1. ELK介绍

1. ELK组成

E: elastcisearch 数据搜索 数据存储 java
L: Logstash 数据收集 ( 数据解析
数据转换 ) 数据输出 java
F: Filebeat 数据采集 (简单的数据处理 ) <--go K:
Kibana 数据分析 数据展示

2.ELK集群架构

image.png

3.EFK架构

imge.png

4.ELFK架构

image.png

5.ELK收集那些日志

容器：docker
代理：nginx、Haproxy
web：nginx、Tomcat、Httpd、PHP
db：mysql、redis、mongo、elasticsearch
存储：nfs、glusternfs、fastdfs
系统：message、security
业务：app

2.ElasticSearch基本使用

1.ES与MySQL作比较

表       数据       字段（数据类型）
索引    document    字段（doc类型）

2. ES单机安装

1.准备java环境
[root@es-node1 ~]# yum install java -y

2.安装
[root@es-node1 ~]# rpm -ivh elasticsearch-7.4.0-x86_64.rpm kibana-7.4.0-x86_64.rpm
[root@es-node1 ~]# vim /etc/elasticsearch/jvm.options
-Xms512m #实验环境 生产环境最少内存一半以上   官方建议 最高
32Gb
-Xmx512m

3.启动
[root@es-node1 ~]# systemctl start elasticsearch.service

4.测试es是否启动
[root@es-node1 ~]# curl 127.0.0.1:9200

5.修改kibana的配置
[root@es-node1 ~]# vim /etc/kibana/kibana.yml
server.host: "0.0.0.0"
i18n.locale: "zh-CN"

6.启动kibana
[root@es-node1 ~]# systemctl enable kibana
[root@es-node1 ~]# systemctl start kibana

3. ES索引基本操作

创建一个索引
PUT /oldxu_es
查看所有的索引
GET _cat/indices
删除索引
DELETE /oldxu_es


给oldxu_es索引录入一个文档
POST /tt/_doc/1
{
"name": "oldxu",
"age": 18,
"salary": 1000000000
}

POST /oldxu_es/_doc/2
{
"name": "oldguo",
"age": 35,
"salary": 100
}

获取指定的id数据
GET /oldxu_es/_doc/1

获取所有的文档 默认前10个
GET /oldxu_es/_search

模糊查询
GET /oldxu_es/_search
{
"query": {
  "term": {
    "name": "oldxu"
  }
}
}

删除指定id的文档
DELETE /oldxu_es/_doc/1
#
POST _bulk
{"index":{"_index":"tt","_id":"1"}}
{"name":"oldxu","age":"18"}
{"create":{"_index":"tt","_id":"2"}}
{"name":"oldqiang","age":"30"}
{"delete":{"_index":"tt","_id":"2"}}
{"update":{"_id":"1","_index":"tt"}}
{"doc":{"age":"20"}}

一次查询多个文档
GET _mget
{
"docs": [
  {
    "_index": "tt",
    "_id": "1"
  },
  {
{

4.集群环境搭建

1.修改每个节点的elasticsearch.yml 配置文件
[root@es-node1 ~]# grep '^[a-Z]' /etc/elasticsearch/elasticsearch.yml 
cluster.name: my-zhl
node.name: node1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["10.0.0.161", "10.0.0.162", "10.0.0.163"]
cluster.initial_master_nodes: ["10.0.0.161", "10.0.0.162", "10.0.0.163"]

2.启动多节点
systemctl start elasticsearch

3.测试集群是否正常
通过curl测试
curl http://172.16.1.163:9200/_cluster/health?pretty
或者在kibana中检查
GET /_cluster/health 

5.cerebro状态检查

cerebro插件来检查整个集群的环境。默认监听9000端口

rpm -ivh cerebro-0.8.5-1.norach.rpm

[root@es-node1 ~]# vim /etc/cerebro/application.conf
data.path = "/tmp/cerebro.db"
systemctl start cerebro

image.png

6.集群角色

master角色：负责控制整个集群的操作，通过cluster_status状态维护集群
选举：cluster.initial_master_nodes master-eligible
可以不参与选举：node.master: false
cluster_state：节点信息 索引信息
data角色：存储数据（默认都是data节点）关闭data：node.data: false
coordinating角色：负责路由 不能取消

7.ES集群健康检查

Cluster Health三种状态：
1.green 健康状态，指所有的分片和副本都正常分配
2.yellow 指左右的主分片都正常分配，但是副本没正常分配

3. red 指有主分片没正常分配，表示索引不完备，写也有问题（不代表不能存储数据和读取数据）
   4.可以通过GET _cluster/health?pretty-true

算法

shard = hash(routing) % numbei=r_of_primary_shards
hash 算法保证将数据均匀的分散在集群中
routing 十一个关键参数，默认是文档id
numbei=r_of_primary_shards 主分片数

该算法与主分片数有关，一旦确定不能更改主分片
因为一旦修改主分片，share的计算就不一样了