2. 程式人生 > >ELK日誌分析系統搭建配置

ELK日誌分析系統搭建配置

阿新 發佈:2017-06-21
elk

我們主要用ELK日誌分析系統來分析Nginx訪問日誌,mysql慢查詢日誌,tomcat運行日誌以及系統日誌等。

介紹:
ELK:ElasticSearch+LogStash+Kibana=ElkStack
ElasticSearch:存儲、收索、分析(可以用solr替代)
LogStash:收集器,輸入,處理分析,存儲到ES
Kibana:展示
備註:ElasticSearch支持集群功能,日誌收集後會在每個節點存放一份(可以選擇)

1、安裝jdk
wget http://sg-new.oss-cn-hangzhou.aliyuncs.com/jdk1.8.0_102.tgz
tar -zxvf jdk1.8.0_102.tgz -C /App/java

----------------------------------------------------
vim /etc/profile
#set for java
export JAVA_HOME=/App/java/jdk1.8.0_102
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/apr/lib
----------------------------------------------------
source /etc/profile
java -version

2、下載安裝elasticsearch(可以部署分布式),啟動
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
echo "
[elasticsearch-2.x]
name=Elasticsearch repository for 2.x packages
baseurl=http://packages.elastic.co/elasticsearch/2.x/centos
gpgcheck=1
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch

enabled=1" >> /etc/yum.repos.d/elasticsearch.repo
yum install elasticsearch -y

mkdir /data/elk/{data,logs} -p
vi /etc/elasticsearch/elasticsearch.yml
cluster.name: es #集群名稱(一個集群必須是同一個名稱)
node.name: es-node1 #節點名稱
path.data: /data/elk/data
path.logs: /data/elk/logs
bootstrap.mlockall: true #設置成ture,鎖住內存(不交互到swap)
network.host: 0.0.0.0
http.port: 9200
#discovery.zen.ping.unicast.hosts: ["192.168.2.215", "host2"]
啟動:
啟動前註意文件夾權限
/etc/init.d/elasticsearch start
-----------------------------
測試:此時可以訪問:http://192.168.88.48:9200/
訪問結果:
{
"name" : "Bombshell",
"cluster_name" : "es",
"cluster_uuid" : "Rueqwrx2TjaKp24QJDt4wg",
"version" : {
"number" : "2.4.5",
"build_hash" : "c849dd13904f53e63e88efc33b2ceeda0b6a1276",
"build_timestamp" : "2017-04-24T16:18:17Z",
"build_snapshot" : false,
"lucene_version" : "5.5.4"
},
"tagline" : "You Know, for Search"
}

3、安裝elasticsearch插件
安裝head插件(集群管理插件)
cd /usr/share/elasticsearch/bin/
./plugin install mobz/elasticsearch-head
ll /usr/share/elasticsearch/plugins/head
測試插件:
http://192.168.88.48:9200/_plugin/head/

安裝插件kopf(集群資源查看監控和查詢插件)
/usr/share/elasticsearch/bin/plugin install lmenezes/elasticsearch-kopf
http://192.168.88.48:9200/_plugin/kopf
重啟elasticearch
/etc/init.d/elasticsearch restart

重點:
如果做集群,其他配置一樣
mkdir /data/elk/{data,logs}
vi /etc/elasticsearch/elasticsearch.yml
cluster.name: es #集群名稱(一個集群必須是同一個名稱)
node.name: es-node2 #節點名稱
path.data: /data/elk/data
path.logs: /data/elk/logs
bootstrap.mlockall: true #設置成ture,鎖住內存(不交互到swap)
network.host: 0.0.0.0
http.port: 9200
#discovery.zen.ping.unicast.hosts: ["192.168.2.215", "host2"]
-------------------------------------
出現群集連接不上問題(只能出現一個節點,一個丟失),一個數據被分片成5份
問題1、鎖住內存,因為是普通用戶,所以使用內存有限制
vim /etc/security/limits.conf
elasticsearch soft memlock unlimited
elasticsearch hard memlock unlimited
註意用戶打開文件數ulimit值 65536
問題2:主播方式,默認是組播,連接集群會出現問題,改成單播
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.2.215", "host2"]
問題3:權限問題
chown -R elasticsearch:elasticsearch /data/elk/
此時集群功能完成


4、安裝kibana
wget https://download.elastic.co/kibana/kibana/kibana-4.5.1-linux-x64.tar.gz
tar zxvf kibana-4.5.1-linux-x64.tar.gz
mv kibana-4.5.1-linux-x64 /usr/local/kibana
vi /etc/rc.local
/usr/local/kibana/bin/kibana > /var/log/kibana.log 2>&1 &
vi /usr/local/kibana/config/kibana.yml
server.port: 5601
server.host: "192.168.88.48"
elasticsearch.url: "http://192.168.88.48:9200"
每個版本下面有這麽一行內容,一定要註意這些內容
啟動服務
/usr/local/kibana/bin/kibana &


