如何搭建 ELK【elasticsearch+logstash+kibana】日志分析系统

已于 2025-04-07 10:07:48 修改
阅读量8.8k 收藏 53
点赞数 28
文章标签: elk elasticsearch 大数据
于 2024-11-04 15:49:55 首次发布

文章目录

一、为什么需要日志分析系统?

日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误

往往单台机器的日志我们使用 grep、awk 等工具就能基本实现简单分析,但是当日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。

如果:

• 你有很多台机器
• 你有各种各样的Log

只要满足这两个条件其中之一,那么一套日志系统是很有必要的。优秀的日志系统可以让你及时发现问题,轻松追查故障原因,进而提高生产力。

二、什么是 ELK

ELKelasticsearch + logstash + kibanaELK 平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstashKiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。

在这里插入图片描述

  • Logstash:用于收集并处理日志,将日志信息存储到 Elasticsearch 里面
  • Elasticsearch:用于存储收集到的日志信息
  • Kibana :通过Web端的可视化界面来查看日志(数据可视化)

ELK 的工作原理

  1. 在所有需要收集日志的服务器上部署 Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署 Logstash
  2. Logstash 收集日志,将日志格式化并输出到 Elasticsearch 中。
  3. Elasticsearch 对格式化后的数据进行索引和存储。
  4. Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。

三、搭建 ELK

1.安装 elasticsearch

https://blog.youkuaiyun.com/ShockChen7/article/details/142760578

2.安装kibana

https://blog.youkuaiyun.com/ShockChen7/article/details/142760578

3.安装logstash

1.拉取 logstash镜像

docker pull logstash:8.8.1

2.创建并运行容器

使用以下命令创建一个新的 logstash 容器并将其启动:

docker run --name some-logstash \
  -e ES_JAVA_OPTS="-Xms1g -Xmx2g" \
  -e TZ=Asia/Shanghai \
  -p 5044:5044 \
  -p 5000:5000 \
  -d logstash:8.8.1

创建挂载目录、复制数据卷

mkdir -vp /root/my-logstash
#赋于权限
sudo chown -R 1000:1000 /root/my-logstash
#复制数据卷
docker cp some-logstash:/usr/share/logstash/config /root/my-logstash/
docker cp some-logstash:/usr/share/logstash/pipeline /root/my-logstash/

注:下载的包一定要和 ElasticSearch 的版本一致,我这边选择的版本是8.8.1

3.配置

LogstashSettings 配置文件通常是 logstash.yml,这是 Logstash 的全局配置文件,用于设置 Logstash 运行的一些基本参数。

在本地编辑文件

vim /root/my-logstash/config/logstash.yml

logstash.yml 末尾加上以下配置,文件的作用是为 Logstash 配置全局参数,比如日志级别、管道线程数、队列类型等。

http.host: "0.0.0.0"
xpack.monitoring.enabled: true
# xpack.monitoring.elasticsearch.username: logstash_system  #es xpack账号密码
# xpack.monitoring.elasticsearch.password: "123456"
xpack.monitoring.elasticsearch.hosts: ["http://127.0.0.1:9200"]

修改 logstash.conf 为以下配置,默认的基础上,将 inputbeat 改为 tcp 端口 5044

vim /root/my-logstash/pipeline/logstash.conf

input {
   
   
  tcp {
   
   
    port => 5044
    ##格式json  否则中文会变成unicode编码
	codec => json_lines 
    
  }
}

output {
   
   
  elasticsearch {
   
   
    hosts => ["http://localhost:9200"]
    index => "my_log-%{+YYYY.MM.dd}"
    #user => "elastic" #es xpack账号密码
    #password => "changeme"
  }
}

