目录
5、对接Apache主机的Apache 日志文件(访问的、错误的)
一、ELK日志分析系统
1、日志分析
日志分析是运维工程师解决系统故障,发现、定位问题的主要途径。日志主要包括系统日志、应用
程序日志和安全日志系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的
错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠
正错误。
2、elk 日志分析的工具
一般会给研发/开发+测试使用,管理的权限范围,不一定所有人全有通常,日志被分散的储存在不
同的设备上。在管理十上百台服务器时,以传统方法查阅日志,即繁琐又效率低下。为此,我们可
以使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。集中化管理
日志后,日志的统计和检索又称为比较繁琐的事情,平常使用grep、awk和wc等Linux命令能实现
检索和统计,但是对于更高要求的查询、排序和统计等,再加上庞大的机器数量,效率低下。而开
源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和
Kiabana三个开源工具组成。
?ELK工作原理展示图:
3、Logstash
收集AppServer产生的Log,并存放到ElasticSearch集群中,而
Kibana则从ES集群中查询数据生成图表,再返回给Browser。简单来说,进行日志处
理分析,一般需要经过以下几个步骤:
?将日志进行集中化管理(beats)
beats包含四种工具:
?? ?Packetbeat(搜集网络流量数据)
?? ?Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
?? ????Filebeat(搜集文件数据)轻量级的工具(相较于logstash)
?? ?Winlogbeat(搜集 Windows 事件日志数据)
?将日志格式化(logstash)
?对格式化后的数据进行索引和存储(elasticsearch)
?前端数据的展示(kibana)
4、elasticsearch介绍
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。
Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业
搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。
5、Elasticsearch的基础核心概念
?1、接近实时(NRT)
elasticsearch是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟(通常是1秒)?2、集群(cluster)
一个集群就是由一个或多个节点组织在一起,它们共同持有整个的数据,并一起提供索引和搜索功能(共享数据)。其中一个节点为主节点,这个主节点是可以通过选举产生的,并提
供跨节点的联合索引和搜索的功能。集群有一个唯一性标示的名字,默认是elasticsearch,
?集群名字很重要,每个节点是基于集群名字加入到其集群中的。因此,确保在不同环境中使
用不同的集群名字(server_id)。一个集群可以只有一个节点。强烈建议在配置
elasticsearch时,配置成集群模式。es 具有集群机制,节点通过集群名称加入到集群中,
同时在集群中的节点会有一个自己的唯一身份标识(自己的名称)
?3、节点(node)节点就是一台单一的服务器,是集群的一部分,存储数据并参与集群的索引和搜索功能。像
集群一样,节点也是通过名字来标识,默认是在节点启动时随机分配的字符名。当然,你可
以自己定义。该名字也很重要,在集群中用于识别服务器对应的节点。节点可以通过指定集
群名字来加入到集群中。默认情况,每个节点被设置成加入到elasticsearch集群。如果启动
了多个节点,假设能自动发现对方,他们将会自动组建一个名为elasticsearch的集群。
?4、索引(index)
一个索引就是一个拥有几分相似特征的文档的集合。比如说,你可以有一个客户数据的索
引,另一个产品目录的索引,还有一个订单数据的索引。一个索引由一个名字来标识(必须
全部是小写字母的),并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删
除的时候,都要使用到这个名字。在一个集群中,如果你想,可以定义任意多的索引。
?索引相对于关系型数据库的库。(mysql create database school;)
?5、类型(type)
在一个索引中,你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区,其语义完全由你来定。通常,会为具有一组共同字段的文档定义一个类型。比如说,我
