万物皆可学

前面安装过Logstash了，不做解释直接跳过。

Logstash我也是在/data下创建了个logstash目录一样解压后就相当于安装好了，进入解压后的目录里注意：logstash不像filebeat进入目录后就可以看见启动文件，logstash的启动文件在bin目录下。

注意：所有版本需要一直，我这里Elasticsearch是7.10.1，包括后期的Logstash那些都需要版本一致。我在/data下新建了一个filebeat目录下载并解压filebeat进入解压后的filebeat目录，嫌目录文件名长的话可以用mv命令修改一下。

进入谷歌浏览器应用商店搜索“Elasticsearch Head”，点击“添加至Chrome”按钮安装即可。

我在data下创建的脚本文件就叫：vi /data/clear_log.sh，内容如下。将脚本的判断条件从80%改成60%就执行清理脚本，直接手动执行脚本（为看效果）今天是11.23，3个月就是8月，所以把8.23之前的索引都给干。我这里之前已经清理过了，所以没到80%，查看磁盘情况现在61%可以再筛选一下索引确认，没有8.23号之前的了。当然直接查看磁盘情况更直观，61%降到51%了。保存退出，-l可以查看定时任务列表。脚本里面最后也会把情况推送到邮箱。编辑检测频率和你的脚本路径。

需求是带“服务商回传提单异常”的日志捞出来告警，当我按以下查询条件告警时会发现匹配不到我想要的日志原因：query_string查询默认就是模糊查询（并且是分词查询），例如”123“会拆分查询是否带否带1、带2、带3的日志条件不要*查询，不然拆分一个*出来匹配，会每条日志都告警match_phrase：表示精确短语查询，例如”我是真滴帅“必须带有这五个字的才匹配，只有”我是真滴“不行必须要带上”帅“才匹配。

ffbf已经被删除所有文档了，qqbq索引前面创建过一个文档，应该只有一个响应。返回信息，qqbq、ffbf的docs.count都为0了。例如：同时删除ffbf、qqbq索引的的所有文档。返回信息，只剩下的唯一一个文档了，也被删除了。例如删除name叫Helen的的文档。age大于130，小于140的文档。例如删除ffbf索引下的所有文档。返回信息，deleted：1。例如删除id为110的文档。返回信息，有两个文档被删了。返回信息，又一个文档被删了。

查询一下ffbf索引GET /ffbf/_search，可以看到所有文档的age都加了100。查询一下现在123文档的信息GET /ffbf/_doc/123，age加了10。通过_update_by_query，查询所有文档，给所有文档的age加100。查询一下文档GET /ffbf/_doc/110，age变成100了。查询文档信息GET /ffbf/_doc/123，女友1已被删除。查询文档信息GET /ffbf/_doc/123。查询文档信息GET /ffbf/_doc/123。

如果source有成千上百个字段，查询的数据没法看某些敏感字段不能随意展示响应数据较大影响网络带宽。

返回结果，ffbf索引的123、456文档返回数据，789文档不存在，qqbq123、456文档不存在，789正常返回数据。返回结果，可以看到id为123、456的文档数据返回了，789这个文档是没有的返回"found" : false。GET _mgt ，使用"docs":[ ]，同时查询ffbf、qqbq两个索引的123、456、789文档。返回结果，命中3条，ffbf的123、456，qqbq的789。返回结果，命中2条，查询不存在的id789文档直接无视。返回结果，存在200，OK。

插入之前需要了解一下标识符的概念。

了解指示灯状态之前需要先了解下什么是分片和副本。

启动docker compose -f docker-compose2.yml up -d。pri和rep是不会被分配在一个节点上的。es01节点挂了，es02变成了主节点。如下可以看到在es01和es03节点上。查看集群健康状态，绿色，节点有3个。被分配到es01和es02节点上了。我们将es03停止运行，模拟挂了。和上篇文章一样的，不演示操作了。和上篇文章一样的，不演示操作了。

但是返回的数据库格式不是JSON，一旦查询返回的数据比较大的时候直观查看是比较难的（注意：下面请求401，我们开启了认证，请求时需要带账号密码查询）下载nodejs（npm在nodejs里面），不要下载最新版的18.16.1版本不兼容。不想还特意打开elastic平台来查询，可以直接在服务器上使用curl查询。我们还没有创建索引，这些都是系统自带的，系统一些组件这些索引支持。我们是使用docker容器创建的，这里显示的ip是容器内部ip。集群名字使我们创建容器的时候设置的参数，状态绿色。

追加账号密码配置，注意：账号kibana密码要和前面在elasticsearch里面设置的密码一致。要和elasticsearch版本对应我这里是7.10.1，访问kibana，登录账户名需要用：elastic。进入容器，开启elasticsearch认证功能。设置elasticsearch密码，照样进入容器。访问elasticsearch，9200端口。进入elasticsearch容器。访问kibana，5601端口。重启elasticsearch。重启elasticsearch。

使用elastalert2对elk中的日志进行监控及飞书报警

5.0版本之后Elastic将一些重要的插件整合成了X-Pack（需要收费）这里安装开源的ElastAlert2来告警需要Python3.10的支持。

Sentinl插件下载sentinl下载地址：点此跳转下载注意sentinl版本要和elk版本一致，否则像下面一样安装不了[root@localhost share]# /usr/share/kibana/bin/kibana-plugin install file:///usr/share/sentinl-v7.6.1.zip Attempting to transfer from file:///usr/share/sentinl-v6.8.4.zipTransferring 31316835

告警效果Watch上星期发的那篇条件有点单一告警会发现所有环境的系统日志告警全部混在一起的这次还需要同时判断两个字段的信息，具体看Watch JSON现在我这里有4条正在运行的高级watcherdevelop_warn： develop环境10分钟内出现10次warn便钉钉告警列出10次告警内容error_watcher： develop、production、sandbox三个环境只要一分钟内出现error就告警并列出告警内容production_warn： production环境1

elk服务器安装钉钉插件创建个文件夹存放插件mkdir -p /data/prometheus/dingtalk下载prometheus-webhook-dingtalkwget https://github.com/timonwong/prometheus-webhook-dingtalk/releases/download/v1.4.0/prometheus-webhook-dingtalk-1.4.0.linux-amd64.tar.gz解压tar -vxzf prometheus-w

网上很多用Nginx代理来做登陆验证功能，其实Elastic自带了访问控制功能。Elasticsearch 设置编辑 Elasticsearch 配置文件elasticsearch.ymlvim /etc/elasticsearch/elasticsearch.yml在最后面加上下面配置开启验证功能xpack.security.enabled: true保存重启 Elasticsearch 服务systemctl restart elasticsearch重启后，执行下面命令设置密码

ELK之Watcher告警设置

这里我额外用了台服务器nginx-demo(192.168.170.175)使用epel源不然直接用命令安装nginx，提示没有可用的软件包yum install epel-release //安装epelyum update //更新系统yum install -y vim* //安装vim编辑器yum install -y nginx //安装nginxsystemctl stop firewalld //关闭防火墙systemctl disable firewal

Kibana6版本后可以支持中文了，默认 Kibana界面都是英文显示，对于国内开发者不是很友好，但 Kibana6版本之后 是支持多语言的，我们只需在其配置文件中增加一行配置，就可以实现中文界面。在kibana.yml文件中配置vim /etc/kibana/kibana.yml再最后面加上一句配置i18n.locale: “zh-CN”i18n.locale: "zh-CN"然后保存重启 Kibana 服务systemctl restart kibana最后刷新一下页面可以看见一句生

如何在 CentOS7 上安装 Elasticsearch、Logstash 和 Kibana（Elastic Stack）