注意:如果你的 es 运行在 docker 中,这里的配置中包括上面的,不能是 loc

陈震_
关注
ELK日志分析系统搭建
邓邓子的博客
03-10 5522
目录一、ELK 是什么?ElasticsearchLogstashKibana二、搭建 ELK1.安装 Elasticsearch2.安装 Logstash3.安装 Kibana三、配置实例1.将某个服务器某个目录下的日志收集到系统分析展示(1)修改 logstash-sample.conf 配置(2) 一、ELK 是什么? ELK 是三个开源项目的首字母缩写,这三个项目分别是:ElasticsearchLogstashKibanaElasticsearch 简称 ES,是一个分布式、可扩展、
Linux教程:ElkElasticsearch+LogStash+Kibana日志收集系统+Kafka+Filebeat)入门与部署搭建(二)
wfeil211的博客
11-23 771
Logstash 支持各种输入选择 ,可以在同一时间从众多常用来源捕捉事件。Logstash 提供众多输出选择,您可以将数据发送到您要指定的地方,并且能够灵活地解锁众多下游用例。数据从源传输到存储库的过程中,Logstash 过滤器能够解析各个事件,识别已命名的字段以构建结构,并将它们转换成通用格式,以便更轻松、更快速地分析和实现商业价值。Logstash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中(如Elasticsearch)。
ELK日志平台一站式搭建指南
最新发布
weixin_29885875的博客
06-12 628
在现代信息处理和分析领域中,ELK平台凭借其强大的日志管理和分析能力,成为了不可或缺的工具之一。ELK代表了三个组件:ElasticsearchLogstashKibana,它们共同构建了一个完整日志平台,使用户能够从海量数据中快速提取有价值的信息。首先,ElasticsearchELK的核心,它是一个高性能的分布式实时搜索和分析引擎。它可以帮助用户存储、搜索和分析大量结构化或非结构化的数据,通常被用于日志数据的实时分析。
搭建ELK日志平台(单机)
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
08-26 2095
搭建ELK日志平台(单机)
Spring Boot (日志篇):Log4j整合ELK搭建实时日志平台
Soinice的博客
11-13 3910
目录 说在前面 ELK elk 简介 elk下载安装 配置、启动 Elasticsearch 配置、启动 logstash 配置、启动kibana 创建springboot工程 在pom.xml加入相关依赖 打印log测试 在kibana 实时监控日志 说在前面 作为开发,日志是可以说是最重要,没有之一的东西。有代码就一定要有日志日志写的越详细,处理器bug来越简单,解...
ELK日志分析系统环境搭建
朗朗的博客
05-07 1272
1.准备出于学习的目的,本次操作在主机64位WIN7+VMware10。 - 虚拟机安装:ubuntu-14.04.1-desktop-i386.iso - elasticsearch5.3.1 - Kibana5.3.1 - Logstash5.3.12.安装ubuntu虚拟机首先,安装:vsftpd、vim; 通过FTP将jdk-8u111-linux-i586.tar.gz/elas
ELK日志收集系统搭建
08-13
NULL 博文链接:https://donald-draper.iteye.com/blog/2302224
ELK日志系统的搭建
adminstate的博客
04-23 2601
ELK日志系统搭建
ELK日志文件系统搭建
此后如竟没有炬火,我便是唯一的光。
03-30 2928
ELK日志分析系统1. 百度百科上的ELK2. ELK简介3. ELK的工作原理4. 使用ELK的好处5. 完整日志系统基本特征6. ELK安装部署 1. 百度百科上的ELK Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速
CentOS7下搭建ElasticSearch
zhangningkid的博客
07-31 2369
下载最新版ElasticSearch。 下载地址:https://www.elastic.co/cn/downloads/。并上传到CentOS上的/usr/local目录下。 解压刚刚下载的ElasticSearch的压缩包 tar xf elasticsearch-7.2.1-linux-x86_64.tar.gz 修改elasticsearch.yml文件 参数说明: clust...
elk日志系统的搭建
m0_56362438的博客
10-27 431
ELK平台一般我们用来做日志系统。它是三个开源项目的首字母的总称。ELK主要是以这三个项目作为核心来搭建日志处理系统。它们这个三个项目分别是ElasticsearchLogstashKibana。EalsticSearch 搜索和分析的功能Logstach 搜集数据的功能,类似于flume(使用方法几乎跟flume一模一样),是日志收集系统Kibana 数据可视化(分析),可以用图表的方式来去展示,文不如表,表不如图,是数据可视化平台ELK日志处理的大概流程,主要是Logstach。
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
ELK(Filebeat+Logstash+Elasticsearch+Kibana)日志收集系统
weixin_44130953的博客
01-01 1432
本次ELF日志收集系统,使用Filebeat收集所需要的日志推送给LogstashLogstash配置过滤信息再将信息发送给Elasticsearch再由Kibana呈现。
