ElasticStack(搭建游戏日志系统框架)

一.ELK安装


1.官网下载地址

     https://www.elastic.co/downloads/elasticsearch 下载版本 elasticsearch-7.6.0-linux-x86_64.tar.gz

    官方文档 https://www.elastic.co/guide/cn/elasticsearch/guide/

2.tar zxvf elasticsearch-7.6.0-linux-x86_64.tar.gz 

3.配置elk集群

# 创建用户

添加用户: useradd -m 用户名

设置密码: passwd 用户名

删除用户: userdel -r 用户名

查看用户:id  用户名

将用户加入root组:gpasswd -a 用户名 root

将用户移除root组:gpasswd -d 用户名 root

 # 为该用户赋予相关操作权限 chown -R elklog:elklog /data/elk/elasticsearch-7.6.0

# 修改安装目录名称mv elasticsearch-7.6.0 es_cluster_farm_log01

->修改配置elasticsearch.yml

cluster.name:  es_cluster_farm_log

node.name: es_cluster_farm_log01

path.data: /data/elk/data

path.logs: /data/elk/logs

network.host: 0.0.0.0

注意 这里的network.host 必须设置0.0.0.0 否在会报错

http.port: 4200

discovery.seed_hosts: ["47.112.142.98"]

cluster.initial_master_nodes: ["es_cluster_farm_log01", "es_cluster_farm_log02"]

gateway.recover_after_nodes: 1

action.destructive_requires_name: true

http.cors.enabled: true

http.cors.allow-origin: "*"

node-master:true

node.data:true

->grep -v "#" elasticsearch.yml 查询修改结果

->修改配置 jvm.options

 vi jvm.options

-xms128m

-xmx128

注意 这里的连个xms xmx 必须设置一样的大小 否则回报错

-> 启动 elasticsearch 

bin/elasticsearch -d

-> 查看当前els进程 ps aux | grep elasticsearch

-> 查看端口占用 netstat -anp |grep 4200

1.启动报错:

ERROR: [1] bootstrap checks failed

[1]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

解决办法:

1、切换到root用户修改配置sysctl.conf

vi /etc/sysctl.conf

添加下面配置:

vm.max_map_count=6553601

并执行命令:

sysctl -p

然后,重新启动elasticsearch,即可启动成功。

2. Elk 数据 @timestamp 时间 时区差 8 小时

解决方案

https://segmentfault.com/a/1190000019911946

-> ELK数据备份设置

参考文档:

https://github.com/guobinhit/cg-blog/blob/master/articles/translation/elasticsearch/modules-snapshots.md

https://www.elastic.co/guide/cn/elasticsearch/guide/current/backing-up-your-cluster.html

多节点配置修改 elasticsearch.yml

path.repo:  /data/elk/backup

PUT _snapshot/backup

{

  "type": "fs",

  "settings": {

      "location": "/data/elk/backup"

  }

}

{

  "acknowledged" : true

}

    

二.elasticsearch-head安装 工具安装

-> 谷歌扩展工具安装  elasticsearch-head 添加到扩展程序

启动时注意开放端口,否则访问不成功。

中文api https://es.xiaoleilu.com/010_Intro/15_API.html

三.filebeat 安装使用

->官网下载地址  

https://www.elastic.co/guide/en/beats/filebeat/7.6/filebeat-installation.html

配置说明 filebeat.xml

#==================== Elasticsearch template setting ==========================

setup.template.settings:

  index.number_of_shards: 1

  #index.codec: best_compression

  #_source.enabled: false

#模板的名称,默认是filebeat,filebeat版本始终附加到给定名称,因此最终名称为filebeat-%{[beat.version]} 

setup.template.name: "filebeat" 

#要应用于默认索引设置的模板模式。默认模式是filebeat-%。filebeat版本始终包含在模式中,因此最终模式是 filebeat-%{[beat.version]}-*。通配符 -* 用于匹配所有每日索引

setup.template.pattern: "filebeat-*"

#描述字段的YAML文件的路径,默认是fields.yml。如果设置了相对路径,则认为它相对于配置路径。

setup.template.fields: "fields.yml"

#一个布尔值,指定是否覆盖现有模板。默认值是false,true是覆盖现有模板

setup.template.overwrite: false

#设置为false以禁用模板加载,如果将此项设置为false,则必须手动加载模板。

setup.template.enabled: true

启动  ./filebeat -e -c filebeat.yml

if "buildActivityItem" in [message]{

grok {

match => {

"message" => "(?<ItemChangeLog>(?<=info : )(.*)/?)"

