分布式ELK平台(下)

最新推荐文章于 2024-07-30 11:18:21 发布
原创 最新推荐文章于 2024-07-30 11:18:21 发布 · 172 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ELK #Linux

Kibana使用

一 批量导入数据
1 使用_bulk批量导入数据
1)批量导入数据使用POST方式,数据格式为json,url编码使用data-binary
2)导入含有index配置的json文件

[root@room9pc01 ~]# gzip -d logs.jsonl.gz 
[root@room9pc01 ~]# gzip -d shakespeare.json.gz 
[root@room9pc01 ~]# curl -X POST "http://192.168.1.11:9200/_bulk" --data-binary @logs.jsonl
[root@room9pc01 ~]# curl -X POST "http://192.168.1.11:9200/_bulk" --data-binary @shakespeare.json

3)导入没有index配置的json文件,需要在url里面制定index和type

[root@room9pc01 ~]# gzip -d accounts.json.gz 
[root@room9pc01 ~]# curl -X POST "http://192.168.1.11:9200/xixi/haha/_bulk"  --data-binary @accounts.json

//索引是xixi,类型是haha,必须导入索引和类型,没有索引,要加上

二 数据批量查询

 [root@room9pc01 ~]#curl -XGET 'http://192.168.1.11:9200/_mget?pretty' -d
'{
 "docs":[
     {
        "_index":"shakespeare",
        "_type:":"act",
        "_id":0
},
{
        "_index":"shakespeare",
        "_type:":"line",
        "_id":0
},
{
        "_index":"xixi",
        "_type:":"haha",
        "_id":25
}
]
}'

三 Map映射
映射:创建索引的时候,可以预先定义字段的类型及相关属性
作用:使索引建立得更加细致和完善
分为:自动根据数据类型的动态映射和自定义字段的静态映射
四 Kibana部分

五 Kibana修改时间

六 Kibana数据展示

七 Kibana展示方式

Logstash

1)一个数据采集、加工处理以及传输的工具
2)特点:
所有类型的数据集中处理
不同模式和格式数据的正常化
自定义日志格式的迅速扩展
为自定义数据源轻松添加插件

一、Logstash 是java开发的,一个数据采集、加工处理以及传输的工具

二、安装Logstash
1 配置主机名

[root@logstash ~]# vim /etc/hosts
192.168.1.11 es1
192.168.1.12 es2
192.168.1.13 es3
192.168.1.14 es4
192.168.1.15 es5

192.168.1.25 logstash
192.168.1.120 web-apache

2 配置yum源

3 安装java-1.8.0-openjdk

4 安装logstash
[root@logstash ~]# yum -y install logstash-2.3.4-1.noarch.rpm

5 打开官方文档的网址
https://www.elastic.co/guide/en/logstash/current/index.html
在这里插入图片描述
################################################################
1 创建别名

[root@logstash ~]# vim /etc/bashrc
alias logstash="/opt/logstash/bin/logstash"
[root@logstash ~]# source /etc/bashrc

2 配置文件,添加插件
[root@logstash bin]# cd /opt/logstash/bin/
[root@logstash bin]# ./logstash-plugin list // 列出所有 插件

[root@logstash ~]# vim  /etc/logstash/logstash.conf
input{
 stdin{ codec => "json" }  //input调用标准输入模块stdin,输入json格式
}

filter{ } 

output{
  stdout{ codec => "rubydebug" } //output调用标准输出模块stdout,rubydebug是调式
}

3 启动

[root@logstash logstash]# logstash -f /etc/logstash/logstash.conf    
Settings: Default pipeline workers: 2
Pipeline main started  //启动后,会卡住不动。回车可输入信息,Ctrl+C结束程序退出。
{"A":1,"B":2,"C":3} //输入json格式
{
             "A" => 1,
             "B" => 2,
             "C" => 3,
      "@version" => "1",
    "@timestamp" => "2019-03-26T06:27:11.031Z",
          "host" => "logstash"
}

4配置文件/etc/logstash/logstash.conf ,查找官方文档
https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html
1)找到例子

input {
  file {
    id => "my_plugin_id"    //键值对格式
  }
}

并且添加到 :/etc/logstash/logstash.conf

2)找到Options,第三列是yes的必须配置,这里是yes 的只有path,其他为可选
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

