ELK日志分析系统初体验

1 ELK技术栈

1.0 官方文档

ELK

logstash

elasticsearch

kibana

ELK技术栈要点总结

1.1 Logstash技术

1.1.1 What is Logstash

Logstash is an open source data collection engine with real-time pipelining capabilities. Logstash can dynamically unify data from disparate sources and normalize the data into destinations of your choice. Cleanse and democratize all your data for diverse advanced downstream analytics and visualization use cases.

1.1.2 Logstash的工作原理

1.1.3 Logstash安装与使用

1.1.3.1 安装教程

官方文档之安装教程

Mac第三方工具安装

$ brew install logstash

1.1.3.2 使用教程

********启动命令********

$ bin/logstash -f logstash-example.conf

Logstash根据logstash-example.conf配置文件对数据源进行数据读取和清洗,并将清洗结果写入指定的目标文件。

logstash命令除了可以使用“-f”指定配置文件外,还可以指定其他参数,具体说明可以参见官方文档之Command Flags

Logstash除了通过命令行参数进行配置外,还可以在logstash.yml等setting文件中进行设置,具体说明参见官方文档之Setting files

配置文件

input { 
 ...      #Input Plugin处理数据输入
}
filter {
 ...      #Filter Plugin对数据进行清洗,为完成清洗目标,有时需要多个filter
}
output {
  ...       #Output Plugin将格式化数据输出到指定目标文件
}

配置文件结构清晰,但所涉及的插件种类繁多,而且在插件使用过程中还涉及环境变量使用条件语句使用等内容。用户可根据需要选择适当的插件和语法实现数据收集和清洗的目标。

1.1.4 Logstash的技术要点

##1.2 Elasticsearch****技术

1.2.1 What is Elasticsearch

Elasticsearch is a highly scalable open-source full-text search and analytics engine. It allows you to store, search, and analyze big volumes of data quickly and in near real time. It is generally used as the underlying engine/technology that powers applications that have complex search features and requirements.

1.2.2 核心概念

****Cluster****与****Node****

****Index****、****Type****与****Document****

****Shards****与****Replicas****

1.2.3 配置与使用

********启动命令********

$ bin/elasticsearch 前端方式启动
$ bin/elasticsearch -d 守护进程方式启动
elasticsearch启动比较简单,也额外创建配置文件,它将收集的数据重新编排存储,以支持数据的全文检索。检索是Elasticsearch最为重要的功能,也是最为复杂的语法。

********需要注意的是:********elasticsearch不支持在root用户下启动,因此,在启动前,用户需要创建非root用户,并为该用户赋予elasticsearch目录的操作权限,详情参见https://my.oschina.net/topeagle/blog/591451?fromerr=mzOr2qzZ

********配置管理********
Elasticsearch一般不需额外配置,但是为了提高Elasticsearch性能可以通过elasticsearch.yml文件修改配置参数。当然,也可以根据用户系统配置降低配置参数,如jvm.heapsize。Elasticsearch默认占用2G内存,对于系统配置较低的服务器,很可能带来负载过大的问题,因此需要适当减少jvm.heapsize。

1.2.4 数据检索

Elasticsearch提供大量的API支持检索服务,用户甚至可以根据需要定制化分析器映射器.

1.2.5 Elasticsearch技术要点

##1.3 Kibana****技术

1.3.1 What is Kibana

Kibana is an open source analytics and visualization platform designed to work with Elasticsearch. You use Kibana to search, view, and interact with data stored in Elasticsearch indices. You can easily perform advanced data analysis and visualize your data in a variety of charts, tables, and maps.
Kibana makes it easy to understand large volumes of data. Its simple, browser-based interface enables you to quickly create and share dynamic dashboards that display changes to Elasticsearch queries in real time.

1.3.2 安装与配置

********安装********
参见官方教程,值得注意的是Kibana与Elasticsearch版本要保持一致。

********启动********

$ bin/kibana      //前台(foreground)启动方式
$ bin/kibana&     //守护进程启动方式

********配置********
Kibana配置可以通过命令行参数或配置文件kibana.yml。Kibana应用的默认地址为localhost,无法从远程访问Kibana,因此,用户需要修改配置文件的server.host属性。

1.3.3 使用教程

********数据检索********


(1)时间筛选:限定检索的时间范围



(2)index pattern:限定检索的数据范围
(3)字段筛选:限定特殊字段以及特殊字段值
(4)搜索框:采用Elasticsearch检索语法查询


********数据分析********
数据分析是Elasticsearch与Kibana的核心模块,Elasticsearch提供分析功能,kibana提供图形渲染功能。

数据分析需要涉及Elasticsearch的AggregationMappingAnalysis和Kibana的VisualizeDashboard等模块,内容相对比较复杂,用户可根据实际需要适当选择。

Kibana的Visualize是基于Elasticsearch聚合结果进行图形化展示,支持AreaChart、DataTable、PieChart等图表结构。Dashboard则是将多个visualize综合展示,并配注markdown记录,形成完整的数据分析报告。