们假设你运营一个博客平台并且将你所有的数据存储到一个索引中。在这个索引中,你可以
为用户数据定义一个类型,为博客数据定义另一个类型,当然,也可以为评论数据定义另一
个类型。类型相对于关系型数据库的表
?6、文档(document)
一个文档是一个可被索引的基础信息单元。比如,你可以拥有某一个客户的文档,某一个产品的一个文档,当然,也可以拥有某个订单的一个文档。文档以JSON(Javascript Object
Notation)格式来表示,而JSON(yaml 和json)是一个到处存在的互联网数据交互格式。
?在一个index/type里面,只要你想,你可以存储任意多的文档。注意,虽然一个文档在物理
上位于一个索引中,实际上一个文档必须在一个索引内被索引和分配一个类型。文档相对于
关系型数据库的列。(MYSQL 字段)
索引(库)——》类型(表)——》文档(字段)
?7、分片和副本(shards & replicas)
阐述es做为搜索引擎为啥这么快在实际情况下,索引存储的数据可能超过单个节点的硬件限制。如一个10亿文档需1TB空间可能不适合存储在单个节点的磁盘上,或者从单个节点搜索
请求太慢了。为了解决这个问题,elasticsearch提供将索引分成多个分片的功能。当在创建
索引时,可以定义想要分片的数量。每一个分片就是一个全功能的独立的索引,可以位于集
群中任何节点上。
●分片的两个最主要原因:a. 水平分割扩展,增大存储量 ? ? ?b. 分布式并行跨分片操作,提高性能和吞吐量
分布式分片的机制和搜索请求的文档如何汇总完全是由elasticsearch控制的,这些对用户而
言是透明的。网络问题等等其它问题可以在任何时候不期而至,为了健壮性,强烈建议要有
一个故障切换机制,无论何种故障以防止分片或者节点不可用。?
?为此,elasticsearch让我们将索引分片复制一份或多份,称之为分片副本或副本。
●副本也有两个最主要原因:a. 高可用性,以应对分片或者节点故障。出于这个原因,分片
副本要在不同的节点上。b. qps性能,增大吞吐量,搜索可以并行在所有副本上执行。
总之,每个索引可以被分成多个分片。一个索引也可以被复制0次(意思是没有复制)或多
次。一旦复制了,每个索引就有了主分片(作为复制源的原来的分片)和复制分片(主分片
的拷贝)之别。分片和副本的数量可以在索引创建的时候指定。在索引创建的时候,你可以
在任何时候动态地改变副本的数量,但是你事后不能改变分片的数量。默认情况下
Elasticsearch中的每个索引被分片5个主分片和1个副本,这意味着,如果你的集群中至少有
两个节点,你的索引将会有5个主分片和另外5个副本分片(1个完全拷贝),这样的话每个
索引总共就有10个分片。
7、logstash介绍
Logstash由JRuby语言编写,基于消息(message-based)的简单架构,并运行在Java虚拟机(JVM)上。不同于分离的代理端(agent)
或主机端(server),LogStash可配置单一的代理端(agent)与其它开源软件结合,以实现不同的功能。
Logstash的理念很简单,它只做3件事情:
●Collect:数据输入
●Enrich:数据加工,如过滤,改写等
●Transport:数据输出(被其他模块进行调用)
1、logStash的主要组件:
●Shipper:日志收集者 。负责监控本地日志文件的变化,及时把日志文件的最新内容收集起来。通常,远程代理端(agent)只需要运行这个组件即可;
●Indexer:日志存储者。负责接收日志并写入到本地文件。
●Broker:日志Hub。负责连接多个Shipper和多个Indexer
●Search and Storage:允许对事件进行搜索和存储;
●Web Interface:基于Web的展示界面
正是由于以上组件在LogStash架构中可独立部署,才提供了更好的集群扩展性
2、LogStash主机分类:
●代理主机(agent host):作为事件的传递者(shipper),将各种日志数据发送至中心主机;只需运行Logstash 代理(agent)程序;
●中心主机(central host):可运行包括中间转发器(Broker)、索引器(Indexer)、搜索和存储器(Search and Storage)、
Web界面端(Web Interface)在内的各个组件,以实现对日志数据的接收、处理和存储8、Kibana介绍
Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。
使用Kibana,可以通过各种图表进行高级数据分析及展示。Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面
可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。设置Kibana非常简单。无需编写代码,几分钟内就可以完成Kibana安装并启动Elasticsearch索引监测。
?
