2. 程式人生 > >ELK日誌平臺---老男孩教育筆記

ELK日誌平臺---老男孩教育筆記

阿新 發佈:2017-07-12
elk日誌平臺

環境的困境(原因)

1、開發人員不能登錄線上服務器查看相信日誌;

2、各個系統都有日誌,日誌數據分散難以查找;

3、日誌數據量大,查詢速度慢,或者數據不夠及時。(狀態碼 400 的 top10)

收集->存儲->統計->報警、、、

Elastic Search + Logstash +Kibana = ELK Stack

1、分布式全文搜索引擎、存儲

2、日誌收集(日誌收集於某一處)

3、日誌展示

安裝過程:

一、Elastic Search

(1)、Import the Elasticsearch PGP Key

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

(2)、Installing from the RPM repository

echo "[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" >>/etc/yum.repos.d/elasticsearch.repo

yum install -y elasticsearch


修改配置文件

創建 數據目錄

mkdir -p /data/es-data

vim /etc/elasticsearch/elasticsearch.yml
cluster.name: Mint
node.name: Mint-node1
path.data: /data/es-data
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true
network.host: 0.0.0.0
http.port: 9200

ES集群

cluster.name: Mint 相同就行,同一個局域網 先會廣播

修改node.name

cluster.name: Mint

node.name: Mint-node2

path.data: /data/es-data

path.logs: /var/log/elasticsearch

bootstrap.memory_lock: true

network.host: 0.0.0.0

http.port: 9200

插件

head bigdesk kopf 暫時都不支持es5.4

#bootstrap.memory_lock: true 去掉註釋會報錯

解決方式:修改limit 文件 yum 安裝的es,默認使用的是普通用戶,需要配置limit.conf

vim /etc/security/limits.conf
# allow user ‘elasticsearch‘ mlockall
elasticsearch soft memlock unlimited
elasticsearch hard memlock unlimited

修改數據路徑的權限

chown -R elasticsearch:elasticsearch /data/es-data
systemctl enable elasticsearch
systemctl start elasticsearch

Installing Logstash

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
cat > /etc/yum.repos.d/logstash.repo <<EOF
[logstash-5.x]
name=Elastic repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
yum install -y logstash


/usr/share/logstash/bin/logstash -e ‘input { stdin{} } output { stdout{}}‘

/usr/share/logstash/bin/logstash -e ‘input { stdin{} } output { stdout{ codec => rubydebug} }‘

/usr/share/logstash/bin/logstash -e ‘input { stdin{} } output { elasticsearch { hosts => "192.168.1.87:9200" protocol => "http"} }‘

/usr/share/logstash/bin/logstash -e ‘input { stdin{} } output { elasticsearch { hosts => "192.168.1.87:9200" } stdout { codec => rubydebug} }‘ //同時兩個輸出 一個es 一個標準輸出

vim /etc/logstash/conf.d/01-logstach.conf
input { stdin { } }
output {
elasticsearch { hosts => ["localhost:9200"] }
stdout { codec => rubydebug }
}
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/01-logstach.conf

各種插件

https://www.elastic.co/guide/en/logstash/current/index.html


Install Kibana with RPM

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

vim /etc/yum.repos.d/kibana.repo

[kibana-5.x] name=Kibana repository for 5.x packages baseurl=https://artifacts.elastic.co/packages/5.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md

yum install kibana -y

修改配置文件

vim /etc/kibana/kibana.yml

server.port: 5601

server.host: "0.0.0.0"

elasticsearch.url: "http://192.168.1.87:9200"

kibana.index: ".kibana"

nginx Module ngx_http_log_module http://nginx.org/en/docs/http/ngx_http_log_module.html 

input {
    file {
        path => "/var/log/nginx/access_json.log"
        codec => "json"
    }
}
output {
    stdout {
        codec => "rubydebug"
    }
}

rsyslog 修改系統日誌

修改

vim /etc/rsyslog.conf
*.* @@192.168.1.87:514

nc 192.168.1.87 12345 < /etc/passwd

echo “Mint” > /dev/tcp/192.168.1.87/12345 也可以給12345 tcp端口發信息 偽設備

nc 追加文件


logstash 解耦 當需要單獨修改logstash時,收集的日誌可以暫存於內存中,不至於需要停止收集日誌

logstash ---------->redis ---------->logstash -------->elasticsearch----------->kibana

