2. 程式人生 > >ELK的安裝配置使用

ELK的安裝配置使用

阿新 發佈:2017-07-20
redis kibana elk

ELK的安裝配置

一、ES集群的安裝:

搭建ElasticSearch集群: 使用三臺服務器搭建集群

node-1(主節點) 10.170.13.1

node-2(從節點) 10.116.35.133

node-3(從節點) 10.44.79.57

下載安裝包 地址:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.4.3.rpm 在三臺服務器上分別下載安裝elasticsearch-5.4.3.rpm

安裝:
	~]# yum install elasticsearch-5.4.3.rpm -y
修改node-1配置文件:
	~]# vim /etc/elasticsearch/elasticsearch.yml
	cluster.name: elasticsearch
	node.name: node-1
	
	network.host: 0.0.0.0
	http.port: 9200
	
	http.cors.enabled: true
	http.cors.allow-origin: "*"
	
	node.master: true
	node.data: true
	discovery.zen.ping.unicast.hosts: ["10.170.13.1"]
修改node-2配置文件:
	~]# vim /etc/elasticsearch/elasticsearch.yml
	cluster.name: elasticsearch
	node.name: node-2
	
	network.host: 0.0.0.0
	http.port: 9200
	
	http.cors.enabled: true
	http.cors.allow-origin: "*"
	
	node.master: false
	node.data: true
	discovery.zen.ping.unicast.hosts: ["10.170.13.1"]
修改node-3配置文件:
	~]# vim /etc/elasticsearch/elasticsearch.yml
	cluster.name: elasticsearch
	node.name: node-3
	
	network.host: 0.0.0.0
	http.port: 9200
	
	http.cors.enabled: true
	http.cors.allow-origin: "*"
	
	node.master: false
	node.data: true
	discovery.zen.ping.unicast.hosts: ["10.170.13.1"]

配置完以後先啟動node-1(master)然後再去啟動node-2和node-3;
啟動:
	~]# service elasticsearch start        安裝5.X的版本啟動會有很多錯誤可查看日誌,根據自身處理錯誤。
	~]# tail -f /var/log/elasticsearch/elasticsearch.log
錯誤匯總<部分問題來源於網絡,感謝大家的之後,在此匯總一下>:
問題一:
[2016-11-06T16:27:21,712][WARN ][o.e.b.JNANatives ] unable to install syscall filter:
Java.lang.UnsupportedOperationException: seccomp unavailable: requires kernel 3.5+ with CONFIG_SECCOMPandCONFIG_SECCOMP_FILTERcompiledinatorg.elasticsearch.bootstrap.Seccomp.linuxImpl(Seccomp.java:349) ~[elasticsearch-5.0.0.jar:5.0.0]
at org.elasticsearch.bootstrap.Seccomp.init(Seccomp.java:630) ~[elasticsearch-5.0.0.jar:5.0.0]
原因:只是一個警告,主要是因為Linux版本過低造成的。
解決方案:1、重新安裝新版本的Linux系統 2、警告不影響使用,可以忽略
 
問題二:
ERROR: bootstrap checks failed
max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536]
原因:無法創建本地文件問題,用戶最大可創建文件數太小
 
解決方案:
切換到root用戶,編輯limits.conf配置文件, 添加類似如下內容:
vi /etc/security/limits.conf
添加如下內容:
*  soft nofile 65536* hard nofile 131072* soft nproc 2048* hard nproc 4096備註:* 代表Linux所有用戶名稱(比如 hadoop)
保存、退出、重新登錄才可生效
 
問題三:
max number of threads [1024] for user [es] likely too low, increase to at least [2048]
原因:無法創建本地線程問題,用戶最大可創建線程數太小
解決方案:切換到root用戶,進入limits.d目錄下,修改90-nproc.conf 配置文件。
vi /etc/security/limits.d/90-nproc.conf
找到如下內容:
* soft nproc 1024#修改為* soft nproc 2048
 問題四:
max virtual memory areas vm.max_map_count [65530] likely too low, increase to at least [262144]
原因:最大虛擬內存太小
解決方案:切換到root用戶下,修改配置文件sysctl.conf
vi /etc/sysctl.conf
添加下面配置:
vm.max_map_count=655360並執行命令:
sysctl -p
然後重新啟動elasticsearch,即可啟動成功。
 
