ELK日志分析平台部署

最新推荐文章于 2025-03-28 21:03:59 发布
最新推荐文章于 2025-03-28 21:03:59 发布
阅读量440 收藏
点赞数 1
文章标签: elk elasticsearch 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32262243/article/details/126741544
版权

什么是ELFK

ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具Agent,Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。

  • Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
  • Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
  • Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。
  • Filebeat隶属于Beats。目前Beats包含四种工具:
    1、Packetbeat(搜集网络流量数据)
    2、Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
    3、Filebeat(搜集文件数据)
    4、Winlogbeat(搜集 Windows 事件日志数据)

为什么要用ELFK

一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。
一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以提高定位问题的效率。一个完整的集中式日志系统,需要包含以下几个主要特点:收集、传输、存储、分析、警告,而ELK提供了一整套解决方案,并且都是开源软件,之间互相配合使用,完美衔接,高效的满足了很多场合的应用。并且是目前主流的一种日志系统。

官方文档知识库

准备Elasticsearch

安装Java环境

yum -y install java-1.8.0-openjdk
export JAVA_HOME=/usr/java

编写Elasticearch的yum仓库文件

rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch

vim /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

yum clean all

安装Elasticsearch

yum -y install elasticsearch

配置Elasticsearch

vim /etc/elasticsearch/elasticsearch.yml
cluster.name: KJ-Cloud    #配置集群名称
node.name: node.kemin-cloud.com    #配置节点名称
path.data: /var/lib/elasticsearch    #配置data存放的路径
path.logs: /var/log/elasticsearch    #配置日志存放的路径
bootstrap.memory_lock: false    #配置是否使用内存交换分区
bootstrap.system_call_filter: false    #配置是否启用检测
network.host: 0.0.0.0    #配置监听地址
http.port: 9200    #配置监听端口
discovery.zen.ping.multicast.enabled: false    #配置是否启用广播地址
discovery.zen.ping.unicast.hosts: ["127.0.0.1"]    #配置指定节点
增加vm.max_map_count项到sysctl.conf文件中
vim /etc/sysctl.conf
vm.max_map_count = 655360

sysctl -p

修改用户文件最大数量

vim /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096

vim /etc/security/limits.d/90-nproc.conf
* soft nproc 1024    #修改为* soft nproc 2048

验证Elasticsearch是否正常

curl http://127.0.0.1:9200/

努力爬坑。。。。

报错:system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk
原因:这是在因为操作系统不支持SecComp,而ES5.2.2默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动。
解决:
vim /etc/elasticsearch/elasticsearch.yml
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

报错:max virtual memory areas vm.max_map_count [65536] is too low, increase to at least [262144]
原因:最大虚拟内存区域设置过小
解决:vim /etc/sysctl.confvm.max_map_count = 655360 

报错:max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536],max number of threads [1024] for user [lishang] likely too low, increase to at least [2048]
原因:最大文件描述符和最大线程数设置过小
解决:
vi /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096 

报错:max number of threads [1024] for user [lish] likely too low, increase to at least [2048]
原因:用户最大线程数设置过小
解决:vi /etc/security/limits.d/90-nproc.conf
* soft nproc 1024    #修改为* soft nproc 2048 

准备Logstash

编写Logstash的yum仓库文件

rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch

vim /etc/yum.repos.d/logstash.repo
[logstash-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

yum clean all

安装Logstash

yum -y install logstash

测试Logstash

/usr/share/logstash/bin/logstash -e 'input { stdin { } } output { elasticsearch { hosts => ["127.0.0.1:9200"] } stdout { codec => rubydebug }}'

图形化Kibana

编写Kibana的yum仓库文件

rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch

vim /etc/yum.repos.d/kibana.repo
[kibana-6.x]
name=Kibana repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

yum clean all

安装Kibana

yum install kibana

配置Kibana

vim /etc/kibana/kibana.yml
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.url: "http://127.0.0.1:9200"
kibana.index: ".kibana"

启动Kibana

service kibana start

测试访问Kibana

http://127.0.0.1:5601

最后总结

总的来说,ELK日志搜集分析平台搭建是遇到的问题还是会有的,和服务器有关,所以在服务起不来,报错的情况下莫慌,稳住,想看报错,然后分析,报错说哪里有问题就调整哪里,一步一步来,这仅仅是部署搭建而已,真正的运用搜集日志还没开始呢,后面还会更新有关Logstash的更多知识,如果小伙伴们在搭建的过程中有什么问题还可以在下方留言,我们可以一起探讨探讨~~