5、安裝logstash
在logstash中,包括了三個階段:
輸入input --> 處理filter(不是必須的) --> 輸出output
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
echo "
[logstash-2.1]
name=Logstash repository for 2.1.x packages
baseurl=http://packages.elastic.co/logstash/2.1/centos
gpgcheck=1
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch
enabled=1" >> /etc/yum.repos.d/logstash.repo
yum install logstash -y
通過配置驗證Logstash的輸入和輸出
測試語法:-e輸入命令,前臺運行
/opt/logstash/bin/logstash -e ‘input{stdin{}}output{stdout{codec=>rubydebug}}‘
輸入my name is caicai. 回車


測試1:基於屏幕輸入測試,同上面一樣的,只是配置使用配置文件
vim /etc/logstash/conf.d/stdout.conf
input {
stdin {}
}

output {
stdout {
codec => "rubydebug"
}
}
啟動:/opt/logstash/bin/logstash -f /etc/logstash/conf.d/stdout.conf
------------------------------------------------------------

測試2:logstash結合es,數據寫入到es:註意端口(老版本不需要)
vim /etc/logstash/conf.d/stdout.conf
input {
stdin {}
}

output {
elasticsearch {
hosts => ["192.168.88.48:9200","hosts節點2IP"]
#protocol => "http"(此版本沒有協議一說)
}
stdout { codec=> rubydebug } #可以不要,標準輸出到屏幕
}
此時http://192.168.88.48:9200/_plugin/head/中可以看到索引和具體數據


測試3:搜集系統日誌:
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning" #從頭開始收集
}
}

output {
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "system-%{+YYYY.MM.dd}" #指定一個索引
}
}


測試4:收集java異常日誌,接著上面的,做判斷
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning" #從頭開始收集
}
file {
path => "/logs/java/java.log"
type => "es-error"
start_position => "beginning" #從頭開始收集
codec => multilinc { #默認收集是一行一個事件,加參數後合並成一個事件
pattern => "^\[" #分隔符
negate => ture
what => "previous" #合並上一行內容
}
}
}

output {
if [type] == "system"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "system-%{+YYYY.MM.dd}" #指定一個索引
}
}
if [type] == "es-error"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "es-error-%{+YYYY.MM.dd}" #指定一個索引
}
}
}


測試5:收集nginx日誌
log_format json ‘{"@timestamp":"$time_iso8601",‘
[email protected]":"1",‘
‘"client":"$remote_addr",‘
‘"url":"$uri",‘
‘"status":$status,‘
‘"domain":"$host",‘
‘"host":"$server_addr"‘
‘"size":$body_bytes_sent,‘
‘"responsetime":"$request_time",‘
‘"referer":"$http_referer",‘
‘"ua":"$http_user_agent"‘
‘}‘;

------------------------------------------------
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning" #從頭開始收集
}
file {
path => "/logs/nginx/lux.cngold.org.access.log"
codec => "json"

start_position => "beginning" #從頭開始收集
type => "nginx-log"
}
file {
path => "/logs/java/java.log"
type => "es-error"
start_position => "beginning" #從頭開始收集
codec => multilinc { #默認收集是一行一個事件,加參數後合並成一個事件
pattern => "^\[" #分隔符
negate => ture
what => "previous" #合並上一行內容
}
}
}

output {
if [type] == "system"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "system-%{+YYYY.MM.dd}" #指定一個索引
}
}
if [type] == "es-error"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "es-error-%{+YYYY.MM.dd}" #指定一個索引
}
}
if [type] == "nginx-log"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "nginx-log-%{+YYYY.MM.dd}" #指定一個索引
}
stdout {
codec=> rubydebug
}
}
}

出問題測試用的:------------------------------------
nput {
file {
path => ["/logs/nginx/80-access.log"]
codec => "json"
start_position => "beginning" #從頭開始收集
type => "nginx-log"
}
}

output {
if [type] == "nginx-log"{
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "nginx-80-log-%{+YYYY.MM.dd}" #指定一個索引
}
}
stdout {
codec=> rubydebug
}
}
------------------------------------------------------


測試6:使用syslog收集系統日誌
vim /etc/rsyslog.conf 設置讓文件發送到514端口上
*.* @@192.168.88.48:514 #將日誌發送給這個主機的這個端口
/etc/init.d/rsyslog restart
配置文件
vim /etc/logstash/conf.d/04-syslog.conf
input {
syslog {
type => "system-syslog"
host => "192.168.88.48"
port => "514"
}
}

output {
if [type] == "system-syslog" {
elasticsearch {
hosts => ["192.168.88.48:9200"]
index => "system-syslog-%{+YYYY.MM.dd}"
}
stdout {
codec=> rubydebug
}
}
}
重啟rsyslog就會有輸出了

