ELK企业级日志分析

已于 2024-07-18 00:02:00 修改
阅读量1.1k 收藏 27
点赞数 15
文章标签: elk
于 2024-07-17 23:58:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_78327423/article/details/140497453
版权

目   录

一、ELK简介

1.1 elasticsearch简介

1.2 logstash简介

1.3 kibana简介

1.4 ELK的好处

1.5 ELK的工作原理

二、部署ELK

2.1 部署elasticsearch(集群)

2.1.1 修改配置文件

2.1.2 修改系统参数

2.1.2.1 修改systemmd服务管理器

2.1.2.2 性能调优参数

2.1.2.3 修改内核参数

2.1.3 重启系统,开启elasticsearch服务

2.1.4 浏览器中插件elasticsearch

2.2 部署logstash

2.3 部署kibana图形化工具

三、管理nginx日志

四、管理tomcat日志

一、ELK简介

ELK是由elasticsearch+logstash+kibana三个开源软件的组成的一个组合体,对收集、分析和展示的企业级解决方案,主要优点有:

处理灵活:elasticsearch是实时全文索引,具有强大的搜索功能配置相对简单,API接口使用json接口,logstash使用模块配置,kibana的配置文件部分更简单。

检索性能高效:基于优秀的设计,虽然每次查询都是实时,但是也可以达到百万亿级数据的查询秒级响应。集群线性扩展:elasticsearch和logstash都可以灵活线性扩展。

前端操作绚丽:kibana的前端设计比较绚丽,而且操作简单。

1.1 elasticsearch简介

elasticsearch是一个高度可扩展性的开源全文索引和分析引擎,它可实现数据的实时全文搜索。

搜索、支持分布式可实现高可用、提供API接口,可以处理大规模日志数据,比如nginx,tomcat,系统日志等功能。

使用java语言开发,建立在全文搜索引擎Apache lucene基础之上的搜索引擎

特点:

实时搜索、实时分析

分布式架构、实时文件存储

文档导向,所有对象都是文档

高可用,易扩展,支持集群,分片与分配

接口友好,支持json

1.2 logstash简介

Logstash 是一个具有实时传输能力的数据收集引擎,其可以通过插件实现日志收集和转发,支持日志过滤,支持普通 log、自定义 json 格式的日志解析,最终把经过处理的日志发送给 elasticsearch。

1.3 kibana简介

Kibana 为 elasticsearch 提 供 一 个 查 看 数 据 的 web 界 面 , 其 主 要 是 通 过elasticsearch 的 API 接口进行数据查找,并进行前端数据可视化的展现,另外还可以针对特定格式的数据生成相应的表格、柱状图、饼图等。

1.4 ELK的好处

ELK组件在大数据运维系统中,主要可解决的问题:

日志查询,问题排查,故障恢复,故障自愈

应用日志分析,错误报警

性能分析,用户行为分析

1.5 ELK的工作原理

(1)在所有需要收集日志的服务器上部署logstash,或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署logstash。

(2)logstash收集日志,将日志格式化并输出到elasticsearch群集中。

(3)elasticsearch对格式化后的数据进行索引和存储

(4)kibana从ES群集中查询数据生成图表,并进行前端数据的展示。

总结:logstash作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交给elasticsearch存储,kibana对日志进行可视化处理。

二、部署ELK

全部的服务器配置,所有服务器不低于4G内存

服务器环境角色:三台机子

7-1(Node1)和7-2(Node2)作为elasticsearch存储数据。集群

7-3Node3作为收集日志服务器。


Node1:192.168.114.10

Node2:192.168.114.20

Node3:192.168.114.30

前期准备:

systemctl stop firewalld

setenforce 0

都需要java环境,先安装java:

yum install -y java

创建存放源码包的目录:

mkdir /data ; cd /data

2.1 部署elasticsearch(集群)