收集 消息隊列 分析 存儲 顯示

192.168.1.87 192.168.1.87 192.168.1.88 192.168.1.87 192.168.1.87


redis ---->rabbitmq------>kafka 一般redis就可以,不能滿足的時候

解耦部分的配置文件,於明天整理發出來。再加前面的all.conf,共三個conf文件,shipper.conf、indexer.conf


logstash 寫入kibana的時間戳是UTC。

http://192.168.1.87:5601/status 查看kibana狀態

ab -n10000 -c1 http://192.168.1.87/ -n次數 -c 每次並發

安全解決方案 :search Guard

生產如何上線ELK

1、日誌分類

系統日誌 rsyslog logstash syslog插件

訪問日誌 nginx logstash codec json

錯誤日誌 file logstash file + mulitline

運行日誌 file logstash json

設備日誌 syslog logstash syslog插件

debug日誌 file logstash json or mulitline

2、日誌標準化

1.路徑 固定

2.格式 盡量json

系統日誌開始->錯誤日誌->運行日誌->訪問日誌




ELK日誌平臺---老男孩教育筆記

相關推薦

ELK日誌平臺---男孩教育筆記

elk日誌平臺環境的困境(原因)1、開發人員不能登錄線上服務器查看相信日誌;2、各個系統都有日誌,日誌數據分散難以查找;3、日誌數據量大,查詢速度慢,或者數據不夠及時。(狀態碼 400 的 top10)收集->存儲->統計->報警、、、Elastic Search + Logstash +K

男孩教育每日一題-2017年5月7日-加餐-linux下面如何實現,執行rm命令,就顯示do not use rm command

linux別名 每日一題 1.題目-老男孩教育每日一題-2017年5月7日-加餐-linux下面如何實現,執行rm命令,就顯示do not use rm command2.要求結果[[email protected]/* */ ~]# rm do not use rm command3.答

男孩教育每日一題-2017年5月9日-vim命令粘貼帶#號或註釋信息格式會出現混亂情況怎麽辦

vim/vi粘貼 每日一題 格式混亂 1.題目老男孩教育每日一題-2017年5月9日-vim編輯器使用知識點:vim命令粘貼帶#號或註釋信息格式會出現混亂情況,有什麽方法進行解決?問題說明:每次復制代碼時,如果代碼裏有 //或# 這樣的註釋就容易讓格式亂掉,顯示的內容不整齊,並不是所期望的顯示格式

男孩教育每日一題-2017年5月12日-磁盤知識點:linux系統中LVM配置實現方法?

邏輯卷管理 磁盤 每日一題 1.題目老男孩教育每日一題-2017年5月12日-磁盤知識點:linux系統中LVM配置實現方法?2.參考答案01:將一個或多個物理分區創建為一個PV# pvcreate /dev/sdb{1,2} Physical volume "/dev/sdb1" success

男孩教育每日一題-2017-05-15-說說你在vi/vim中常用的命令或快捷鍵

vi-vim編輯器 linux編輯器 每日一題 1.題目老男孩教育每日一題-2017-05-15-說說你在vi/vim中常用的命令或快捷鍵2.參考答案01:學會在vim中查詢幫助:help 或:h即可 :help G :help :wq02.vi/vim 使用最基本方法第一個裏程碑-使用vi打開o

男孩教育每日一題-2017年5月18日-說說|(管道)與|xargs(管道xargs)的區別

管道 每日一題 管道xargs 1.題目老男孩教育每日一題-2017年5月18日-說說|(管道)與|xargs(管道xargs)的區別2.參考答案find |xargs ls -ld##把前一個命令的結果,通過管道傳遞給後面的命令(ls -ld),傳遞的是文件名find | 命令 ##把

男孩教育每日一題-2017年5月19日-使用find命令的時候 |xargs(管道xargs)與-exe有什麽區別?

打包壓縮 xargs g管道 exec 每日一題 1.題目老男孩教育每日一題-2017年5月19日-使用find命令的時候 |xargs(管道xargs)與-exe有什麽區別?2.參考答案一般來說這兩個參數或命令是一樣的。可是在一些情況下尤其是打包壓縮的時候差別就很大了。find /old

男孩教育每日一題-2017年5月22日-命令風暴:變量a=’a/b/c’如何截取得到c

linux三劍客 每日一題 取字符串 1.題目老男孩教育每日一題-2017年5月22日-命令風暴:變量a=’a/b/c’如何截取得到c2.參考答案系統環境[[email protected]/* */ ~]# uname -r2.6.32-504.el6.x86_64 [[email&