[root@logstash bin]# vim /etc/logstash/logstash.conf
input{
  stdin{ codec => "json" }
  file{
    path => ["/tmp/a.log"]    //必须添加该模块
    sincedb_path => "/var/logstash/since.db"
    start_position => "beginning"
    type => "messige"
  }
}
filter{}

output{
  stdout{ codec => "rubydebug" }
}

[root@logstash ~]# mkdir -p /var/logstash/since.db  /tmp/a.log
[root@logstash ]# echo ${RANDOM} >> /tmp/a.log
[root@logstash bin]# logstash -f /etc/logstash/logstash.conf

path :表示将/tmp/a.log读入,该Input类型是数组,所以加中括号
sincedb_path:记录上一次读取文件到了哪一行哪个字节,避免重读或漏读
start_position :当指针记录文件不存在的时候,logstash的默认行为是不读取任何内容,设置为beginning是全部读取一遍。
type标签:读取出来的日志默认是不知道类型的。可以自动打上标签,

3)添加tcp和udp
tcp :模式有server 和client
默认是server,host是只监听的端口

[root@logstash bin]# vim /etc/logstash/logstash.conf

在input 的file下增加
input{
stdin{ codec => “json” }
file{
path => ["/tmp/a.log"]
sincedb_path => “/var/logstash/since.db”
start_position => “beginning”
type => “messige”
}

 tcp{
   mode => "server"
   host => "0.0.0.0"
   port => 8888
   type => "tcplog"
 }
 udp{
  port => 8888
  type => "udplog"
 }

[root@logstash bin]# logstash -f /etc/logstash/logstash.conf

在其他机器输入

[root@web-apache ~]# echo "hello " > /dev/tcp/192.168.1.25/8888

再查看可以看到以下信息
[root@logstash bin]# logstash -f /etc/logstash/logstash.conf
Settings: Default pipeline workers: 2
Pipeline main started
{
“message” => "hello ",
“@version” => “1”,
“@timestamp” => “2019-03-26T08:06:48.085Z”,
“host” => “192.168.1.120”,
“port” => 57482,
“type” => “tcplog”

4)在input 的file下增加

[root@logstash bin]# vim /etc/logstash/logstash.conf
 syslog {
   port => 514
 }

[root@logstash bin]# logstash -f /etc/logstash/logstash.conf

在Web机上的系统日志,添加

[root@web-apache ~]# vim /etc/rsyslog.conf
local0.notice                                 @@192.168.1.25:514  //local0.notice 接收到的信息发送给该主机

[root@web-apache ~]# logger -p local0.notice -t TESTLOG AAA       //将AAA发送local0.notice

再查看可以看到以下信息查看
[root@logstash bin]# logstash -f /etc/logstash/logstash.conf
Settings: Default pipeline workers: 2
Pipeline main started
{
“message” => “AAA\n”,
“@version” => “1”,
“@timestamp” => “2019-03-26T08:15:39.000Z”,
“host” => “192.168.1.120”,
“priority” => 133,
“timestamp” => “Mar 26 16:15:39”,
“logsource” => “web-apache”,
“program” => “TESTLOG”,
“severity” => 5,
“facility” => 16,
“facility_label” => “local0”,
“severity_label” => “Notice”
}

5)filter grok插件
解析非结构化的日志数据插件
grok使用正则表达式把非结构化的数据结构化

转义可以用小括号:)
%{宏名称:自己的名称}
宏的路径:

三、在web-apache主机上安装filebeat
1 安装filebeat
2 修改filebeat.yml
路径:修改为apache访问的日志路径
ES 注释掉,改为logstash(有例子,将注释去掉并修改)
去掉注释:document_log : apache_log
[root@web-apache yum.repos.d]# grep -Pv ‘^\s*(#|$)’ /etc/filebeat/filebeat.yml
filebeat:
prospectors:

-
  paths:
    - /var/log/httpd/access_log

input_type: log

document_type: apache_log

registry_file: /var/lib/filebeat/registry
output:

  logstash:
    hosts: ["192.168.1.25:5044"]

shipper:
logging:
files:
rotateeverybytes: 10485760 # = 10MB

3修改logstash.conf,添加
[root@logstash bin]# vim /etc/logstash/logstash.conf
input{
stdin{ codec => “json” }

  beats{
    port => 5044
  }

file{

output{
stdout{ codec => “rubydebug” }

  if [type] == "apache_log"{
  elasticsearch{
   hosts => ["192.168.1.11:9200","192.168.1.12:9200"]
   index => "apache_log"
   flush_size => 2000
   idle_flush_time => 10
       }
  }