ELK 日志分析系统的部署
weixin_63634809的博客
04-26 3111
文章目录一、ELK前言1.1 需要收集的日志1.2 日志收集后,如何可视化1.3 日志收集可视化后,怎么使用1.4 要怎么收集日志二、ELK简介2.1 ElasticSearch介绍2.2 ElasticSearch核心概念2.2 ELK里面有哪些组件 一、ELK前言 1.1 需要收集的日志 系统日志:为监控做准备,要收集tomcat系统日志,tomcat所在节点的日志 服务日志:比如数据库mysql,收集慢查询日志、错误日志、普通日志,要收集tomcat服务日志。 业务日志(业务日
单节点ELK日志分析平台部署指导
大江东去
07-29 276
(一)服务器信息概览: 操作系统:CentOS Linux release 7.6.1810 (Core) 服务器配置推荐:8vCPU 16G100G Elasticsearch版本:7.8.0(目前的最新版) Kibana版本:7.8.0 Logstash版本:7.8.0 (二)简要说明 ELK主要由ElasticSearchLogstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器 Beats。 Elasticsearch :分布式搜索引擎。 具有高可伸缩
徒手从零搭建一套ELK日志平台(万字教程)
hello world!
03-28 97
Elasticsearch是一个基于Lucene库的分布式搜索引擎和数据分析引擎,能够实现实时搜索和分析大规模的数据集,支持文本、数字、地理位置等多种类型的数据检索和分析。Elasticsearch是一个开源的、高度可扩展的平台,能够处理海量的数据,并支持分布式的数据存储和处理。Logstash是一个高度可扩展的工具,能够处理大量的数据,并支持分布式部署。Codecs不是一个单独的流程,而是在输入和输出等插件中用于数据转换的模块,用于对数据进行编码处理,常见的插件如json,multiline。
ELK分布式日志管理平台部署
koeda1的博客
11-27 826
ELK分布式日志分析管理系统的安装部署
日志分析ELK平台部署
weixin_34092455的博客
09-29 92
工作原理如下如所示:部署流程:1、安装logstash的JDK环境:#tarzvxfjdk-8u73-linux-x64.tar.gz #mvjdk-8u73-linux-x64/usr/local/java #vim/etc/profile exportJAVA_HOME=/usr/local/java CLASSPATH=/usr/local/java/...
ELK日志监控测试部署
weixin_34044273的博客
01-19 326
2019独角兽企业重金招聘Python工程师标准>>> ...
ELK日志分析平台一键部署脚本
08-01
ELK日志分析平台一键部署脚本 架构:logstash+elasticsearch+kibana 功能:shell脚本一键部署 亲测有用!!!
ELK日志分析平台搭建全过程
01-27
ELK日志分析平台搭建指南》 在复杂的IT环境中,日志管理变得至关重要,特别是当有多台服务器和多个业务模块需要实时监控日志时。ELKElasticsearchLogstash、Kibana)日志分析平台因其高效、灵活的特点,成为...
ELK实时日志分析平台部署.docx
10-08
ELK实时日志分析平台是IT运维中常用的一种日志管理和分析工具,由ElasticsearchLogstash、Kibana以及Filebeat四个组件组成。Elasticsearch是一个强大的开源分布式搜索引擎,具备数据搜集、分析和存储功能,其特性...
ELK:日志监控平台部署-基于elastic stack 8版本
weixin_39027047的博客
10-29 1458
最近在学习ELK,已完成了集群的部署,但在部署期间遇到很多问题,从而浪费很长时间,所以想将部署过程记录下来,分享给大家,希望大家少走弯路,加快学习效率,也为自己巩固知识,愿与大家共同成长!
elk日志分析平台
04-08
系统环境: rhel6.5 elasticsearch:2.3.3 logstash:2.3.3 kibana:4.5.1 https://www.elastic.co/downloads 从官网下载的最新版本 rpm 包
Linux企业运维——ELK日志分析平台(中)ES节点优化、logstash数据采集、过滤插件
weixin_44310047的博客
03-08 2139
Linux企业运维——ELK日志分析平台(中) 文章目录Linux企业运维——ELK日志分析平台(中)1、ES节点优化1.1、ES节点角色1.2、节点角色属性1.3、属性组合方式1.4、节点职责划分2、logstash数据采集2.1、logstash简介2.2、logstash安装与配置2.3、logstash采集系统日志2.4、logstash伪装成日志服务器,直接接收远程日志3、过滤插件3.1、多行过滤插件3.2、grok过滤插件 1、ES节点优化 1.1、ES节点角色 Master: 主要负责集群中
ELK日志分析系统
weixin_51720711的博客
08-11 978
一、ELK日志分析系统简介 1、日志服务器的优缺点 优点 提高安全性 集中存放日志 缺点 对日志的分析困难 2、ELK 日志简化分析的管理工具,由Elasticsearch(ES)、Logstash、Kibana三个开源工具组成,官方网站: https://www.elastic.co/products ES(nosql非关数据库):存储功能和索引 Logstash(收集日志):到应用服务器上拿取log,并进行格式转换后输出到es中 通过input功能来收集/采集log filter过滤器:格式化数据 o