1.3.4 Kibana技术要点

#2 ****日志分析系统
##2.1 ****基于阿里云****NAS****的日志分析系统架构设计

********日志生成:********对于Java和Node应用,分别采用Logback与winston日志框架生成日志,注意,日志采用json格式单行存储(一行json对应一条日志)

********日志存储:********分布式应用的日志采用NAS统一存储,减少因日志分散保存而带来数据收集的高复杂度。

********日志收集与清洗:********基于Logback的Pipeline功能,从NAS读取日志数据,并通过 filter插件进行日志的格式化清洗,并将清洗结果传送到Elasticsearch。

********日志重排与存储:********Elasticsearch将收集的数据进行重排,以支持符合elasticsearch检索语法。并将重排数据予以保存,同事可以通过集群、分片(Shards、Replicas)等进行冗余存储。

********日志分析与检索:********通过Elasticsearch Search API即可检索与分析数据,但基于命令行的分析可视化不够,借助Kibana可以将日志分析与检索采用图形化、列表化的方式予以展现,提高数据的可读性。

##2.2 ****日志收集

2.2.1 Logstash配置文件

input { 
  file {
    path => "/mnt/test/lease/be-lease-core/logs/sys*.log"
    start_position => "beginning"
    type => "demo_core"
  }
  file {
    path => "/mnt/test/lease/be-platform-admin/logs/sys*.log"
    start_position => "beginning"
    type => "boss"
  }
  file {
    path => "/mnt/test/lease/be-sso-config-hub/logs/sys*.log"
    start_position => "beginning"
    type => "sso"
  }
}

filter { 
  json {
    source => "message"
  }
  mutate {
    rename => { "message" => "log_message" }
  }
  json {
    source => "log_message"
  }
  geoip {
    source => "remoteIP"
  }
}

output {
 elasticsearch { 
    hosts => ["localhost:9200"] 
    index => "lease-on-cloud"
 } 
}

2.2.2 Logstash配置文件分析

********(****1****)**** Input****部分********

file {
    path => "/mnt/test/lease/be-lease-core/logs/sys*.log"
    start_position => "beginning"
    type => "demo_core"
}

采用file插件收集NAS日志收据,path指定日志存放地址,采用通配符指定多个文件。

为了便于日志的Archive,以及标识产生日志的应用容器,日志文件采用“log+hostname”方式命名,因此,同一类日志可能会存在多个日志文件。

start_position指定从日志文件Start位置开始收集,file插件默认从End位置收集,只会收集Logstash启动后生成的日志。

type标识日志类型,对于微服务应用,我们借助type区分应用类型,以方便日后检索与问题定位。

********(****2****)**** Filter****部分********

filter { 
  json {
    source => "message"
  }
  mutate {
    rename => { "message" => "log_message" }
  }
  json {
    source => "log_message"
  }
  geoip {
    source => "remoteIP"
  }
}

filter的配置需要根据日志格式和清洗目标按需定制,在我们的项目中,日志采用json格式,其中message key对应的value又是json对象的字符串,因此在提取json key-value时需要做两次json过滤。

{
    "@timestamp": "2017-01-11T21:23:31.266+08:00",
    "@version": 1,
    "message": "{\"messageType\":\"HTTP_REQUEST\",\"method\":\"POST\",\"remoteIP\":\"172.19.0.6\",\"remotePort\":37404,\"requestContentType\":\"multipart/form-data; boundary=----WebKitFormBoundaryPERZDPTHqXa44MD6\",\"requestUrl\":\"/boss/Api/StandardService/findAllService\",\"timestamp\":1484141011266,\"userId\":0}",
    "logger_name": "com.amarsoft.platform.common.filter.SystemLoggingFilter",
    "thread_name": "qtp1641808846-17",
    "level": "DEBUG",
    "level_value": 10000,
    "HOSTNAME": "8753bfd90a1e-be-platform-admin-default-be-platform-admin-1",
    "SYS_ERROR": "sys-error",
    "SYS_INFO": "sys-info",
    "SYS_HIBERNATE": "sys-hibernate",
    "SYS_MYBATIS": "sys-mybatis",
    "SYS_FILTER": "sys-filter",
    "RemoteIP": "83.149.9.216"
}

Logstash默认每条日志为message key的value,因此第一个json是对一条完整日志进行筛选,将json转换为一个个键值对。转换后,并不能将日志message字段对应的json对象拆分提取,因此需要再使用json插件过滤。由于完整日志对应的message key与日志内message key,二次使用json时Logstash会认为对完整日志进行过滤,为此需要对 message进行重命名,这时采用mutate插件完成。

********注意:********filter插件比较多,也比较复杂,用户可以根据自己需要按需选择。
##2.3 ****日志分析(检索)

2.3.1 确定分析目标

(1)时间范围:按照日、周、月、年度分别统计分析
(2)应用比较:各类应用的使用频繁程度比较,结合监控数据判断每类应用耗用资源情况等
(3)API分析:各类请求接口的使用情况分析,哪类API使用频繁,各API的响应时间如何

2.3.2 数据分析

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,657评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,662评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,143评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,732评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,837评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,036评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,126评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,868评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,315评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,641评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,773评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,859评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,584评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,676评论 2 351

推荐阅读更多精彩内容