問題五:
ElasticSearch啟動找不到主機或路由
原因:ElasticSearch 單播配置有問題
解決方案:
檢查ElasticSearch中的配置文件
vi  config/elasticsearch.yml
找到如下配置:
discovery.zen.ping.unicast.hosts: ["10.170.13.1"]  
一般情況下,是這裏配置有問題,註意書寫格式
 
問題六:
org.elasticsearch.transport.RemoteTransportException: Failed to deserialize exception response from stream
原因:ElasticSearch節點之間的jdk版本不一致
解決方案:ElasticSearch集群統一jdk環境
 
問題七:
Unsupported major.minor version 52.0原因:jdk版本問題太低
解決方案:更換jdk版本,ElasticSearch5.0.0支持jdk1.8.0
 問題八:
bin/elasticsearch-plugin install license
ERROR: Unknown plugin license
 
原因:ElasticSearch5.0.0以後插件命令已經改變
解決方案:使用最新命令安裝所有插件
bin/elasticsearch-plugin install x-pack
問題九:
啟動異常:ERROR: bootstrap checks failed
system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk
問題原因:因為Centos6不支持SecComp,而ES5.2.1默認bootstrap.system_call_filter為true進行檢測,所以導致檢測失敗,失敗後直接導致ES不能啟動。詳見 :https://github.com/elastic/elasticsearch/issues/22899解決方法:在elasticsearch.yml中配置bootstrap.system_call_filter為false,註意要在Memory下面:
bootstrap.memory_lock: falsebootstrap.system_call_filter: false

啟動成功以後在node-1上日誌會顯示node-2、node-3加入集群:

[2017-07-05T10:49:30,988][INFO ][o.e.c.s.ClusterService   ] [node-1] added {{node-2}{9P1tDYlaTTCTLvgf56qiTg}{tDWHLBA5QVKJVigNeDx-yw}{10.116.35.133}{10.116.35.133:9300},}, reason: zen-disco-node-join[{node-2}{9P1tDYlaTTCTLvgf56qiTg}{tDWHLBA5QVKJVigNeDx-yw}{10.116.35.133}{10.116.35.133:9300}]

 
[2017-07-05T10:49:36,927][INFO ][o.e.c.s.ClusterService   ] [node-1] added {{node-3}{seEWVcyKRnupt6eP2T3-Qg}{W5RrwtY2ToWxuzWFsFdPyA}{10.44.79.57}{10.44.79.57:9300},}, reason: zen-disco-node-join[{node-3}{seEWVcyKRnupt6eP2T3-Qg}{W5RrwtY2ToWxuzWFsFdPyA}{10.44.79.57}{10.44.79.57 :9300}]

打開瀏覽器訪問測試:

到此ElasticSearch安裝成功,下面安裝管理工具ElasticSearch-head 註意:ElasticSearch5.X以後的版本差異較大不支持以前2.X那種安裝方式

安裝nodejs:
 下載地址:
	~]# wget https://nodejs.org/dist/v8.1.3/node-v8.1.3-linux-x64.tar.gz
	~]# tar xf node-v8.1.3-linux-x64.tar.gz -C /usr/local/
	~]# mv /usr/local/ node-v8.1.3-linux-x64 node.js
	~]# echo ‘export "PATH=/usr/local/node.js/bin:$PATH"‘ > /etc/profile.d/nodejs.sh
	~]# source /etc/profile.d/nodejs.sh
	~]# node -vv8.1.3~]# npm -v5.0.3	下載elasticsearch-head:
	 下載安裝:
~]# cd /usr/local/
~]# git clone git://github.com/mobz/elasticsearch-head.git
~]# cd /usr/local/elasticsearch-head/
elasticsearch-head]# npm install
elasticsearch-head]# npm install –g grunt–cli
elasticsearch-head]# npm install -g cnpm --registry=
 修改配置文件:
elasticsearch-head]# vim Gruntfile.jsconnect: {
        server: {
            options: {
                hostname: ‘0.0.0.0‘,
                port: 9100,                base: ‘.‘,
                keepalive: true
            }
        }
    }

elasticsearch-head]# vim _site/app.js
this.base_uri = this.config.base_uri || this.prefs.get("app-base_uri") || "http://10.170.13.1:9200";

