如何快速搭建一个简易的ELK日志分析系统

一、ELK简介
  ELK就是一款非常优秀的、开源的、用于搭建实时日志分析平台的组件。ELK是Elasticsearch、Logstash和Kiabana这3款开源框架首字母的缩写。通过这三个组件,构建一个统一的日志管理系统,用来收集分布式部署系统中分散在不同设备上的日志,方便后续进行日志分析。
  其中,Elasticsearch是一个实时的分布式搜索和分析引擎,建立在全文搜索引擎Apache Lucene基础之上,使用Java语言编写,具有分布式、高可用性、易扩展、具有副本和索引自动分片功能、提供基于HTTP协议以JSON为数据交互格式的REST风格API、多数据源、实时分析存储等特点。
  Logstach主要用于对日志进行收集、过滤,对数据进行格式化处理,并将所收集的日志传输到相关系统进行存储。Logstash是用Ruby语言开发的,由数据输入端、过滤器和数据输出端3部分组成。其中数据输入端可以从数据源采集数据,过滤器是数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式;数据输出端是将Logstash收集的数据经由过滤器处理后输出到其他系统,Kafka、HDFS、Elasticsearch等。
  Kibana是一款针对Elasticsearch开源分析及可视化平台,使用node.js开发,可用来搜索,展示存储在Elasticsearch中的数据。同时提供了丰富的图表模板,只需通过简单的配置就可以方便地进行高级数据分析和绘制各种图表。
  其实,在实际的ELK系统中,还需要配置一个日志收集器,比如FileBeats等。安装在每台需要收集日志的服务器上,将日志发送给Logstash进行处理,所以Beats是一个“搬运工”,将你的日志搬运到日志收集服务器上。

二、需要环境
1、关闭防火墙(生产环境开放对应端口即可)
2、JDK环境

三、Elasticsearch安装
1、下载Elasticsearch,这里选择Elasticsearch7.9.3这个版本,命令如下:

当前目录 /home/admin/work/elk/es
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.1.tar.gz

如果虚拟机下载较慢,可以把url放在浏览器下载,再传送到虚拟机;

2、解压

 tar -zvxf elasticsearch-6.3.1.tar.gz

3、修改配置文件

cluster.name: elk
node.name: node-1 
node.master: true 
node.data: true 
node.ingest: false 
network.host: 0.0.0.0 
http.port: 9203
discovery.seed_hosts: ["127.0.0.1:9203"]
cluster.initial_master_nodes: ["node-1"] 

3、创建启动elasticsearch的用户(elasticsearch不能够使用root用户启动)

当前已经是普通用户,略。

4.启动elasticsearch

#当前所在目录 /home/admin/work/elk/es/elasticsearch/bin
./elasticsearch &

5、验证
访问http://192.168.180.133:9203/,出现如下界面,说明启动成功。

image.png

四、Kibana 安装
1、下载Kibana ,这里选择kibana7.9.3这个版本(和elasticsearch同步),命令如下:

#当前目录:/home/admin/work/elk/kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.9.3-linux-x86_64.tar.gz

版本和es保持一致;

2、解压

tar -zvxf kibana-7.9.3-linux-x86_64.tar.gz

修改配置文件
修改配置文件/home/admin/work/elk/kibana/kibana-7.9.3-linux-x86_64/config/kibana.yml文件,添加如下配置即可:

server.port: 5601
server.host: "192.168.180.133"
elasticsearch.hosts: ["http://192.168.180.133:9203"]

4、启动

#当前目录/home/admin/work/elk/kibana/kibana-7.9.3-linux-x86_64/bin
./kibana

5、验证
访问http://192.168.180.133:5601,出现如下界面,说明成功。

image.png

五、Logstash 安装
1、下载Logstash ,这里选择Logstash7.9.3 这个版本(和elasticsearch同步),命令如下:

#当前目录:/home/admin/work/elk/logstash
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.9.3.tar.gz

2、解压

tar -zxvf logstash-6.3.1.tar.gz

3、修改配置文件
修改配置文件/home/admin/work/elk/logstash/logstash-7.9.3/config/logstash.yml文件,添加如下配置即可:

http.host: 192.168.180.133
http.port: 9600

4、验证
在/home/admin/work/elk/logstash/logstash-7.9.3/bin目录下,通过执行bin/logstash -e ‘input { stdin { } } output { stdout {} }’,然后在输入hello,出现如下界面说明,logstash可以正常使用。

[admin@localhost bin]$ ./logstash -e 'input { stdin { } } output { stdout {} }' 