}
4 打开另一终端查看5044是否成功启动

[root@logstash ~]#  netstat -antup | grep 5044

5 浏览器访问Elasticsearch,有apachelog

分布式ELK平台
ycchuan1的博客
01-10 279
1ELK简介 1.1什么是ELK ELK是一整套解决方案 是三个软件产品的首字母缩写 Elasticsearch:负责日志检索和储存 Logstash:负责日志的收集和分析、处理 Kibana:负责日志的可视化 开源软件 配合使用 1.2ELK能做什么 ELK组件在海量日志系统的运维中,可用于解决 分布式日志数据集中式查询和管理 系统监控 包含系统硬件和应用各个组件的监控等, 故障排查, 安全...
华为云搭建分布式ELK平台
xhn1871356的博客
02-09 2万+
华为云搭建分布式ELK平台 Elasticsearch : 负责日志检索和存储 Logstash : 负责日志的收集和分析,处理 Kibana : 负责日志的可视化 环境准备 1 es集群 5台 2 Logstash 1台 3 kibana 1台 es集群安装 1 设置ip与主机名对应 –配置/etc/hosts 192.168.1.51 es1 192.168.1.52 es2 ...
ElasticSearch(11)bulk批量操作与导入数据
учёба
12-27 4286
1 项目环境准备 springboot整合es:项目代码说明 2 bulk批量操作 都是使用add()方法实现的 未执行之前: package com.yy.esdemo; import org.elasticsearch.action.bulk.BulkRequest; import org.elasticsearch.action.bulk.BulkResponse; import org.elasticsearch.action.delete.DeleteRequest; import or
ElasticSearch入门(二)批量导入数据(Postman与Kibana)
Heartsuit的博客
02-23 1万+
背景 前面安装运行了ElasticSearch,在实际操作之前,先准备好数据,实际中一般是通过Logstash等插件实现其他数据库到ElasticSearch的同步,这里的演示采用直接导入的方式。 ElasticSearch官方有个数据集,文件内容的格式以行分隔: 每两行为一组,第一行指定索引id(也可为空),第二行为实际的数据体。 {"index":{"_id":"1"}} {"accoun...
第一章 入门示例
weixin_30826761的博客
08-31 82
zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./logstash -e 'input{stdin{}} output{stdout{codec=>rubydebug}}' Settings: Default pipeline workers: 1 Pipeline main started Hellow World { ...
ELK数据批量导入、查询)
weixin_40018205的博客
07-30 4883
ELK 是一个实时分布式的日志分析平台    ELK 是一整套的解决方案    (E)lasticsearch  --  数据库    (L)ogstash        --  收集日志、标准化的程序    (K)ibana            --  图形的展示工具 [root@kibana ~]# gzip -d '/root/桌面/shakespeare.json.gz' gzip...
分布式日志分析系统--ELK
最新发布
flytalei的博客
07-30 1204
ELK是由elastic公司开发的三个开源项目( Elasticsearch、Logstash和Kibana)的首字母缩写,三个项目各有不同的功能。后来elastic又增加了许多新项目,于是从5.X版本后改名为Elastic Stack。Elastic Stack是一套适用于数据采集、扩充、存储、分析和可视化的免费开源工具。
第六十一章:部署ELK分布式日志分析平台1
08-08
ELK分布式日志分析平台是针对大规模业务环境下的日志管理需求而设计的一种解决方案。随着业务的发展,服务器数量增多,日志数据量激增,传统的日志管理和问题排查方式变得低效。ELK平台能够有效地收集、传输、存储和...
ELK + Filebeat + Kafka 分布式日志管理平台搭建
2301_82242204的博客
04-23 985
在部署的过程中可能会遇到各种情况,此时根据日志说明都可以百度处理(如部署的过程中不能分配内存的问题)。如果完成后如果数据显示不了,可以先到根据工作流程到各个节点查询数据是否存储和传输成功。如查询filebeat是否成功把数据传输到了kafka,可以进入kafka容器当中使用kafka中如下命令查询:查看日志filebeat中的数据是否正常在kafka中存储。
logstash使用小结
好记性不如烂笔头
05-03 3710
http://nosmoking.blog.51cto.com/3263888/1852115 一、安装 1、jdk 和 环境变量 支持jdk-1.7以上,推荐jdk-1.8 在环境变量配置:JAVA_HOME   2、安装 有2种方式下载,推荐缓存rpm包到本地yum源 1)直接使用rpm wget https://dow