啟動:
elasticsearch-head]# service elasticsearch stop
elasticsearch-head]# service elasticsearch start
elasticsearch-head]# grunt server

二、安裝logstash,配置監控rsyslog、nginx、es的日誌

安裝包下載:https://www.elastic.co/downloads/past-releases

可根據不同的版本自行下載,ELK更新很快。 我的ES安裝的5.4.3的版本所以統一安裝5.4.3的版本。

~]# wgethttps://artifacts.elastic.co/downloads/logstash/logstash-5.4.3.rpm #直接下載rpm包

分別在ES集群的三臺機器上都下載安裝好 ~]# yum install logstash-5.4.3.rpm -y

(logstash就算直接用rpm安裝也需要配置環境變量,目錄:/usr/share/logstash/bin/)

配置環境變量:

~]# echo ‘export "PATH=/usr/share/logstash/bin:$PATH"‘ > /etc/profile.d/logstash.sh

~]# source /etc/profile.d/logstash.sh

logstash的配置相對麻煩一下,因為logstash需要接受輸入,進行處理然後產生輸出。logstash采用input,filter,output的三段配置法。input配置輸入源,filter配置對輸入源中的信息怎樣進行處理,而output配置輸出位置。

~]# vim /etc/logstash/conf.d/all.conf  在配置文件裏加入配置
    input { 
        file {  
                path => "/var/log/messages"		#日誌文件路徑
                type => "system"
                start_position => "beginning"
        }        
        syslog {
                type => "system-syslog"			#定義type,為後面輸出做匹配
                host => "10.170.13.1"
                port => "514"
        }        
        file {  
                path => "/var/log/elasticsearch/elasticsearch.log"
                type => "es-error"
                start_position => "beginning"
                 codec => multiline {			#multiline可定義多行為一個事件
                    pattern => "^\["
                    negate => "true"
                    what => "previous"
                 }
        
        }        
        file {  
                path => "/var/log/nginx/access-json.log"
                codec => "json"					#以json輸出
                type => "nginx_access"
                start_position => "beginning"  #從日誌開頭記錄(默認是從日誌尾部記錄的)
        }
 
    }

    output {    if [type] == "system" {						#if 匹配type,則執行
            elasticsearch {							#定義ES
                    hosts => ["10.170.13.1:9200"]		#ES主機:端口
                    index => "system-%{+YYYY.MM.dd}"	#定義索引名稱
            }
        }
    
        if [type] == "system-syslog" {        elasticsearch {
                    hosts => ["10.170.13.1:9200"]
                    index => "system-syslog-%{+YYYY.MM.dd}"
            }
        }
    
        if [type] == "es-error" {        elasticsearch {
                    hosts => ["10.170.13.1:9200"]
                    index => "es-error-%{+YYYY.MM.dd}"
            }
    
        }
    
            if [type] == "nginx_access" {            elasticsearch {
                        hosts => ["10.170.13.1:9200"]
                        index => "nginx_access-%{+YYYY.MM.dd}"
                }
            }
    }

設置系統日誌

~]# vim /etc/rsyslog.conf
    *.* @@10.170.13.1:514  #在最後面添加這行,向某個IP:端口發送系統日誌

編輯nginx訪問日誌為json格式;