主要功能:
1、Elasticsearch无缝之集成。Kibana架构为Elasticsearch定制,可以将任何结构化和非结构化数据加入Elasticsearch索引。
Kibana还充分利用了Elasticsearch强大的搜索和分析功能。2、整合你的数据。Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图(???)。
3、复杂数据分析。Kibana提升了Elasticsearch分析能力,能够更加智能地分析数据,执行数学转换并且根据要求对数据切割分块。
4、让更多团队成员受益。强大的数据库可视化接口让各业务岗位都能够从数据集合受益。
5、接口灵活,分享更容易。使用Kibana可以更加方便地创建、保存、分享数据,并将可视化数据快速交流。
6、配置简单。Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。
7、可视化多数据源。Kibana可以非常方便地把来自Logstash、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch,支持的第三方技术包括Apache Flume、Fluentd(作为一套收集容器日志的采集器)等。
8、简单数据导出。Kibana可以方便地导出感兴趣的数据,与其它数据集合并融合后快速建模分析,直观的发现新结果。
?二、实验
配置三台
192.168.182.137 node1
192.168.182.138 node2
192.168.182.139 httpd
1、配置elasticsearch环境
这两台以下配置相同
192.168.182.137 node1
192.168.182.138 node2
?[root@node1 ~]# java -version
tar zxvf jdk-8u91-linux-x64.tar.gz -C /usr/local/
在末行添加
vim /etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_91
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
?
【部署elasticsearch软件】
####登录192.168.182.137####
1、安装elasticsearch—rpm包
上传elasticsearch-5.5.0.rpm到/opt目录下
[root@node1 ~]# cd /opt
[root@node1 opt]# rpm -ivh elasticsearch-5.5.0.rpm
2、加载系统服务
[root@node1 opt]# systemctl daemon-reload ???
[root@node1 opt]# systemctl enable elasticsearch.service
3、更改elasticsearch主配置文件
[root@node1opt]#cp?/etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
[root@node1 opt]# ?vi /etc/elasticsearch/elasticsearch.yml
17/ cluster.name: my-elk-cluster ??????????????????####集群名字
23/ node.name: node1 ?????????????????????????????????####节点名字
33/ path.data: /data/elk_data ???????????????????????####数据存放路径
37/ path.logs: /var/log/elasticsearch/ ??????????####日志存放路径
43/ bootstrap.memory_lock: false ????????????????####不在启动的时候锁定内存(前端缓存。与IOPS-性能测试方式,每秒读写次数相关)
55/ network.host: 0.0.0.0 ??????????????????????????????####提供服务绑定的IP地址,0.0.0.0代表所有地址
59/ http.port: 9200 ???????????????????????????????????????####侦听端口为9200
68/ discovery.zen.ping.unicast.hosts: ["node1", "node2"] ??????????####集群发现通过单播实现
节点名字不能一样 需要更改
?
[root@node1 opt]# ?grep -v "^#" /etc/elasticsearch/elasticsearch.yml
除了节点不一致 ?其他都想同
4、创建数据存放路径并授权
[root@node1 opt]# mkdir -p /data/elk_data
[root@node1 opt]# chown elasticsearch:elasticsearch /data/elk_data/
5、启动elasticsearch是否成功开启(启动慢 稍等片刻)
[root@node1 elasticsearch]# systemctl start elasticsearch.service
[root@node1 elasticsearch]# netstat -antp |grep 9200
?
?