測試7:tcp日誌收集
vim /etc/logstash/conf.d/05-tcp.conf
input {
tcp {
host => "192.168.88.48"
port => "6666"
}
}
output {
stdout {
codec => "rubydebug"
}
}
使用nc對6666端口寫入數據
nc 192.168.88.48 6666 </var/log/yum.log
將信息輸入到tcp的偽設備中
echo "chuck" >/dev/tcp/192.168.88.48/6666


----------------------------------------------
apache不支持json,所以引入grok正則表達式
使用grok必須要保證有插件:位置
/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.2/patterns
[[email protected] ~]# cat grok.conf
input {
stdin {}
}
filter {
grok {
match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
}
}
output {
stdout {
codec => "rubydebug"
}
}

輸入測試:55.3.244.1 GET /index.html 15824 0.043,此時有輸出,格式為正則格式

測試8,使用logstash正則表達式收集mysql的slowlog(慢查詢)mysql5.6.21版本
問題:多行合並插件codec => multilinc
vim /etc/logstash/conf.d/07-mysql-slow.conf
input{
file {
path => "/root/slow.log"
type => "mysql-slow-log"
start_position => "beginning"
codec => multiline {
pattern => "^# [email protected]:"
negate => true
what => "previous"
}
}
}
filter {
# drop sleep events
grok {
match => { "message" =>"SELECT SLEEP" }
add_tag => [ "sleep_drop" ]
tag_on_failure => [] # prevent default _grokparsefailure tag on real records
}
if "sleep_drop" in [tags] {
drop {}
}
grok {
match => [ "message", "(?m)^# [email protected]: %{USER:user}\[[^\]]+\] @ (?:(?<clienthost>\S*) )?\[(?:%{IP:clientip})?\]\s+Id: %{NUMBER:row_id:int}\s*# Query_time: %{NUMBER:query_time:float}\s+Lock_time: %{NUMBER:lock_time:float}\s+Rows_sent: %{NUMBER:rows_sent:int}\s+Rows_examined: %{NUMBER:rows_examined:int}\s*(?:use %{DATA:database};\s*)?SET timestamp=%{NUMBER:timestamp};\s*(?<query>(?<action>\w+)\s+.*)\n#\s*" ]
}
date {
match => [ "timestamp", "UNIX" ]
remove_field => [ "timestamp" ]
}
}
output {
stdout{
codec => "rubydebug"
}
}

以上所有配置文件配置完成後啟動方式同下:

/opt/logstash/bin/logstash -f /etc/logstash/conf.d/*.conf &

效果圖如下:

技術分享

生產裏面抓的一份數據,做分析統計,效果圖如下:

圖中可以清楚的看到訪問量大的IP,訪問返回狀態等等信息

技術分享


本文出自 “蔡超” 博客,請務必保留此出處http://caicai2009.blog.51cto.com/3678925/1940474

ELK日誌分析系統搭建配置

相關推薦

ELK日誌分析系統搭建配置

elk我們主要用ELK日誌分析系統來分析Nginx訪問日誌,mysql慢查詢日誌,tomcat運行日誌以及系統日誌等。介紹:ELK:ElasticSearch+LogStash+Kibana=ElkStackElasticSearch:存儲、收索、分析(可以用solr替代)LogStash:收集器,輸入,處理

SpringBoot配置ELK日誌分析系統搭建

SpringBoot配置ELK日誌分析系統 ELK介紹 環境配置 準備工作 配置Elasticsearch 配置Kibana 配置Logstash 準備微服務 執行測試 ELK介紹

ELK日誌分析系統搭建

注:/usr/local/src為原始碼安裝包存放目錄。 /data/為資料儲存、解壓目錄。準備工作:下載elasticsearch、filebeat、Kibana_Hanization、elasticsearch-head、jdk 、kibana、logstash、nodewget https://down

ELK日誌分析系統 介紹 安裝配置

elkELK日誌分析系統一、ELK介紹 ELK顧名思義:是由Elasticsearch,Logstash 和 Kibana三部分組成的。 其中Elasticsearch 是一個實時的分布式搜索和分析引擎,它可以用於全文搜索,結構化搜索以及分析。它是一個建立在全文搜索引擎 Apache Lucene

Windows搭建Log4Net+FileBeat+ELK日誌分析系統過程以及問題總結

程序 列表 dia could 重新 font 無法 elk 遇到 安裝流程: 稍後補充 參考內容:http://udn.yyuap.com/thread-54591-1-1.html ; https://www.cnblogs.com/ya

CentOS7.3下ELK日誌分析系統集群搭建

rtu 服務器端 output 行修改 disco boot 刷新 客戶端 tst Elasticsearch是個基於Lucene實現的開源、分布式、restful的全文本搜索引擎,此外他還是一個分布式實時文檔存儲,其中每個文檔的每個filed均是可被索引的數據,且可被

