照使用,然后会只删除不再被使用的段。但是,如果你做了一次人工文件删除,你将会面临备份严重损坏的风险,因为你在删除的

IceStreamLab 2020-07-29

Elasticsearch是一把梭,用起来再说?!

我们这边es 都是我们在推,很多开发不会用或者用的不规范!问题3:不评估可行性和高可用性,先搞起来。如下图,某公司26岁的程序员王某的Elasitcsearch一把梭用法,能很形象的说出了问题产生的根因。2019年12月初安全事件《Elasticsearc

IceStreamLab 2020-07-29
李玉志

李玉志

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号