ELFK简介

ELK日志系统详解
原创 已于 2024-08-23 22:23:50 修改 · 3.5k 阅读 · 47 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #ELFK #elk #linux #运维

于 2024-07-04 09:11:17 首次发布

👨‍🎓博主简介

  🏅优快云博客专家
  🏅云计算领域优质创作者
  🏅华为云开发者社区专家博主
  🏅阿里云开发者社区专家博主
💊交流社区:运维交流社区 欢迎大家的加入!
🐋 希望大家多多支持,我们一起进步!😄
🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏 ⭐️ 加关注+💗

文章目录

在这里插入图片描述

前言

  当运维在平时工作的时候如果服务出现问题,我们一般都会查看日志去解决问题,而且有的服务不止一个日志,就需要不停的查看不同的日志,比较繁琐,而且还容易混乱思路。所以,这时候我们就需要一个可以统一收集服务的日志信息的一个应用,来缓解运维解决问题的复杂性和排查速度性。

  接下来讲解的就是一个可以统一收集日志系统并可以可视化展示的服务 ELK

一、ELK 概述

1. ELK 诞生的背景

1.1 没有ELK分析日志前

没有日志分析工具之前,运维工作存在哪些痛点?
痛点1、生产出现故障后,运维需要不停的查看各种不同的日志进行分析?是不是毫无头绪?
痛点2、项目上线出现错误,如何快速定位问题?如果后端节点过多、日志分散怎么办?
痛点3、开发人员需要实时查看日志但又不想给服务器的登陆权限,怎么办?难道每天帮开发取日志?
痛点4、如何在海量的日志中快速的提取我们想要的数据?比如:PV、UV、TOP10的URL?如果分析的日志数据量大,那么势必会导致查询速度慢、难度增大,最终则会导致我们无法快速的获取到想要的指标。
痛点5、CDN公司需要不停的分析日志,那分析什么?主要分析命中率,为什么?因为我们给用户承诺的命中率是90%以上。如果没有达到90%,我们就要去分析数据为什么没有被命中、为什么没有被缓存下来。

1.2 使用ELK分析日志后

如上所有的痛点都可以使用日志分析系统ELK解决,通过ELK,将运维所有的服务器日志,业务系统日志都收集到一个平台下,然后提取想要的内容,比如错误信息,警告信息等,当过滤到这种信息,就马上告警,告警后,运维人员就能马上定位是哪台机器、哪个业务系统出现了问题,出现了什么问题。

2. ELK 简介

  ELK 是一套完整的日志集中处理的技术组合,它是将ElasticSearchLogstashKilbana三个开源的工具去配合构建的一个平台,可以完成更强大的用户对日志的查询、排序、统计需求。

  可以将我们的系统日志、网站日志、应用系统日志等各种日志进行收集、过滤、清洗,然后进行集中存放并可用于实时检索、分析;能够帮助我们更好地理解数据、监控系统性能并进行故障排除。

ELK官网:https://www.elastic.co/cn/

3. ELK的基础组件和扩展组件

基础组件:Elasticsearch、Logstash、Kibana

扩展组件:Filebeat、Fluentd

ELK 分别代表:

3.1 Elasticsearch

Elasticsearch:基于 Lucene 搜索引擎库构建,具有分布式搜索、实时数据分析、高性能和高可伸缩性的特点,提供了非常强大的搜索和分析引擎。

Elasticsearch:是一个实时的、分布式的可扩展的搜索引擎;允许进行全文、结构化搜索,它通常用于索引和搜索大容量的日志数据,也可用于搜索许多不同类型的文档。

Elasticsearch:可以存储和索引大规模的数据(比如日志),并提供快速的全文搜索、条件过滤、聚合和分析功能

3.2 Logstash

Logstash:实现了数据的收集和处理。是一个可扩展的数据收集、转换和传输工具

它可以从各种来源(如日志文件、消息队列、数据库等)收集数据,并将数据进行过滤、分析、丰富、转换为统一格式,然后发送到 Elasticsearch 进行存储和分析。

Logstash :具有强大的插件功能,常用于日志处理。最常用的就是输入插件输出插件,可以与各种数据源和目标进行集成;也有很强大的过滤功能,可以对数据进行处理、过滤及转换,以满足不同业务的需求。