ELK+logback+kafka+nginx 搭建分布式日志分析平台
码农笔录-微信公众号博客
08-12 1万+
ELK+logback+kafka 搭建分布式日志分析平台 ELKElasticsearch , Logstash, Kibana)是一套开源的日志收集、存储和分析软件组合。而且不只是java能用,其他的开发语言也可以使用,今天给大家带来的是elk+logback+kafka搭建分布式日志分析平台。本文主要讲解一下两种流程。 1.我们是通过logback打印日志,然后将日志通过kafka消息...
ELK日志分析平台
Tendering的博客
07-05 219
ELK日志分析平台 ELK关系: ELK分别是:Elasticsearch Logstash Kibana Logstash收集日志存储到Elasticsearch再通过Kibana展示. Elasticsearch 开源分布式搜索引擎,提供搜索,分析,存储数据三大功能; 主要负责将Logstash收集的日志数据索引并存储; 特点:分布式,零配置,自动发现,索引自动分片,索引副本机制,多数据源,自动搜索等; 数据以JSON文档的格式存储索引,不需要预先规定范式。 Logstash 主要负责日志的
ELK日志分析监控平台
热门推荐
派大星的不眠博客
02-21 2万+
日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。 如果管理的服务器或者程序比较少的情况我们还可以逐一登录到各个服务器去查看、分析。但如果服务器或者程序的数量比较多了之后这种方法就显得力不从心。基于此,一些集中式的日志系统也就应用而生。目前比较有名成熟的有,Splunk(商业)、FaceBook 的Scribe、Apache的Chukwa Cloudera的Fluentd、还有ELK等等。
ELK】日志系统&部署
五彩斑斓的黑@的博客
10-24 992
提供一个分布式多用户功能的全文搜索引擎,对各类数据实时的索引和查询、高可用性和水平扩展性;存放各类日志,搜索各类大型文档。数据处理工具,可以有多个来源采集数据,对数据进行过滤和转换增强,将数据发给Elasticsearch或其它目的地。针对ElasticSearch的数据可视化平台,可通过各种图表、仪表盘和地图来展示和搜索ElasticSearch的其中数据。它可以整合数据分析、接口灵活、可视化多数据源。
ELK详细安装部署
weixin_30633405的博客
03-01 183
一、前言 ​ 日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解决问题。分析日志可以更清楚的了解服务器的状态和系统安全状况,从而可以维护服务器稳定运行。 ​ 但是日志通常都是存储在各自的服务器中。如果管理数十台服务器, 查阅日志需要依次登陆不同的服务器,查看过程就会很繁琐从而导致工作效率低下。虽然可以使用 r...
麒麟服务器V10 SP3 系统 搭建ftp
最新发布
04-03
### 配置和启动FTP服务器 要在麒麟服务器操作系统V10 SP3上配置和启动FTP服务器,可以按照以下方法操作: #### 1. 安装 vsftpd 软件包 首先需要确认系统已经安装了 `vsftpd` FTP服务软件包。如果没有安装,则可以通过 YUM 或 APT 包管理器来完成安装。 ```bash yum install vsftpd -y ``` 此命令会自动下载并安装 `vsftpd` 及其依赖项[^1]。 #### 2. 启动并设置开机自启 安装完成后,需要启动 `vsftpd` 服务,并将其设置为随系统启动而自动运行。 ```bash systemctl start vsftpd systemctl enable vsftpd ``` 通过上述命令可分别实现服务的手动启动以及开机自启功能[^4]。 #### 3. 检查服务状态 为了验证服务是否正常工作,可以查看当前的服务状态。 ```bash systemctl status vsftpd ``` 如果一切顺利,应该可以看到类似于“active (running)”的状态提示信息[^3]。 #### 4. 修改防火墙规则 默认情况下,某些安全策略可能会阻止外部访问FTP端口(通常是21号端口),因此还需要调整系统的防火墙设定允许该流量进入。 ```bash firewall-cmd --permanent --add-service=ftp firewall-cmd --reload ``` 这些指令将永久开放FTP通信所需的相关权限,并重新加载防火墙配置使其生效。 #### 5. 编辑主配置文件 最后一步是对 `/etc/vsftpd/vsftpd.conf` 文件中的参数做适当修改以满足实际需求。比如启用匿名上传、限定特定目录范围等功能都可以在此处定义。 ```ini anonymous_enable=YES local_enable=YES write_enable=YES chroot_local_user=YES allow_writeable_chroot=YES pasv_min_port=40000 pasv_max_port=50000 ``` 保存更改之后重启服务让新设置立即应用: ```bash systemctl restart vsftpd ``` 至此,在Kylin Server V10 SP3平台上成功搭建了一个基础版的FTP服务器环境[^2]。 ```python print("FTP server setup completed.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kim同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值