ELKelasticsearch+logstash+kibana】企业级日志分析系统
shanjun12的博客
04-09 1029
ELKelasticsearch+logstash+kibana】企业级日志分析系统
ELK 日志监控平台环境搭建及使用说明
热门推荐
Jeanphorn的专栏
11-01 1万+
1. ELK概述ELK,也就是ElasticsearchLogstashKibana三者的结合,是一套开源的分布式日志管理方案.Elasticsearch:负责日志存储、检索和分析LogStash:负责日志的收集、处理Kibana:负责日志的可视化方案: 2. 环境搭建为整体环境创建一个合适的目录,mkdir $project_path/ELK, project_path 根据情况而定,例如”
ELK日志平台搭建 (最新版)
m0_71071763的博客
01-03 755
【代码】ELK日志平台搭建 (最新版)
ELK日志平台搭建
在字节里改BUG
12-02 2141
ElasticsearchLogstashKibana 搭建日志平台
ELk日志平台搭建
2301_76838634的博客
07-11 6023
服务器数量较少时,使用 rsyslog 或者 脚本(scp) 进行收集、分割日志,再统一汇总到专门存放日志日志服务器保存管理。查看日志可以把需要的日志文件传到windows主机上,使用专业的文本工具打开分析日志。服务器数量较多时,使用 ELK 收集日志、存储日志、展示日志。对于在K8S平台运行的容器日志,可以使用 Loki+Granfana 收集日志、存储日志、展示日志
ELK入门及如何搭建
CNSYEAR BLOG
07-09 402
ELK入门及如何搭建 一.ELK是什么? 在项目初期的时候,大家都是赶着上线,一般来说对日志没有过多的考虑,当然日志量也不大,所以用log4j就够了,随着应用的越来越多,日志散落在各个服务器的logs文件夹下,确实有点不大方便。 当我们需要日志分析的时候你大概会这么做:直接在日志文件中 grep、awk 就可以获得自己想要的信息。 那你们想过这种方式的问题吗? 1.日志量太大如何...
ELK Elasticsearch+Logstash+Kibana日志
03-20
### ELK 堆栈的日志管理和分析 #### 工作原理概述 ELK 是由 ElasticsearchLogstashKibana 组成的一个开源工具链,用于日志管理与分析。其基本工作流如下: - **Logstash** 负责从各种来源收集日志数据,并对其进行过滤和格式化后发送至 Elasticsearch[^1]。 - **Elasticsearch** 提供强大的搜索引擎功能,负责对接收到的数据进行索引和存储。 - **Kibana** 则作为前端界面,允许用户通过图形化的方式查询、分析以及可视化这些数据[^3]。 #### 安装与配置步骤说明 ##### 1. 安装 Elasticsearch Elasticsearch 是整个系统的基石,它提供了分布式搜索和数据分析的能力。安装过程中需要注意版本兼容性问题。下载地址可以通过官方链接获取[^2]。完成安装后需调整 `elasticsearch.yml` 文件中的集群名称、节点名称以及其他必要的网络设置参数以适应实际环境需求。 ##### 2. 部署 Logstash Logstash 主要承担着数据输入端的角色,可以从文件系统、数据库或其他服务中提取原始记录再经过一系列插件处理之后传送给下游组件即 Elasticsearch 实例群组里去。具体操作包括解压软件包到目标目录下然后编辑对应的 configuration file 来定义 pipeline 的行为模式比如 source type filter output destination等等。 ##### 3. 设置 Kibana 最后一步就是启动 Kibana 应用来连接已有的 ES 数据库实例从而实现交互式的探索体验。同样地也需要修改默认路径下的 kibana.config.json 或者其他形式的初始化脚本来指定正确的 backend URL 地址确保两者之间能够正常通信握手成功建立联系。 以下是简单的 Python 示例来演示如何向运行中的 logstash 发送消息: ```python import logging import socket def send_log_to_logstash(message): host = 'localhost' # 替换为您的logstash主机名/IP port = 5000 # 替换为您所使用的TCP端口号 try: sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect((host, port)) sock.sendall(bytes(message + '\n', 'utf-8')) sock.close() except Exception as e: logger.error(f"Failed to send message {message} due to error: {e}") if __name__ == "__main__": test_message = "This is a test log entry" send_log_to_logstash(test_message) ``` 此代码片段展示了怎样利用标准库里的套接字模块构建起基础版客户端程序以便于测试目的验证我们的pipeline是否按预期那样运作良好。 #### 总结 综上所述,通过合理规划各部分之间的协作关系再加上细致入微得当的各项设定就可以顺利达成基于ELK框架之上高效稳定可靠的解决方案来满足企业级应用场合当中对于海量结构化半结构性乃至完全非结构化的各类事件追踪审计等方面提出的苛刻要求了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值