Logstash :是由 Ruby 语言编写,运行在 Java 虚拟机(JVM)上,是一款强大的数据处理工具, 可以实现数据传输、格式处理、格式化输出。

Logstash:是作为ELK流程中的第一个组件 - 主要用于收集数据、过滤重要数据。

  • Logstash 常用的命令:

-f:通过这个选项可以指定 Logstash 的配置文件,根据配置文件配置 Logstash 的输入、输出流

-e:从命令行中获取,输入、输出后面跟着字符串,该字符串可以被当作 Logstash 的配置(如果是空,则默认使用 stdin 作为输入,stdout 作为输出)

-t:测试配置文件是否正确,然后退出。
  • Logstash 的输入、输出流流程:

image-20240313163359234

  • **input:**设置数据来源。
  • **filter:**数据处理层,可以对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式。
  • **output:**设置输出目标,如Elasticsearch等;将过滤后的数据输出到Elasticsearch中。

3.3 Kibana

Kibana 提供了可视化和交互式分析的界面,可通过基于浏览器的界面轻松搜索需要的数据并进行分析。

Kibana 是一个针对Elasticsearch的开源数据分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。

使用Kibana,可以通过各种图表进行高级数据分析及展示,创建自定义仪表盘来展示关键指标和监控警报

Kiabana通常与ElasticSearch一起部署,Kibana 是 Elasticsearch 的一个功能强大的数据可视化Dashboard,Kibana 提供图形化的 web 界面来浏览 Elasticsearch 日志数据,可以用来汇总、分析和搜索重要数据。

  • 配置简单:

Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。

  • 整合数据:

Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图。

  • 可视化多数据源:

Kibana可以非常方便地把来自Logstash、Filebeat、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch,支持的第三方技术包括Apache flume、 Fluentd 等。

  • 简单数据导出:

Kibana可以方便地导出感兴趣的数据及重要的数据,与其它数据集合并融合后快速建模分析,发现新结果。

3.4 Filebeat

Filebeat是一款轻量级的开源日志数据收集器。

通常在需要采集数据的客户端安装 Filebeat,并指定目录与日志格式,Filebeat 就能快速收集数据,并发送给 logstash 进行解析,或是直接发给 Elasticsearch 存储。

性能上相比运行于 JVM 上的 logstash 优势明显,是对它的替代。常应用于 EFLK 架构当中。

  • filebeat 结合 logstash 的优点:

①、通过 Logstash 具有基于磁盘的自适应缓冲系统,该系统将吸收传入的吞吐量,从而减轻 Elasticsearch 持续写入数据的压力;

②、从其他数据源(例如数据库,S3对象存储或消息传递队列)中提取;

③、将数据发送到多个目的地,例如S3,HDFS(Hadoop分布式文件系统)或写入文件;

④、使用条件数据流逻辑组成更复杂的处理管道。

3.5 缓存/消息队列(redis、kafka、RabbitMQ等)

可以对高并发日志数据进行流量削峰和缓冲,这样的缓冲可以一定程度的保护数据不丢失,还可以对整个架构进行应用解耦。

3.6 Fluentd

Fluentd是一个流行的开源数据收集器。

由于 logstash 太重量级的缺点,Logstash 性能低、资源消耗比较多等问题,随后就有 Fluentd 的出现。

相比较 logstash,Fluentd 更易用、资源消耗更少、性能更高,在数据处理上更高效可靠,受到企业欢迎,成为 logstash 的一种替代方案,常应用于 EFK 架构当中。在 Kubernetes 集群中也常使用 EFK 作为日志数据收集的方案。
在 Kubernetes 集群中一般是通过 DaemonSet 来运行 Fluentd,以便它在每个 Kubernetes 工作节点上都可以运行一个 Pod。 它通过获取容器日志文件、过滤和转换日志数据,然后将数据传递到 Elasticsearch 集群,在该集群中对其进行索引和存储。

4. ELK的用处

(1)日志主要包括系统日志,应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误;
(2)往往单台机器的日志我们使用grep、awk等工具就能基本实现简单的分析,但是当日志被分散在不同的设备或位置上储存,那么就大大的降低了排查问题的效率了。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样感觉很繁琐和效率低下;
(3)当务之急我们使用集中化的日志管理,例如∶开源的syslog,将所有服务器上的日志收集汇总。集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心;
(4)一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以提高定位问题的效率及解决的问题的效率。