男孩教育每日一題-2017年5月24日-腦洞神探之tmp目錄的下的備份文件突然沒了,誰來背鍋?

tmp目錄 每日一題 1.題目老男孩教育每日一題-2017年5月24日-腦洞神探之tmp目錄的下的備份文件突然沒了,誰來背鍋?2.參考答案1.運維幹的2.開發幹的3.系統幹的,系統安裝了一個命令tmpwatch,定期刪除文件。在Centos/RHEL/Fedora系統下存在清理機制(Ubuntu下沒有

男孩教育每日一題-第60天-一道實用Linux運維問題的9種Shell解答方法!

awk shell腳本 每日一題 2017-06-041.問題為:已知:/etc/hosts的內容為192.168.1.11 oldboy11.etiantian.org 192.168.1.21 oldboy21.etiantian.org 192.168.1.31 oldboy31.et

男孩教育每日一題-day59-Linux root 密碼忘了,如何找回來?

單用戶 root密碼忘記 每日一題 1、開機時手要快按任意鍵,因為默認時間5s圖1.1 倒數計時2、grub菜單,只有一個內核,沒什麽好上下選的,按e鍵。不過如果你升級了系統或安裝了Xen虛擬化後,就會有多個顯示了。圖2.1 選擇系統內核並進行編輯3、接下來顯示如下,選擇第二項,按e鍵圖3.1 選

男孩教育每日一題-第61天-使用命令調換 /etc/passwd 文件裏所有的第一列和最後一列位置

sed awk 每日一題 調換位置 老男孩教育每日一題-第61天-使用命令調換 /etc/passwd 文件裏 root 位置和/bin/bash 位置?即將所有的第一列和最後一列位置調換?例:默認:root:x:0:0:root:/root:/bin/bash修改後:/bin/bash:x:

男孩教育每日一題-第66天-通過Iptables來限定apache每秒鐘連接數為1,峰值為3

防火墻 iptables 每日一題 題目通過Iptables來限定apache每秒鐘連接數為1,峰值為3參考答案iptables -A INPUT -d 172.16.100.1 -p tcp --dport -m limit --limit 1/second --limit-burst -j

男孩教育每日一題-第70天-shell腳本優化點:

判斷腳本 腳本優化 每日一題 題目參見以下腳本:#!/bin/bash grep oldboy /etc/passwd &>/dev/null REVAL=$? if [ $REVAL -eq 0 ] then echo "oldboy user already exist

男孩教育每日一題-第63天-批量創建用戶並設置隨機密碼(要求不能使用shell循環語句)

每日一題 隨機數 命令拼接 題目:批量添加20個用戶,用戶名為user1~20,密碼為5個隨機字符(要求不能使用shell循環語句)解決方法方法1 echo user{1..20}|xargs -n1|sed -r ‘s#(.*)#useradd \1 \&\& echo \1 &

男孩教育每日一題-第64天 -sed命令闖關

正則表達式 sed 每日一題 如下文件內容,cat /tmp/passwd root:x:0: 0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x

決心書-馬洪彬-男孩教育Linux運維脫產班38期

linux 老男孩 決心書 我是馬洪彬, 88年的, 來自河北保定.之前做運維監控的時候才開始接觸Linux, 感覺就像打開了另一個世界的大門. 先是買書看, 後來找視頻跟著學. 然而自學的過程痛苦而低效, 新鮮感很快就沒了, 漸漸開始懷疑自己是否適合走運維這條路. 可是再一想, 年齡已經不小

男孩教育618優惠來襲!linux+python史上最低價

python 老男孩 最低價 1.活動期間報名Linux運維脫產課程或python全棧課程直降1000元,並且贈送除python自動化課程外的任意網絡課程視頻一套;2.此次活動和轉介紹的政策疊加:同學們轉介紹Linux及python脫產學生,獲送任何網絡視頻一套(價值3600-5000),被介紹的

男孩教育每日一題-第74天-批量重命名

批量重命名 每日一題 題目[[email protected]/* */ day74]# touch {00..10}.html [[email protected]/* */ day74]# ls 00.html 01.html 02.html 03.html 04.

男孩教育每日一題-第75天-linux無法上網或聯網怎麽辦?

無法上網 排查過程 無法聯網 每日一題 參考答案1.ping百度或一個網址-檢查是否為dns問題ping www.baidu.com2.出現Couldn’t resolve host 或 unkown host 錯誤沒有辦法把域名解析為ip地址ping 223.5.5.5 —-如何通了——DN