}

  }


        }

logstash 安装

logstash配置文件详解

说明

/logstash/config/logstash.yml:主要用于控制logstash运行时的状态

/logstash/config/startup.options:logstash 运行相关参数

logstash.yml

参数用途默认值

node.name节点名称主机名称

path.data/数据存储路径LOGSTASH_HOME/data/

pipeline.workers输出通道的工作workers数据量(提升输出效率)cpu核数

pipeline.output.workers每个输出插件的工作wokers数量1

pipeline.batch.size每次input数量125

path.config过滤配置文件目录

config.reload.automatic自动重新加载被修改配置falseortrue

config.reload.interval配置文件检查时间

path.logs日志输出路径

http.host绑定主机地址,用户指标收集“127.0.0.1”

http.port绑定端口5000-9700

log.level日志输出级别,如果config.debug开启,这里一定要是debug日志info

log.format日志格式* plain*

path.plugins自定义插件目录


startup.options

参数用途

JAVACMD=/usr/bin/java本地jdk

LS_HOME=/opt/logstashlogstash所在目录

LS_SETTINGS_DIR="${LS_HOME}/config"默认logstash配置文件目录

LS_OPTS="–path.settings ${LS_SETTINGS_DIR}"logstash启动命令参数 指定配置文件目录

LS_JAVA_OPTS=""指定jdk目录

LS_PIDFILE=/var/run/logstash.pidlogstash.pid所在目录

LS_USER=logstashlogstash启动用户

LS_GROUP=logstashlogstash启动组

LS_GC_LOG_FILE=/var/log/logstash/gc.loglogstash jvm gc日志路径

LS_OPEN_FILES=65534logstash最多打开监控文件数量


启动  bin/logstash -f config/logstash.conf 

logstash 日志过滤

https://segmentfault.com/a/1190000018642947

#grok

https://blog.csdn.net/qq_39211866/article/details/84453004

printLootLog

ttp://grokdebug.herokuapp.com/ 

语法链接

https://blog.csdn.net/cai750415222/article/details/86614854

http://www.ttlsa.com/elk/elk-logstash-configuration-syntax/

.*$任意匹配直到结尾

grok正则表达式:(?<temMsg>(.*)(?=>Report)/?) 获取Report之前的字符

grok正则表达式:(?<temMsg>(?<=Report)(.*)/?) 获取Report之后的字符

grok{

        match => {

        #截取<Report>之前的字符作为temMsg字段的值

        "message" => "(?<temMsg>(.*)(?=Report)/?)"

        }

}

————————————————

版权声明:本文为CSDN博主「cai750415222」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/cai750415222/article/details/86614854

[2020-03-03 15:10:09.419] [Handler-4] INFO info : ItemChangeLog|2020-03-03 15:10:09|100004|35|11|农场收获(农田)|[4]|100002#82#80

[2020-03-03 15:10:09.419] [Handler-4] INFO  info : ExpChangeLog|2020-03-03 15:10:09|100004|35|29894|1|11|农场收获(农田)|[4]

[2020-03-03 15:08:01.107] [Handler-4] INFO info : ItemChangeLog|2020-03-03 15:08:01|100004|35|12|农场种植||110001#92#93


liunx yum 安装 jdk

参考文档 https://segmentfault.com/a/1190000015389941

yum search java
yum install java-1.8.0-openjdk-devel.x86_64

curl -XGET ‘http://127.0.0.1:9200/_template/logstash

查看java路径 whereis java

打印java路径 echo $JAVA_HOME

全局变量立即生效 source /etc/profile


查看端口占用 lsof -i:5601


Kibana 

中文官方文档 https://www.elastic.co/guide/cn/kibana/current/settings.html

查看未注释配置

grep -Ev '^[#;]|^$' config/kibana.yml

-> kibana Discover 数据展示 时间时区差8小时 

解决方案:setting ->  General -> Timezone for date formatting -> dateFormat:tz  设置对应的时区





参考文档

https://www.infvie.com/ops-notes/elkstack-beats.html

配置管理工具  Puppet,Chef,Ansible 

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,837评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,551评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,417评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,448评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,524评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,554评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,569评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,316评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,766评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,077评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,240评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,912评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,560评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,176评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,425评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,114评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,114评论 2 352

推荐阅读更多精彩内容