?在真机浏览器 打开 http://192.168.182.137:9200/_cluster/state?pretty ??###检查群集状态信息
2、安装elasticsearch-head插件
上述查看集群的方式,及其不方便,我们可以通过安装elasticsearch-head插件后,来管理集群
上传node-v8.2.1.tar.gz到/opt
###编译安装node组件依赖包##耗时比较长 47分钟
yum install gcc gcc-c++ make -y
[root@localhost opt]# cd /opt
[root@node2 opt]# tar xzvf node-v8.2.1.tar.gz
[root@node2 opt]# cd node-v8.2.1/
[root@node2 node-v8.2.1]# ./configure
[root@node2 node-v8.2.1]# make && make install
####安装phantomjs####前端框架
上传软件包到/usr/local/src/
[root@localhost node-v8.2.1]# cd /usr/local/src/
[root@localhost src]# tar xjvf phantomjs-2.1.1-linux-x86_64.tar.bz2
[root@localhost src]# cd phantomjs-2.1.1-linux-x86_64/bin
[root@localhost bin]# cp phantomjs /usr/local/bin
###安装elasticsearch-head###数据可视化工具
[root@localhost bin]# cd /usr/local/src/
[root@localhost src]# tar xzvf elasticsearch-head.tar.gz
[root@localhost src]# cd elasticsearch-head/
[root@localhost elasticsearch-head]# npm install
?
#####修改主配置文件###
[root@localhost ~]# cd ~
[root@localhost ~]# vi /etc/elasticsearch/elasticsearch.yml ??####下面配置文件,插末尾##
http.cors.enabled: true ??##开启跨域访问支持,默认为false
http.cors.allow-origin: "*" ?## 跨域访问允许的域名地址
[root@localhost ~]# systemctl restart elasticsearch
####启动elasticsearch-head ?启动服务器####
[root@localhost ~]# cd /usr/local/src/elasticsearch-head/
[root@localhost elasticsearch-head]# npm run start & ?????####切换到后台运行
[root@localhost elasticsearch-head]# netstat -lnupt |grep 9100
[root@localhost elasticsearch-head]# netstat -lnupt |grep 9200
####真机上打开浏览器输入http://192.168.182.137:9100/ ??可以看见群集很健康是绿色####
在Elasticsearch 后面的栏目中输入http://192.168.182.137:9200 ??
然后点连接 会发现:集群健康值: green (0 of 0)
●node1信息动作
★node2信息动作
####真机上打开浏览器输入http://192.168.182.138:9100/ ??可以看见群集很健康是绿色#####
在Elasticsearch 后面的栏目中输入http://192.168.182.138.129:9200 ??
然后点连接 会发现:集群健康值: green (0 of 0)
●node1信息动作
★node2信息动作
####登录192.168.182.137?node1主机##### ?索引为index-demo,类型为test,可以看到成功创建
??怎么在命令行创建索引,有没有在命令行写过创建索引的代码
curl -XPUT
[root@node1 ~]# curl -XPUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
#### 打开浏览器输入http://192.168.182.137:9100/ 查看索引信息###
node1信息动作 01234
node2信息动作 01234
●上面图可以看见索引默认被分片5个,并且有一个副本
点击数据浏览--会发现在node1上创建的索引为index-demo,类型为test, 相关的信息
3、安装logstash
做一些日志搜集输出到elasticsearch中登录主机192.168.226.130
关闭防火墙关闭核心防护
1、更改主机名
hostnamectl set-hostname apache
2、安装Apahce服务(httpd)
[root@apache ~]# yum -y install httpd
[root@apache ~]# systemctl start httpd
3、安装Java环境
[root@apache ~]# java -version ???????###如果没有装 安装yum -y install java
openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)
4、安装logstash
上传logstash-5.5.1.rpm到/opt目录下
[root@apache ~]# cd /opt
[root@apache opt]# rpm -ivh logstash-5.5.1.rpm ?????????????????????????????????????????????????##安装logstash
[root@apache opt]# systemctl start logstash.service ?????????????????????????????????????????????##启动logstash
[root@apache opt]# systemctl enable logstash.service
[root@apache opt]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/ ?????????##建立logstash软连接
5、logstash(Apache)与elasticsearch(node)功能是否正常,做对接测试####
Logstash这个命令测试
字段描述解释:
● -f ?通过这个选项可以指定logstash的配置文件,根据配置文件配置logstash
● -e ?后面跟着字符串 该字符串可以被当做logstash的配置(如果是” ”,则默认使用stdin做为输入、stdout作为输出)
● -t ?测试配置文件是否正确,然后退出
6、输入采用标准输入 输出采用标准输出---登录192.168.100.43 ?在Apache服务器上
logstash agent
① input
② filter
③ output
[root@apache opt]# logstash -e 'input { stdin{} } output { stdout{} }'
[root@apache opt]# logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
当出现以下情况 ?在 logstash.yml 文件中找到 Data path 的路径(默认在安装目录的data目录下
在这里重新指定data路径或者将原data下隐藏 .lock 文件删除重启 logstash即可)
7、使用rubydebug显示详细输出,codec为一种编解码器
[root@apache opt]# logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
?