十分鐘搭建和使用ELK日誌分析系統

工作 風格 true rank 分布式 array search 分布 sof 前言 為滿足研發可視化查看測試環境日誌的目的,準備采用EK+filebeat實現日誌可視化(ElasticSearch+Kibana+Filebeat)。題目為“十分鐘搭建和使用ELK日

搭建ELK日誌分析系統(一)-Elasticsearch安裝

前言 搭建ELK系統有兩種方式 1、元件獨立安裝(更深入瞭解ELK系統的工作流程) 2、使用docker容器安裝(這種方式配置更簡單,快捷方便) 本系列文章使用元件獨立安裝的方式,如果你想使用docker容器安裝,請跳過本教程 環境需求 本教

Docker筆記(十):使用Docker來搭建一套ELK日誌分析系統

一段時間沒關注ELK(elasticsearch —— 搜尋引擎,可用於儲存、索引日誌, logstash —— 可用於日誌傳輸、轉換,kibana —— WebUI,將日誌視覺化),發現最新版已到7.4了。所以別問程式設計師為什麼這麼忙?因為不是在加班就是在學習新框架中。 本文整理了使用Docker來快速搭

ELK 日誌分析系統

日誌 elk 分析系統 轉自:http://467754239.blog.51cto.com/4878013/1700828/ 一、簡介1、核心組成ELK由Elasticsearch、Logstash和Kibana三部分組件組成;Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式

ELK日誌分析平臺搭建全程

elk環境: OS:Centos 6.6 elasticsearch-5.6.3.tar.gzjdk-8u151-linux-x64.tar.gzkibana-5.6.3-linux-x86_64.tar.gzlogstash-5.6.3.tar.gznode-v6.11.4-linux-x64.tar

Windows系統下Log4Net+FileBeat+ELK日誌分析系統問題總結

主機 2-0 ngs 提示 編碼 規則 ast 進行 同步問題 問題如下:1.FileBeat日誌報 "dial tcp 127.0.0.1:5544: connectex: No connection could be made because the target ma

ELK日誌分析系統實踐

ELK一、ELK介紹 官網: https://www.elastic.co/cn/ 中文指南 https://legacy.gitbook.com/book/chenryn/elk-stack-guide-cn/details ELK Stack(5.0版本後)-->Elastic St

在CentOS7中部署ELK日誌分析系統

-- worker lin config startup thead version 導入 使用 在CentOS7中部署ELK日誌分析系統 ELK原理介紹 什麽是ELK ELK是三個開源軟件的縮寫,分別表示:Elasticsearch , Logstash, Kibana

ELK日誌分析平臺搭建

一、使用背景 當生產環境為分散式、很多業務模組的日誌需要每時每刻檢視時 二、環境 系統:centos 6.5 JDK:jdk1.8+ elasticsearch-6.4.2 logstash-6.4.2 kibana-6.4.2 三、安裝 1、安裝JDK

在Docker中部署ELK日誌分析系統

Docker中部署ELK環境 一直想嘗試部署一個ELK日誌系統,所以今晚就用Mac搭建一下,這裡記錄一下具體的搭建過程。 在上一節中已經學會來安裝Docker以及部署web應用,這次就不介紹來,直接在Docker中部署ELK日誌分析系統. 1.介紹 ELK是三個開源工具的縮寫

win10 下elk 日誌分析系統對接springBoot總結教程

elk系統搭建過程 本節不做過多累贅 後續如果有需要 再補。直接對接專案日誌分析。 先建立springBoot專案,當然傳統的ssm也是可以的,這裡為了簡單,用springBoot 做例子。 pom.xml 新增logstash依賴支援 完整的依賴如下  <dep

Docker中部署 ELK日誌分析系統

一、docker環境搭建(Linux X64下)     (1)通過yum安裝(可以連線外網)     (2)手動安裝(不能連線外網,無法yum安裝) 二、ELK原理圖 Logstash-forwarder:監控Input(日誌檔案、socket...)的改變,併發給Lo

ELK日誌檢索系統--FileBeat配置說明

0. FileBeat使用說明 FileBeat是一個日誌收集器,基於Logstash-Forwarder的原始碼。FileBeat一般以代理的身份執行在伺服器中,並監視使用者指定的目錄、檔案,同時把日誌檔案更新部分推送給Logstash解析或者直接推送給ES

ELK日誌分析系統

env apache服務器 吞吐量 輕松 靈活 數據處理 地圖 output host 理論部分 一:ELK平臺介紹1.1:ELK概述ELK由ElasticSearch、Logstash和Kiabana三個開源工具組成:1:Elasticsearch是個開源分布式搜索引擎,