两台服务器配置一致,后面只需要修改一个地方,名字不同。

以下没有指定说明,主机Node2也同样的操作。

准备rpm包,拖进来。

[root@Node1 data]#:ls
elasticsearch-6.7.2.rpm

解压:rpm -ivh elasticsearch-6.7.2.rpm

[root@Node1 data]#:rpm -ivh elasticsearch-6.7.2.rpm

2.1.1 修改配置文件

进入配置文件的路径,修改配置文件,先备份

[root@Node1 data]#:cd /etc/elasticsearch/
[root@Node1 elasticsearch]#:cp -a elasticsearch.yml elasticsearch.yml.bak
[root@Node1 elasticsearch]#:vim elasticsearch.ym
#做出以下修改,前面数字是行号。
17:cluster.name: my-elk-cluster
23:node.name: node1
24:node.master: true
25:node.data: true
35:path.data: /var/lib/elasticsearch
39:path.logs: /var/log/elasticsearch
45:bootstrap.memory_lock: true
57:network.host: 0.0.0.0
61:http.port: 9200
62:transport.tcp.port: 9300    #手动添加,集群,主机之间通过9300端口相连
71:discovery.zen.ping.unicast.hosts: ["192.168.114.10:9300", "192.168.114.20:9300"]  #集群的IP地址,Node1和Node2的IP

过滤出看下修改的地方:

在这个配置文件中,第23行,名字不能一样,这个配置文件,可以远程拷贝到Node2

修改Node2的node.name名字为node2

2.1.2 修改系统参数

2.1.2.1 修改systemmd服务管理器

/etc/systemd/system.conf文件用于配置systemd的,这是一种用于linux操作系统的系统和服务管理器。通过这个文件,你可以自定义与系统操作、性能和行为相关的各种设置。在最后添加配置项:

DefaultLimitNOFILE=65536                #设置打开文件数量的默认限制
DefaultLimitNPROC=32000                #设置进程数量的默认限制
DefaultLimitMEMLOCK=infinity           #内存锁

[root@Node1 elasticsearch]#:vim /etc/systemd/system.conf
......
DefaultLimitNOFILE=65536
DefaultLimitNPROC=32000
DefaultLimitMEMLOCK=infinity
2.1.2.2 性能调优参数

最后添加

[root@Node1 elasticsearch]#:vim /etc/security/limits.conf
......
*  soft    nofile          65536
*  hard    nofile          65536
*  soft    nproc           32000
*  hard    nproc           32000
*  soft    memlock         unlimited
*  hard    memlock         unlimited