logstash实现日志文件同步到elasticsearch深入详解
热门推荐
铭毅天下Elasticsearch
07-06 4万+
引言:之前博文介绍过了mysql/oracle与ES之间的同步机制。而logstash最初始的日志同步功能还没有介绍。本文就logstash同步日志到ES做下详细解读。1、目的:将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件:[root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02
导入Logstash日志到Elasticsearch
1.02^365=1377.41
11-22 1万+
导入logstash日志到Elasticsearch 一、logstash是什么? Logstash是一款轻量级的日志搜集处理框架,可以方便的把分散的、多样化的日志搜集起来,并进行自定义的处理,然后传输到指定的位置,比如某个服务器或者文件。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如MySQL,redis,kakfa,HDFS, lucene,s
超详细部署ELK日志分析平台
wenhao的博客
07-04 873
ELK是一整套解决方案 日志分析平台,是三个软件产品的首字母缩写,ELK分别代表: Elasticsearch:负责日志检索和储存 Logstash:负责日志的收集和分析、处理 Kibana:负责日志的可视化,提供图形化界面,实时总结流量和数据的图表。 ELk的架构: 准备环境: ES集群安装 ——安装一台ES服务器: 需要自定义yum源 普通光盘镜像里没有elk的软件包(利用ftp服务共享软件包) 因为elasticsearch是java开发的,所以需要安装java-1.8.0-openjdk
震惊全网的ELK日志分析系统(齐全详细理论+搭建步骤图释)
TaKe___Easy的博客
05-23 2353
ELK一、前言概述与基础理论1.1 ELK系统简介1.2 ELK日志工作原理1.3 Elasticsearch、Logstash、Kibana详细介绍 一、前言概述与基础理论 1.1 ELK系统简介 ELK日志分析系统是由:Elasticsearch、Logstash、Kibana组合而成 Elasticsearch:开源分布式搜索引擎。特点有:分布式、零配置、自动发现、索引自动分片、索引副本机制、restful风格接口、多数据源、自动搜索负载等等 Logstash:是个完全开源的工具,可以对我们的日
Logstash学习笔记
Ghost Stories
02-08 5747
背景 先介绍下ELK stack Elasticsearch Elasticsearch 是基于 JSON 的分布式搜索和分析引擎,专为实现水平扩展、高可用和管理便捷性而设计 Logstash Logstash 是动态数据收集管道,拥有可扩展的插件生态系统,能够与 Elasticsearch 产生强大的协同作用。 Kibana Kibana 能够以图表的形式呈现数据...
elasticsearch
vhkgcf的博客
05-21 389
[root@server1 elk]# rpm -ivh elasticsearch-2.3.3.rpm [root@server1 elk]# cd /etc/elasticsearch/ [root@server1 elasticsearch]# vim elasticsearch.yml cluster.name: my-application node.name: server1 path...
ELK Stack集群部署与Grafana及可视化图形
Enweitech Software Works
01-26 4730
今天说说,我们为什么会选择从kibana4迁移到grafana,并选用grafana作为elasticsearch的图表展现工具。 文章中关于kinaba和grafana的对比会有些片面,勿喷. 最一开始使用kibana ElasticSearch的组合是为了集中式收集应用及系统日志.  后来由于业务方面的原因,现在各个业务的多数模块也选择依赖elasticsearch。除此之外,现
有关Logstash的笔记
坤哥的学习笔记
06-28 5612
安装Logstash 安装前提:Logstash需要java.所以需要首先安装java7或以上版本.使用oracle的java或者开源的Openjdk均可以参考这里. 开始安装,我的系统是Ubuntu 16.04.发现通过deb形式安装或者通过 配置仓库安装之后.均不太好找到Logstash的执行文件,且执行下面的命令时会报错.所以我通过下载并解压缩tar.gz包的方式进行安装,tar.gz安装包下
构建高效ELK分布式日志管理系统:部署与关键特性
在IT运维和数据分析的领域,部署ELK分布式日志分析平台是一个关键步骤,尤其对于大型企业或复杂系统来说。ELK(Elasticsearch、Logstash和Kibana)平台被广泛应用于解决日志管理和问题定位的挑战。以下是关于部署ELK...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值