~]# vim /etc/nginx/nginx.conf
    log_format logstash_json ‘{ "@timestamp": "$time_local", ‘
                             ‘"@fields": { ‘
                             ‘"remote_addr": "$remote_addr", ‘
                             ‘"remote_user": "$remote_user", ‘
                             ‘"body_bytes_sent": "$body_bytes_sent", ‘
                             ‘"request_time": "$request_time", ‘
                             ‘"status": "$status", ‘
                             ‘"request": "$request", ‘
                             ‘"request_method": "$request_method", ‘
                             ‘"http_referrer": "$http_referer", ‘
                             ‘"body_bytes_sent":"$body_bytes_sent", ‘
                             ‘"http_x_forwarded_for": "$http_x_forwarded_for", ‘
                             ‘"http_user_agent": "$http_user_agent" } }‘;
    
    access_log  /var/log/nginx/access-json.log  logstash_json;

三、安裝Kibana

安裝包下載:https://www.elastic.co/downloads/past-releases

~]# wget 
~]# yum install kibana-5.4.3-x86_64.rpm -y

kibana安裝在(10.170.13.1)這一臺設備用來統計分析展示。 這是做實驗,真實線上可以在安裝ES的設備上都安裝Kibana,用前端nginx做轉發跟認證。

編輯配置文件

vim /etc/kibana/kibana.yml    		#添加以下配置
    server.port: 5601
    server.host: "0.0.0.0"
    elasticsearch.url: http://10.170.13.1:9200/
    kibana.index: ".kibana"

啟動Kibana

~]# service kibana start

訪問 http://10.170.13.1:5601

四、logstash解耦之redis消息隊列

生產中有很多場景不能由logstash直接提取日誌發送給ES,這時候就可以使用消息隊列來做處理了。這就是所謂的解耦把日誌“提取”和“處理、展示”分隔開。

輸出至redis:

 ~]# vim /etc/logstash/conf.d/redis_in.conf
	input {
		stdin {}

	}	output {
		redis {
			host => "127.0.0.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "demo"
		}

	}

啟動:
 ~]# logstash -f /etc/logstash/conf.d/redis_in.conf(啟動成功以後收到在標準輸入裏面隨便輸入一些東西)

啟動完成可打開一個終端查看redis
 ~]# redis-cli 
	127.0.0.1:6379> SELECT 6
	OK
	127.0.0.1:6379[6]> LLEN demo
	(integer) 52
	127.0.0.1:6379[6]> KEYS *
	1) "demo"輸入至ES:

 ~]# vim /etc/logstash/conf.d/redis_out.conf
	input {
		redis {
			host => "127.0.0.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "demo"
		}
	}	output {
		elasticsearch {
			hosts => ["10.170.13.1:9200"]
			index => "redis-demo-%{+YYYY.MM.dd}"
		}

	}


啟動:
 ~]# logstash -f /etc/logstash/conf.d/redis_out.conf(啟動成功以後可查看ES裏面是否成功增加)

啟動完成可打開一個終端查看redis
 ~]# redis-cli 
	127.0.0.1:6379> SELECT 6
	OK	
    127.0.0.1:6379[6]> LLEN demo
    (integer) 0

可將之前做的rsystem日誌、nginx訪問日誌、ES日誌都通過logstash輸入redis,再有logstash從redis輸出到ES。

輸入:
			
input { 
        file {  
                path => "/var/log/messages"
                type => "system"
                start_position => "beginning"
        }
        
        syslog {                type => "system-syslog"
                host => "10.170.13.1"
                port => "514"
        }

        
        file {  
                path => "/var/log/elasticsearch/elasticsearch.log"
                type => "es-error"
                start_position => "beginning"
                 codec => multiline {
                    pattern => "^\["
                    negate => "true"
                    what => "previous"
                 }
        
        }
        
        file {  
                path => "/var/log/nginx/access-json.log"
                codec => "json"
                type => "nginx_access"
                start_position => "beginning"
        }
 
}


output {    if [type] == "system" {
		redis {
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "system"
		}
    }    if [type] == "system-syslog" {
		redis {
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "system-syslog"
		}
    }    if [type] == "es-error" {
		redis {
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "es-error"
		}