最低0.47元/天 解锁文章
心在征途
关注
ELK日志分析
Drw_Dcm的博客
10-10 3529
ELK日志分析
ELK 企业级日志分析系统
Decp_的博客
07-06 1234
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
ELK分析系统的搭建
weixin_55609833的博客
07-19 1403
ELK企业级日志分析系统一、ELK概述1.ELK简介2.为什么要使用ELK3.完整日志系统基本特征4.ELK的工作原理:ELK部署ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)1.环境准备2.部署 Elasticsearch 软件(1)安装elasticsearch—rpm包(2)加载系统服务(3)修改elasticsearch主配置文件(4)创建数据存放路径并授权(5)启动elasticsearch是否成功开启(6)查看节点信息安装 Elasticsearch-head
ELK之简介+Elasticsearch集群部署+索引管理
最新发布
2303_77178063的博客
04-16 1445
Logstash 作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交由 Elasticsearch 存储,Kibana 对日志进行可视化处理。
1. ELK日志分析
u010198709的博客
06-19 2952
部署在业务服务器的客户端agent, 用于让ELK联系beat采用日志。简称es, 分布式搜索引擎,负责日志数据的存储、搜索功能。例如创建索引、添加节点、删除节点。4、packetbeat, 适用于网络设备的日志。2、filebeat, 适用于搜集应用级别日志。3、winbeat, 适用于windows日志。建议实际部署时,使用高内存、高硬盘的服务器。1、topbeat, 适用于搜集系统日志。查看logstash自带的过滤日志的方法。负责数据预处理(解密、压缩、格式转换)日志过滤器,做日志过滤功能。
ELK日志分析系统部署
zzn0109的博客
07-13 891
ELK+Filebeat
ELK日志分析系统
weixin_56667320的博客
08-11 466
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、ELK日志分析系统简介1、日志服务器的优缺点2、ELK是什么?2.1、Logstash管理包含四种工具2.2、日志处理步骤二、Elasticsearch的基础核心概念1、接近实时(NRT)2、集群(cluster)3、节点(node) 一、ELK日志分析系统简介 1、日志服务器的优缺点 优点 提高安全性 集中存放日志 缺点 对日志的分析困难 2、ELK是什么? 日志简化分析的管理工具,由Elasticsearc
ELK企业级日志分析系统资源
05-15
ELK企业级日志分析系统是一种广泛应用于现代企业的日志管理和分析解决方案,它由三个主要组件构成:Elasticsearch、Logstash和Kibana。这三个工具的组合为收集、处理、存储、搜索和可视化大量日志数据提供了强大的...
ELK 日志分析
路人甲的博客
11-22 4725
文章目录一、为什么用到 ELK二、ELK 简介三、实验部署3.1 准备工作3.2 下载并安装软件包3.3 安装 JDK(java)环境工具3.4 配置 elasticsearch3.4.1 新建 elasticsearch 用户并启动3.4.2 查看进程是否启动成功3.4.3 若出现错误可以查看日志3.4.4 测试是否可以正常访问3.5 配置 logstash3.5.1 logstash 中 grok 的正则匹配3.5.2 创建 logstash 配置文件3.5.3 启动3.6 配置 kibana3.6.1
ELK企业级日志分析系统概述及部署(图文详解)
weixin_51613313的博客
03-05 999
主机 操作系统 IP地址 软件 node1 Centos7.4 192.168.153.10 Elasticsearch Kibana node2 Centos7.4 192.168.153.20 Elasticsearch apache Centos7.4 192.168.153.30 Logstash Apache 宿主机 Windows 192.168.153.1 ①关闭防火墙及安全机制 systemctl stop firewalld.service seten...
Spring Boot 搭建ELK,这才是正确看日志的方式
QAQFyl的博客
03-01 831
为什么要用ELK ELK实际上是三个工具,Elastricsearch + Logstash + Kibana,通过ELK,用来收集日志还有进行日志分析,最后通过可视化UI进行展示。一开始业务量比较小的时候,通过简单的SLF4J+Logger在服务器打印日志,通过grep进行简单查询,但是随着业务量增加,数据量也会不断增加,所以使用ELK可以进行大数量的日志收集和分析 简单画了一下架构图 在环境配置中,主要介绍Mac和Linux配置,Windows系统大致相同,当然,前提是大家都安装了JDK.
ELK前端日志分析、监控系统
热门推荐
eclipse_xu
11-28 1万+
前端日志与后端日志不同,具有很强的自定义特性,不像后端的接口日志、服务器日志格式比较固定,大部分成熟的后端框架都有非常完善的日志系统,借助一些分析框架,就可以实现日志的监控与分析,这也是运维工作的一部分。什么是ELKELK在服务器运维界应该是运用的非常成熟了,很多成熟的大型项目都使用ELK来作为前端日志监控、分析的工具。那么首先,我们来了解下什么是ELKELK实际上是三个工具的集合: E:Elas
ELK(Elasticsearch+Logstash+Kibana)日志分析系统
十七拾的博客
04-11 9169
本文主要介绍了ELK日志文件系统的概念和部署过程,详细阐释了Elasticsearch、Logstash、Kibana三个开源的日志收集、存储、检索和可视化的工具
ELK日志分析系统(企业级查看日志系统)
OSoooo的博客
10-06 1593
一、 ELK日志分析系统简介 ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。 ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。 Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。 Elasticsearch 是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值