【登录192.168.100.43 Apache主机 做对接配置】
###logstash配置文件###
Logstash配置文件主要由三部分组成:input、output、filter(根据需要)
[root@apache opt]# chmod o+r /var/log/messages
[root@apache opt]# ll /var/log/messages
-rw----r--. 1 root root 572555 4月 16 23:50 /var/log/messages
#配置文件中定义的是收集系统日志(system)
[root@apache opt]# vi /etc/logstash/conf.d/system.conf
input {
file{
path => "/var/log/messages"
type => "system"
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["192.168.182.137:9200"]
index => "system-%{+YYYY.MM.dd}"
}
}
[root@apache opt]# systemctl restart logstash.service
systemctl restart logstash.service
添加完、刷新之后会出现system
4、在node1主机安装kibana
上传kibana-5.5.1-x86_64.rpm 到/usr/local/src目录
[root@node1 ~]# cd /usr/local/src/
[root@node1 src]# rpm -ivh kibana-5.5.1-x86_64.rpm
[root@node1 src]# cd /etc/kibana/
[root@node1 kibana]# cp kibana.yml kibana.yml.bak
[root@node1 kibana]# vi kibana.yml
2/ server.port: 5601 #### kibana打开的端口
7/ server.host: "0.0.0.0" ####kibana侦听的地址
21/ elasticsearch.url: "http://192.168.182.137:9200" ###和elasticsearch建立联系
30/ kibana.index: ".kibana" ####在elasticsearch中添加.kibana索引
[root@node1 kibana]# systemctl start kibana.service ###启动kibana服务
[root@node1 kibana]# systemctl enable kibana.service ###开机启动kibana服务
####登录192.168.100.1真机###
使用浏览器输入192.168.182.137:5601
首次登录创建一个索引 名字:system-* ?##这是对接系统日志文件
Index name or pattern ??###下面输入system-*
然后点最下面的出面的create 按钮创建
然后点最左上角的Discover按钮 ?会发现system-*信息
然后点下面的host旁边的add ?会发现右面的图只有 Time ?和host 选项了 这个比较友好
5、对接Apache主机的Apache 日志文件(访问的、错误的)
[root@apache opt]# cd /etc/logstash/conf.d/
[root@apache conf.d]# touch apache_log.conf
[root@apache conf.d]# vi apache_log.conf
input {
file{
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file{
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.182.137:9200"]
index => "apache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.182.137:9200"]
index => "apache_error-%{+YYYY.MM.dd}"
}
}
}
[root@apache conf.d]# /usr/share/logstash/bin/logstash -f apache_log.conf
####登录192.168.100.1 node1主机###
打开输入http://192.168.100.43
打开浏览器 输入http://192.168.182.137:9100/ 查看索引信息###
能发现
apache_error-2019.04.16 apache_access-2019.04.16
打开浏览器 输入http://192.168.182.137:5601
点击左下角有个management选项---index patterns---create index pattern
----分别创建apache_error-* 和 apache_access-* 的索引 
输入[root@apache conf.d]# /usr/share/logstash/bin/logstash -f apache_log.conf
打开浏览器 输入http://192.168.182.137:9100/ 查看索引信息###
能发现
apache_error-2019.04.16 ????apache_access-2019.04.16
打开浏览器 输入http://192.168.182.137:9100/ 查看索引信息###
能发现
apache_error-2019.04.16 ????apache_access-2019.04.16
打开浏览器 输入http://192.168.182.17:5601
点击左下角有个management选项---index ?patterns---create index pattern
----分别创建apache_error-* ??和 ????apache_access-* 的索引 ??