5. ELK 基础架构/工作原理

在这里插入图片描述

①、在所有需要收集日志的服务器上部署Logstash,或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署 Logstash;当然日志集中管理也是个大工程,看自己的意愿吧。

②、Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中。

③、Elasticsearch 对格式化后的数据进行索引和存储。

④、Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。

综上所述:

logstash作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交由Elasticsearch存储,kibana在对日志进行可视化处理。

在这里插入图片描述

以上截图是多台服务进行的数据采集、过滤然后给到Elasticsearch 进行集中数据存储,最后Kibana在进行数据读取并分析、展示。

二、参考文献

文章标题文章地址
EFK日志收集系统概述https://blog.youkuaiyun.com/qq_42267081/article/details/112938762
ELK日志分析系统的详细介绍与部署https://blog.youkuaiyun.com/m0_74170357/article/details/133873054

三、相关文章

文章名称文章链接
ELFK简介https://liucy.blog.youkuaiyun.com/article/details/139653744
ELFK 8.12.2 单机部署 – docker部署方式⚽https://liucy.blog.youkuaiyun.com/article/details/139761024
【云原生】k8s集群部署最新版ELFK日志采集平台
景天科技苑
04-21 5万+
1. logstash通可以收集日志,也可以进行数据清洗,但是一般不用logstash来做日志收集,其依赖java环境,并且数据量过大,会占用过多资源,所以logstash一般用来进行数据清洗 2. logstash清洗完的数据会交给elasticsearch进行存储 3. 用户通过kibana进行可视化页面查看日志,kibana主要用途是负责数据的展示,类似于grafana。 4. kibana中展示得数据是通过elasticsearch的api进行相关数据的搜索。 5. filebeat是一个轻量级的日
【Docker】完美解决拉取镜像超时报错:ERROR: Get https://registry-1.docker.io/v2/
热门推荐
liu_chen_yang的博客
02-20 11万+
因为我们下载的镜像是外的镜像资源,所以下载的速度会非常的慢,甚至大概率下载时会报错,所以需要我们配置一个国内的服务器镜像地址,国内服务器镜像地址有很多,这里咱们就说一下阿里镜像加速器的配置方法。
ELK日志分析系统
Hanxuhanhan的博客
07-10 3684
随着业务量的增长,每天业务服务器将会产生上亿条的日志,单个日志文件达几个GB,这时我们发现用Linux自带工具,cat grep awk 分析越来越力不从心了,而且除了服务器日志,还有程序报错日志,分布在不同的服务器,查阅繁琐。ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。...
# ELK
csdn13424的博客
04-21 1161
Elasticsearch处理的都是json格式的数据,需要通过Logstash来收集数据并加工为json格式后传输给Elasticsearch。Logstash是一个使用 Java开发的数据采集、加工处理以及传输的工具。所有类型的数据集中处理不同模式和格式数据的正常化自定义日志格式的迅速扩展为自定义数据源轻松添加插件Logstash不支持同时启动两个进程Logstash的模块input:收集数据。filter:处理数据。output:输出数据。
elfk 搭建搭建系列(一) -- 简介
苦逼小码农的博客
10-08 3292
elfk 搭建搭建系列(一) -- 简介 简介ELK 是一整套解决方案,是三个软件产品的首字母缩写, Elasticsearch、 Logstash 和 Kibana。这三款软件都是开源产品,通常是配合使用,简称为 ELK 协议栈。 日志主要包括系统日志、应用程序日志和安全日志。系统运维开发可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的...
ELFK 8.12.2 部署 -- docker部署方式⚽
liu_chen_yang的博客
07-08 4245
ELFK 8.12.2 部署 -- docker部署方式⚽
ELFK日志系统部署及注意事项
打杂的运维
01-12 934
ELFK是Elasticsearch、Logstash、Filebeat、Kibana的简称,是目前最流行的开源日志分析平台。Elasticsearch:分布式搜索引擎,用于存储日志数据,提供强大的全文检索和分析功能Logstash:日志收集处理工具,用于过滤和转换日志,支持多种输入输出源Filebeat:轻量级日志收集器,用于收集文件日志,资源占用少,可靠性高Kibana:可视化平台,用于展示和分析日志,提供丰富的图表和仪表盘功能。
了解elkelfk
qq_47300079的博客
09-21 897
简述elk