    }    if [type] == "nginx_access" {
		redis {
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "nginx_access"
		}
	}
}
輸入:

input {

		redis {			type => "system"
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "system"
			}

		redis {			type => "system-syslog"
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "system-syslog"
		}

		redis {			type => "es-error"
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "es-error"
		}

		redis {			type => "nginx_access"
			host => "10.170.13.1"
			port => "6379"
			db => "6"
			data_type => "list"
			key => "nginx_access"
		}	
}

output {    if [type] == "system" {
        elasticsearch {
                hosts => ["10.170.13.1:9200"]
                index => "system-%{+YYYY.MM.dd}"
        }
    }    if [type] == "system-syslog" {
        elasticsearch {
                hosts => ["10.170.13.1:9200"]
                index => "system-syslog-%{+YYYY.MM.dd}"
        }
    }    if [type] == "es-error" {
        elasticsearch {
                hosts => ["10.170.13.1:9200"]
                index => "es-error-%{+YYYY.MM.dd}"
        }

    }	
	if [type] == "nginx_access" {
            elasticsearch {
                    hosts => ["10.170.13.1:9200"]
                    index => "nginx_access-%{+YYYY.MM.dd}"
            }
        }
}

五、生產上線ELK:

1、日誌分類
	系統日誌  rsyslog	logstash	syslog插件
	訪問日誌  nginx  	logstash	codec json
	錯誤日誌  file		logstash 	file+  multiline
	運行日誌  file		logstash	codec  json
	設備日誌  syslog	        logstash	syslog插件	debug	  file		logstash	json  or  multiline	
2、日誌標準化
	路徑  固定
	格式  經量json
	
日誌系統:
ELK logstash
EFK Flume
EHK heka

消息隊列:
redis
rabbitmq
kafka


本文出自 “誌建” 博客,請務必保留此出處http://aoof188.blog.51cto.com/7661673/1949397

ELK的安裝配置使用

相關推薦

ELK 安裝配置中的默認端口結構圖

href otto 端口 經驗 jpg struct post idt str 在安裝配置 ELK 的過程中,涉及了比較多的默認端口,如 ElasticSearch 的 9200, Kibana 的 5601, 還有 Logstash 的 5044。 這些端口是按照怎樣的數

ELK安裝配置

https://www.elastic.co/   在官網找到自己所需要的版本下載對應的tar.gz檔案 我下載的是elasticsearch-5.1.1.tar.gz    由於ELK更新速度很快   最新版本總會有一些坑需要填  舊版本會比較穩定 使用rz上傳檔案到li

ELK日誌分析系統 介紹 安裝配置

elkELK日誌分析系統一、ELK介紹 ELK顧名思義:是由Elasticsearch,Logstash 和 Kibana三部分組成的。 其中Elasticsearch 是一個實時的分布式搜索和分析引擎,它可以用於全文搜索,結構化搜索以及分析。它是一個建立在全文搜索引擎 Apache Lucene

ELK安裝配置使用

redis kibana elk ELK的安裝配置一、ES集群的安裝:搭建ElasticSearch集群: 使用三臺服務器搭建集群 node-1(主節點) 10.170.13.1 node-2(從節點) 10.116.35.133 node-3(從節點) 10.44.79.57 下載安裝包 地址:

ELK 6安裝配置 nginx日誌收集 kabana漢化

restart proc times add-port app pack minimum node cnblogs #ELK 6安裝配置 nginx日誌收集 kabana漢化 #環境 centos 7.4 ,ELK 6 ,單節點 #服務端 Logstash 收集,過濾 E

linux系統elasticsearch、ELK 安裝配置、排錯及示例

簡介 開始學習安裝elasticsearch時,出現過很多錯誤,導致無法進行安裝的操作。該文章是供自己安裝的總結及後面的小夥伴們能更好更快的解決問題。安裝中出現過問題會在下面描述。 一 、部署準備 檔案準備 elk-5.4.0.tar.gz 部署環境 C

linux下elasticsearch、elk 安裝配置、排錯及示例

簡介 開始學習安裝elasticsearch時,出現過很多錯誤,導致無法進行安裝的操作。該文章是供自己安裝的總結及後面的小夥伴們能更好更快的解決問題。安裝中出現過問題會在下面描述。 一 、部署準備 檔案準備 elk-5.4.0.tar.gz 部署環境 C

