ELK(Elasticsearch+Logstash+Kibana)

最新推荐文章于 2025-08-25 14:15:56 发布
原创 最新推荐文章于 2025-08-25 14:15:56 发布 · 1.4k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #elasticsearch #大数据

以下为ELK技术栈完整使用指南,涵盖核心组件部署、配置及优化方案:

一、ELK核心组件功能

组件 作用 关键特性
Elasticsearch 分布式搜索与分析引擎 实时索引、横向扩展、RESTful API
Logstash 日志收集、解析与传输管道 200+插件、Grok模式解析、数据过滤
Kibana 数据可视化与分析平台 仪表盘定制、机器学习分析、警报系统

二、部署流程(以CentOS 7为例)

1. 环境准备
# 安装Java环境
sudo yum install java-11-openjdk-devel
2. Elasticsearch安装
# 导入ES密钥
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

# 安装ES
cat > /etc/yum.repos.d/elasticsearch.repo <<EOF
[elasticsearch]
name=Elasticsearch repository
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

sudo yum install elasticsearch
3. 关键配置(/etc/elasticsearch/elasticsearch.yml)
cluster.name: prod-logs         # 集群名称
node.name: node-1               # 节点标识
network.host: 192.168.1.100     # 监听IP
discovery.seed_hosts: ["node-1"] # 单节点发现
4. 启动服务
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch
5. Logstash部署
sudo yum install logstash
6. Logstash管道配置(/etc/logstash/conf.d/apache.conf)
input {
   
   
  file {
   
   
    path => "/var/log/apache2/access.log"
    start_position => "beginning"
  }
}

filter {
   
   
  grok {
   
   
    match => {
   
    "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
   
   
    match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
   
   
  elasticsearch {
   
   
    hosts => ["http://192.168.1.100:9200"]
    index => "apache-logs-%{+YYYY.MM.dd}"
  }
}
7. Kibana安装与启动
sudo yum install kibana
sudo systemctl enable kibana && sudo systemctl start kibana

三、Kibana操作指南

  1. 数据接入

    • 访问 http://<server_ip>:5601
    • 进入 Management > Stack Management > Index Patterns 创建索引模式(如 apache-logs-*

  2. 日志分析

    • 使用 Discover 界面进行实时日志搜索
    response:200 AND bytes:>1000   # 筛选成功响应且传输量>1KB的请求

  3. 仪表盘构建

    • Dashboard 创建可视化图表:
      • 柱状图:HTTP状态码分布
      • 饼图:客户端操作系统占比
      • 地图:访问者地理位置分布

四、性能优化方案

  1. Elasticsearch调参

    # /etc/elasticsearch/jvm.options
-Xms4g   # JVM最小内存
-Xmx4g   # JVM最大内存(不超过物理内存50%)

  2. Logstash管道优化

    input {
     
     
  beats {
     
        # 改用轻量级Filebeat
    port => 5044
  }
}

  3. 索引生命周期管理(ILM)

    PUT _ilm/policy/logs_policy
{
     
     
  "policy": {
     
     
    "phases": {
     
     
      "hot": {
     
      "actions": {
     
      "rollover": {
     
      "max_size": "50GB" } } },
      "delete": {
     
      "min_age": "30d", "actions": {
     
      "delete": {
     
     } } }
    }
  }
}

五、安全加固措施

  1. 启用X-Pack基础安全

    # elasticsearch.yml
xpack.security.enabled: true

    # 生成密码
sudo /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

  2. Kibana用户角色配置

    • 通过 Stack Management > Security 创建只读用户

六、常见问题排查

  1. 日志未入库
    # 检查Logstash管道状态
tail -f /var/log/logstash/logstash-plain.log
  2. 集群健康异常
    curl -XGET 'http://localhost:9200/_cluster/health?pretty'
    • 关注 status 字段(green/yellow/red)

七、典型应用场景

  1. Web服务器监控
    • 实时分析Nginx/Apache访问日志,检测异常请求
  2. 安全审计
    • 通过自定义规则识别SSH暴力破解行为
    event.type: "authentication_failure" | stats count by source.ip
  3. 业务指标分析
    • 统计电商平台订单处理延迟(ELK + Kafka流处理)

:生产环境建议部署3节点ES集群,搭配Redis做日志缓冲队列

思维导图

在这里插入图片描述

以下是对ELK技术栈的全面解析,涵盖技术原理、设计架构、核心组件及代码实现:

一、技术原理与设计架构

1. 整体架构图
+----------------+       +----------------+       +----------------+       +----------------+
|   数据源        | ----> |   Logstash     | ----> |  Elasticsearch  | ----> |    Kibana      |
| (日志文件/DB等)  | 采集  | (数据处理管道)   | 传输  | (分布式搜索引擎)   | 可视化 | (数据展示平台)  |
+----------------+       +----------------+       +----------------+       +----------------+
2. 设计原理
  • 分布式扩展:Elasticsearch采用分片(shard)机制实现水平扩展
  • 近实时处理:数据从采集到可搜索延迟约1秒(refresh_interval)
  • Schema-on-Read:无需预先定义数据结构,动态映射字段类型
  • CAP原则:优先保证AP(可用性和分区容错性)