ELKELFK 日志分析系统
这里没有简介
05-24 1455
输入采用标准输入,输出采用标准输出(类似管道)#执行 ctrl+c 退出#使用 rubydebug 输出详细格式显示,codec 为一种编解码器#使用 Logstash 将信息写入 Elasticsearch 中结果不在标准输出显示,而是发送至 Elasticsearch 中,可浏览器访问 http://172.168.1.11:9100/ 查看索引信息和数据浏览。Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)。
ELK,ELFK日志收集分析系统
m0_66372974的博客
04-11 1382
是基于Luccene(一个全文检索引擎的架构)开发的分布式存储检索引擎,是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大容量的日志数据,也可用于搜索许多不同类型的文档Elasticsearch是基于java语言开发,可以通过restful web接口,让用户可以通过浏览器与Elasticsearch通信数据收集引擎,它支持动态的从各种数据源搜集数据,并对数据进行过滤,分析,丰富,统一格式等操作,然后存储到用户指定的位置,一般发送给Elasticsearch。
ELFK自定义安装,并收集nginx日志-浅入浅出
大锅霍皮久的博客
10-08 2813
ELFK自定义安装,并收集nginx日志-浅入浅出参考文档概述部署架构图大致如下Logstash和filebeat是什么关系服务端环境JDKElastsearch编辑配置启动Elasticsearch启动报错再次启动Elasticsearch访问ElasticsearchKibana下载指南编辑配置启动Kibana访问KibanaLogstash编辑配置启动Logstash客户端安装Filebea...
ELFK日志收集与可视化平台
weixin_64447699的博客
06-18 1508
ELFK指的是(通常被称为ELK Stack),以及Filebeat的组合。ELK Stack是一套开源工具,用于搜索、分析和可视化日志数据,而Filebeat是一个轻量级的日志数据传输器,可以将日志从服务器发送到Logstash或Elasticsearch。Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎,基于 Apache Lucene 构建。它被设计用于实时的全文搜索、结构化搜索、分析以及组合这两者。
ELFK日志分析系统(四)之Kafka
qq_45088125的博客
07-07 1996
ELK日志分析系统(一)之ELK原理 ELK日志分析系统(二)之ELK搭建部署 ELFK日志分析系统(三)之FilebeatKafka是一种消息队列,主要用来处理大量数据状态下的消息队列,一般用来做日志的处理。既然是消息队列,那么Kafka也就拥有消息队列的相应的特性了。 可以在系统中起到“肖峰填谷”的作用,也可以用于异构、分布式系统中海量数据的异步化处理。主要原因是由于在高并发环境下,同步请求来不及处理,请求往往会发生阻塞。比如大量的请求并发访问数据库,导致行锁表锁,最后请求线程会堆积过多,从而触发 to
ELFK、卡夫卡+EFLFK
博客
11-16 392
卡夫卡、eflfk
Linux系统如何查看服务器带宽及络使用情况
liu_chen_yang的博客
06-30 4万+
Linux系统如何查看服务器带宽及络使用情况
Linux】邮件服务器搭建 postfix+dovecot+mysql (终极版 超详细 亲测多遍无问题)
liu_chen_yang的博客
07-24 2万+
因为最近公司需要搭建一个邮件服务系统,但是如果在linux创建的话会有uid限制,而又需要创建大量的用户,上w个,这样会导致uid不足而无法创建用户;所以需要用到虚拟用户,在千辛万苦下找到了使用postfix+dovecot+mysql这种方式来做虚拟用户及邮箱发收,最终选择了使用:postfix+dovecot+mysql来实现这个功能;这里不推荐使用云服务器,因为云服务器会限制25端口,会导致邮件系统收发不了;邮件数据存储路径:/home/vmail。
Linux上实现分片压缩及解压分片zip压缩包 - 及zip、unzip命令详解
liu_chen_yang的博客
08-25 2万+
小提示: 如果在合并完压缩包之后,检查压缩包完整性的时候发现有错; 那么可以去windows上进行分片压缩,在拿到linux上合并,linux上的分片压缩不是很好,可能在合并并解压的时候报错,所以分片压缩的话还是建议在windows上; 没有必须要求分片合并解压在linux上的话,最好也在windows上进行操作。
【Docker】read tcp 172.16.11.202:42874->104.18.125.25:443: read: connection reset by peer
liu_chen_yang的博客
11-17 2万+
因为最近要打镜像,首先需要看一下该机器是否可以拉取到镜像,我就开始试拉取镜像,结果报错一层有一层;拉了一天都没有拉取到想要的镜像,就很气愤;最后找了很多文章以及报错的解决方式终于找到一个成功的了; 我就拿其一来举例,其中有一个报错是这样的;
Linux压力测试工具】 - Stress命令进行压力测试cpu、内存、磁盘
liu_chen_yang的博客
09-08 2万+
linux使用stress命令进行压力测试cpu
docker elfk
最新发布
08-27