ELK 6.4.3 OSS版本安裝配置

OSS版本是遵守Apache 2.0 licensed的,屬於開源專案。 Elasticsearch OSS 倒排索引服務 Elasticsearch OSS 6.4.3 下載地址: https://www.elastic.co/downloads/past-releases/e

Elk叢集安裝+配置(Elasticsearch+Logstash+Filebeat+Kafka+Kibana)

一、部署環境 1.基礎環境: 軟體 版本 作用 Linux Centos7.1,16g Jdk 1.8.0_151

ELk(Elasticsearch, Logstash, Kibana)的安裝配置

目錄 ELk(Elasticsearch, Logstash, Kibana)的安裝配置 1. Elasticsearch的安裝-官網 2. Kibana的安裝配置-官網 3. Logstash的安裝配置-官網 4. 使用ELK收集nginx的訪問日誌 5

ELK叢集-Kibana安裝配置(六)

安裝 tar -zxvf kibana-6.2.2-linux-x86_64.tar.gz mv kibana-6.2.2 /home/elk/kibana-6.2.2 配置 server.port: 5600 server.host: "0.0.0.0" server

ELK叢集-ElasticSearch安裝配置(五)

安裝 tar -zxvf elasticsearch-6.2.2.tar.gz mv elasticsearch-6.2.2 /home/elk/elasticsearch-6.2.2-01 cp -r /home/elk/elasticsearch-6.2.2-01 /home

ELK叢集-Logstash安裝配置(四)

安裝 tar -zxvf logstash-6.2.2.tar.gz mv logstash-6.2.2 /home/elk/logstash-6.2.2-01 cp -r /home/elk/logstash-6.2.2-01 /home/elk/logstash-6.

ELK叢集-Kafka安裝配置(三)

安裝 kafka: tar -zxvf kafka_2.11-2.1.0.tgz mv kafka_2.11-2.1.0 /home/kafka-2.11 zookeeper: tar -zxvf zookeeper-3.4.13.tar.gz mv zookeepe

ELK 架構之 Logstash 和 Filebeat 安裝配置

閱讀目錄: 1. 環境準備 2. 安裝 Logstash 3. 配置 Logstash 4. Logstash 採集的日誌資料,在 Kibana 中顯示 5. 安裝配置 Filebeat 6. Filebeat 採集的日誌資料,在 Kibana 中顯示 7. Filebeat 採集日誌資料,Logstas

MySQL日誌收集之Filebeat和Logstsh的一鍵安裝配置ELK架構)

關於ELK是什麼、做什麼用,我們不在此討論。本文重點在如何實現快速方便地安裝logstash和filebeat元件,特別是在近千臺DB Server的環境下(為了安全保守,公司DB Server 目前尚未部署saltstack一類的管控軟體)。在儘可能標準化的條件下,希望可以實現一鍵化安裝。下面是我們功能實現

Linux - vim安裝 配置與使用

格式 only ctx net height border term mona 方便 一 Vim 簡單介紹 曾經一直用vi,近期開始使用 vim,以下將兩者做一下比較。 vi和vim都是多模式編輯器,不同的是vim 是vi的升級版本號,它不僅兼容vi的全部指令,並且

Tomcat8.5的安裝配置

tomcat安裝配置1. 安裝JDKJDK官網地址:http://www.oracle.com/technetwork/java/javase/downloads/index.html點擊"JDK DOWNLOAD"進入下載頁面下載JDK軟件包,註意需選中"Accept License Agreement"才

tomcat免安裝配置

base ice install file log 安裝配置 image images nbsp 1、首先設置環境變量CATALINA_BASE、CATALINA_HOME: 2、設置好環境變量後,打開bin目錄下的startup.jar,[email pro

CentOS6上新增硬盤並安裝配置grub文件

centos6上新增硬盤並安裝配置grub文件實例:為運行於虛擬機上的CentOS 6添加一塊新硬件,提供兩個主分區;(1) 為硬盤新建兩個主分區;並為其安裝grub; (2) 為硬盤的第一個主分區提供內核和ramdisk文件; 為第二個分區提供rootfs; (3) 為rootfs提供bash、ls、cat