二、核心组件技术解析

1. Elasticsearch

数据结构与算法:

  • 倒排索引:核心数据结构,实现O(1)O(1)O(1
最低0.47元/天 解锁文章
ELKElasticsearchLogstashKibana) 分布式日志搭建详细过程
小菜bill的博客
09-03 1408
ELK是三款软件的简称,分别是LogstashKibana组成本文中描述了ELK日志平台的详细搭建过程,不对工具用途做描述。本文章包含四个模块:准备、搭建过程、使用kibanakibana 添加登录
如何搭建 ELKelasticsearch+logstash+kibana】日志分析系统
ShockChen7的博客
11-04 9399
ELKELK平台是一套完整的日志集中处理解决方案,将LogstashKiabana三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。Logstash:用于收集并处理日志,将日志信息存储到里面:用于存储收集到的日志信息Kibana:通过Web端的可视化界面来查看日志(数据可视化)ELK 的工作原理在所有需要收集日志的服务器上部署Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署LogstashLogstash收集日志,将日志格式化并输出到中。
ELKElasticsearch+Logstash+Kibana)日志分析系统
十七拾的博客
04-11 1万+
本文主要介绍了ELK日志文件系统的概念部署过程,详细阐释了ElasticsearchLogstashKibana三个开源的日志收集、存储、检索可视化的工具
全面掌握ELK Stack:日志管理与分析实战指南
最新发布
weixin_42465140的博客
08-25 389
虽然Logstash内置了多种输入插件,但在面对特定业务场景时,用户可能需要定义自己的数据源。Logstash允许用户通过自定义Ruby代码来实现输入插件,从而扩展其数据源的范围。自定义输入插件的开发涉及到Logstash的输入插件API。开发步骤通常包括编写Ruby代码来定义输入行为、数据处理流程以及如何将数据传递给过滤器或输出插件。下面是一个自定义插件的基本示例,该插件每隔一定时间间隔生成模拟日志数据:endendendend在上述代码中,我们定义了一个名为。
ELKElasticSearchLogstashKibana)入门详解
热门推荐
林夕
07-09 2万+
麋鹿ELKElasticSearchLogstashKiabana三个开源工具组成。一,ELK概述1 ,ELK 简介ElasticSearch:是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制, restful风格接口,多数据源,自动搜索负载等。Logstash: 是一个完全开源的工具,他可以对你的日志进行收集,分析,并将其存储供以后使用Kibana...
ELK stack(Elasticseach+Logstash+kibana技术栈)完整实现指南(附代码示例),ELK是一站式数据分享解决方案,快速应对大数据时代的数据收集,数据检索数据可视化
爱的叹息的专栏
04-29 1144
ELK stack(Elasticseach+Logstash+kibana技术栈)完整实现指南(附代码示例),ELK是一站式数据分享解决方案,快速应对大数据时代的数据收集,数据检索数据可视化
linu 搭建ELK(es+kibana+logstash)安装包
12-02
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
总结起来,"elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)" 压缩包包含了一套完整的日志管理分析工具链,适用于大数据环境,可以帮助企业实现高效的数据收集、处理、存储可视化。通过使用这套工具,...
suricata+elk+kibana+logstash安装手册.docx
08-13
Suricata+ELK+kibana+logstash 安装手册是网络安全领域中构建入侵检测系统(IDS)入侵防御系统(IPS)的关键步骤。这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的...
Elasticsearch+Kibana+Logstash 搭建日志平台
小程序
06-17 1万+
大型日志平台搭建 Java 环境部署 网上很多教程,此处只做出测试 java -version java version "1.7.0_45" Java(TM) SE Runtime Environment (build 1.7.0_45-b18) Java HotSpot(TM) 64-Bit Server VM (build 24.45-b08, mixed mo
ELK/ELFK(7.3 ) 企业PB级日志系统实战
12-25
Elastic Stack日志系统是目前企业应用广泛的一套日志解决方案。   包含的组件有Filebeat,Logstash,Elastic,Kibana等 本堂课引入Kafka 让Elastic Stack 能适应企业PB级的业务日志量并弥补传统ELk架构的不足   ★学完这门课程会获得什么?   首先从零开始教你部署Elastic Stack系统, 详细讲解Elastic产品,包括 Kibana.Logstash,Beats的详细讲解以及Elastic的api操作, 并如何监控如何绘图等。最后结合自己的运维过程中的案例讲解,让学员能更加清楚了解原理以及少走一些弯路。   目前我们公司每天产生至少8个T的数据量,历史日志保存半年。此教程足以能承担PB级的日志收集系统的量。此教程的背景介绍请参阅我的优快云博客,置顶内容的第一篇博文。
ELK的搭建使用
YIYIYI
08-11 4778
ELK的搭建使用
ELK超详细操作文档
二进制专栏
12-01 2470
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstash Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
ELK搭建以及使用教程(多pipiline)
weixin_38405770的博客
11-05 1728
ELK搭建