在 Docker 环境中部署 ELFK(Elasticsearch, Logstash, Fluentd, Kibana)技术栈是一种常见的日志管理解决方案,适用于容器化应用的日志收集、处理、存储与可视化。以下是一个基于 Docker 的 ELFK 技术栈部署指南[^1]。 ### 1. 环境准备 确保系统中已安装 Docker 和 Docker Compose,因为 ELFK 的部署通常使用 `docker-compose.yml` 文件来编排服务。以下是一个基础的 `docker-compose.yml` 文件结构示例: ```yaml version: '3.7' services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:8.13.2 container_name: elasticsearch environment: - discovery.type=single-node - ES_JAVA_OPTS=-Xms1g -Xmx1g ports: - "9200:9200" - "9300:9300" volumes: - esdata:/usr/share/elasticsearch/data networks: - elk logstash: image: docker.elastic.co/logstash/logstash:8.13.2 container_name: logstash ports: - "5044:5044" volumes: - ./logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml - ./logstash/pipeline:/usr/share/logstash/pipeline environment: - LOG_LEVEL=info depends_on: - elasticsearch networks: - elk kibana: image: docker.elastic.co/kibana/kibana:8.13.2 container_name: kibana ports: - "5601:5601" environment: - ELASTICSEARCH_HOSTS=http://elasticsearch:9200 depends_on: - elasticsearch networks: - elk fluentd: build: ./fluentd container_name: fluentd ports: - "24224:24224" - "24224:24224/udp" volumes: - ./fluentd/conf:/fluentd/conf depends_on: - elasticsearch networks: - elk volumes: esdata: driver: local networks: elk: driver: bridge ``` ### 2. 配置说明 - **Elasticsearch**:作为数据存储层,使用单节点模式运行。生产环境中应配置集群模式并启用安全功能。 - **Logstash**:用于日志的预处理,如解析、过滤和转换。其配置文件通常包括输入、过滤器和输出部分。 - **Kibana**:提供数据可视化界面,用于查询和展示 Elasticsearch 中的数据。 - **Fluentd**:作为日志收集器,负责从应用或系统中采集日志,并发送至 Logstash 或直接写入 Elasticsearch。 ### 3. 启动服务 在包含 `docker-compose.yml` 文件的目录中执行以下命令以启动 ELFK 技术栈: ```bash docker-compose up -d ``` 此命令将以分离模式启动所有服务,并根据配置文件自动创建必要的容器。 ### 4. 验证部署 - **Elasticsearch**:访问 `http://localhost:9200` 以验证 Elasticsearch 是否正常运行。 - **Kibana**:访问 `http://localhost:5601` 以打开 Kibana 界面。 - **Logstash**:可通过查看容器日志确认其是否成功连接到 Elasticsearch。 - **Fluentd**:可通过查看其日志文件确认日志是否被正确收集并发送至目标。 ### 5. 配置日志收集 Fluentd 可以通过配置文件定义日志源,例如从文件系统、络套接字或其他服务中收集日志。以下是一个简单的 Fluentd 配置示例: ```xml <source> @type forward port 24224 </source> <match **> @type elasticsearch host elasticsearch port 9200 logstash_format true flush_interval 10s </match> ``` 此配置允许 Fluentd 接收来自其他服务的日志,并将其转发至 Elasticsearch。 ### 6. 安全性与性能化 - **安全性**:启用 Elasticsearch 和 Kibana 的安全功能,如用户认证、角色权限管理等。 - **性能化**:调整 JVM 堆内存大小、增加节点数量、化索引策略等以提升性能。
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

A-刘晨阳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值