ELK搭建及基础使用(docker版)
weixin_49566876的博客
03-23 1694
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstash Kiabana 三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求● ElasticSearch(日志存储搜索):是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch通信。
ElasticSearch(九):ELK 架构
Men-DD
07-28 5404
ELK架构 Logstash Logstash数据传输原理 Logstash配置文件结构 Logstash导入数据到ES 同步数据库数据到Elasticsearch FileBeat的工作原理 Filebeat安装 ELK整合实战 采集nginx服务器日志 使用FileBeats将日志发送到Logstash 配置Logstash接收FileBeat收集的数据 Logstash输出数据到Elasticsearch 利用Logstash过滤器解析日志 输出到Elasticsearch指定索引......
ELK详细讲解使用
2301_78119344的博客
06-10 368
ELK是由组成的可以对多个环境的日志进行收集,过滤,存储,检错,可视化的日志系统ELK安装须知:LogstashKibana必须是同一版本的Dcoker安装Logstashdocker(版本号可改)docker如果你的服务器中没有elk这个网卡,可以执行网卡名创建网卡自定义路径创建一个Logstash文件夹,拷贝容器中配置信息文件夹赋权修改配置文件,找到拷贝过来的Logstash文件中config下的文件修改下的文件input {tcp {
强大的ELK日志分析系统!
guguai7的博客
08-16 9744
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
ELK从入门到入魔~
城北码农的博客
08-26 367
注意:这篇文章能让你快速把elk搭建起来! 先说说问什么要用这玩意:如果你的项目是分布式集群环境,有报错信息你要一个服务一个服务去找,是不是很曹丹!但是用了elk,你就可以在一个可视化界面上通过过滤条件快速过滤查询出你想要的任何信息。 首先介绍一下什么是elk–>ELKElasticsearchLogstashKibana,组合起来可以搭建线上日志系统,在目前这种分布式微服务系统中,通过ELK 会非常方便的查询统计日志情况.一般来说只用这三个组件就可以实现功能,深究起来还需要额外的组件比如
ELK Elasticsearch+Logstash+Kibana日志
03-20
### ELK 堆栈的日志管理分析 #### 工作原理概述 ELK 是由 ElasticsearchLogstash Kibana 组成的一个开源工具链,用于日志管理与分析。其基本工作流如下: - **Logstash** 负责从各种来源收集日志数据,并对其进行过滤格式化后发送至 Elasticsearch[^1]。 - **Elasticsearch** 提供强大的搜索引擎功能,负责对接收到的数据进行索引存储。 - **Kibana** 则作为前端界面,允许用户通过图形化的方式查询、分析以及可视化这些数据[^3]。 #### 安装与配置步骤说明 ##### 1. 安装 Elasticsearch Elasticsearch 是整个系统的基石,它提供了分布式搜索数据分析的能力。安装过程中需要注意版本兼容性问题。下载地址可以通过官方链接获取[^2]。完成安装后需调整 `elasticsearch.yml` 文件中的集群名称、节点名称以及其他必要的网络设置参数以适应实际环境需求。 ##### 2. 部署 Logstash Logstash 主要承担着数据输入端的角色,可以从文件系统、数据库或其他服务中提取原始记录再经过一系列插件处理之后传送给下游组件即 Elasticsearch 实例群组里去。具体操作包括解压软件包到目标目录下然后编辑对应的 configuration file 来定义 pipeline 的行为模式比如 source type filter output destination等等。 ##### 3. 设置 Kibana 最后一步就是启动 Kibana 应用来连接已有的 ES 数据库实例从而实现交互式的探索体验。同样地也需要修改默认路径下的 kibana.config.json 或者其他形式的初始化脚本来指定正确的 backend URL 地址确保两者之间能够正常通信握手成功建立联系。 以下是简单的 Python 示例来演示如何向运行中的 logstash 发送消息: ```python import logging import socket def send_log_to_logstash(message): host = 'localhost' # 替换为您的logstash主机名/IP port = 5000 # 替换为您所使用的TCP端口号 try: sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect((host, port)) sock.sendall(bytes(message + '\n', 'utf-8')) sock.close() except Exception as e: logger.error(f"Failed to send message {message} due to error: {e}") if __name__ == "__main__": test_message = "This is a test log entry" send_log_to_logstash(test_message) ``` 此代码片段展示了怎样利用标准库里的套接字模块构建起基础版客户端程序以便于测试目的验证我们的pipeline是否按预期那样运作良好。 #### 总结 综上所述,通过合理规划各部分之间的协作关系再加上细致入微得当的各项设定就可以顺利达成基于ELK框架之上高效稳定可靠的解决方案来满足企业级应用场合当中对于海量结构化半结构性乃至完全非结构化的各类事件追踪审计等方面提出的苛刻要求了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值