Sending Logstash logs to /home/admin/work/elk/logstash/logstash-7.9.3/logs which is now configured via log4j2.properties
[2021-08-14T02:16:19,631][INFO ][logstash.runner          ] Starting Logstash {"logstash.version"=>"7.9.3", "jruby.version"=>"jruby 9.2.13.0 (2.5.7) 2020-08-03 9a89c94bcc OpenJDK 64-Bit Server VM 25.161-b14 on 1.8.0_161-b14 +indy +jit [linux-x86_64]"}
[2021-08-14T02:16:20,140][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.queue", :path=>"/home/admin/work/elk/logstash/logstash-7.9.3/data/queue"}
[2021-08-14T02:16:20,186][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.dead_letter_queue", :path=>"/home/admin/work/elk/logstash/logstash-7.9.3/data/dead_letter_queue"}
[2021-08-14T02:16:22,292][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
[2021-08-14T02:16:22,396][INFO ][logstash.agent           ] No persistent UUID file found. Generating new UUID {:uuid=>"0c8b031f-9f95-4a2d-ae03-af2027fdb11d", :path=>"/home/admin/work/elk/logstash/logstash-7.9.3/data/uuid"}
[2021-08-14T02:16:28,310][INFO ][org.reflections.Reflections] Reflections took 154 ms to scan 1 urls, producing 22 keys and 45 values 
[2021-08-14T02:16:37,363][INFO ][logstash.javapipeline    ][main] Starting pipeline {:pipeline_id=>"main", "pipeline.workers"=>2, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>50, "pipeline.max_inflight"=>250, "pipeline.sources"=>["config string"], :thread=>"#<Thread:0x4745870d run>"}
[2021-08-14T02:16:41,789][INFO ][logstash.javapipeline    ][main] Pipeline Java execution initialization time {"seconds"=>4.39}
[2021-08-14T02:16:42,331][INFO ][logstash.javapipeline    ][main] Pipeline started {"pipeline.id"=>"main"}
The stdin plugin is now waiting for input:
[2021-08-14T02:16:42,862][INFO ][logstash.agent           ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}
{
       "message" => "",
      "@version" => "1",
    "@timestamp" => 2021-08-14T06:16:42.618Z,
          "host" => "localhost.localdomain"
}

六、Filebeat安装
注意:Filebeat要安装在产生日志的主机,并且每个产生日志的机器都要安装Filebeat。

1、下载

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.9.3-linux-x86_64.tar.gz

2、解压

tar -zvxf filebeat-7.9.3-linux-x86_64.tar.gz

3.修改配置文件
修改/home/admin/work/elk/fileBeat/filebeat-7.9.3-linux-x86_64配置文件,添加如下内容:

filebeat.inputs:
    enabled: true
    paths:
        - /home/admin/work/temp/info.log #日志存放目录
output.logstash:
  # The Logstash hosts
  hosts: ["192.168.1.8:5044"]

默认开启了Elasticsearch的输出,需要注释掉。

4、启动filebeat

./filebeat -e -c filebeat.yml 

后台启动:
1>、nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 & 将所有标准输出及标准错误输出到/dev/null空设- 备,即没有任何输出
2>、nohup ./filebeat -e -c filebeat.yml > filebeat.log &

七、示例
通过上述步骤,已经完成了四个组件的安装工作,下面来实现读取nginx访问日志,并写入到ES中的例子

1、配置logstash采集处理日志的配置

input {//输入源为Beats
  beats {
    port => 5044
       type => "nginx_access_log"
  }
}

 
filter {
  if [type] == "nginx" { # 这里的type是日志类型
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG} %{QS:gzip_ratio}" } # 使用自带的pattern即可,注意空格
    }
    # 更改匹配到的字段的数据类型
    mutate {
      convert => ["response", "integer"]
      convert => ["bytes", "integer"]
      convert => ["responsetime", "float"]
    }
    # 指定时间戳字段以及具体的格式
    date {
      match => ["timestamp", "dd/MMM/YYYY:HH:mm:ss Z"]
      remove_field => ["timestamp"]
    }
  }
} 
output {#配置elasticsearch作为输出目的地
  elasticsearch {
    hosts => [ "192.168.1.8:9200" ]
    index => "%{type}-%{+YYYY.MM.dd}" # index中含有时间戳
  }
}

2.启动logstash

./logstash -f job/nginx.conf

3、配置ES的Index的Mapping信息
通过执行如下命令即可。

curl -H "Content-Type: application/json" -XPUT 192.168.1.8:9200/_template/nginx -d '
{
  "template": "nginx*",
  "mappings": {
    "_default_": {
      "properties": {
        "clientip": {
          "type": "keyword"
        },
        "ident": {
          "type": "keyword"
        },
        "auth": {
          "type": "keyword"
        },
        "verb": {
          "type": "keyword"
        },
        "request": {
          "type": "keyword"
        },
        "httpversion": {
          "type": "keyword"
        },
        "rawrequest": {
          "type": "keyword" 
        },
        "response": {
          "type": "keyword"
        },
        "bytes": {
          "type": "integer"
        },
        "referrer": {
          "type": "keyword"
        },
        "agent": {
          "type": "keyword"
        },
        "gzip_ratio": {
          "type": "keyword"
        }
      }
    }
  }
}'

4.用Kibana查看Elasticsearch索引数据
(1)通过访问【http://192.168.1.8:5601】打开Kibana界面,找到Management菜单,如下图所示:

image.png

(2)创建索引的匹配规则(正则表达式),点击下一步

image.png

(3)创建索引,选择“I don’t want to use the Time Filter”,然后点击创建按钮。

image.png

(4)点击Disconer菜单,这个时候,就可以看到了nginx访问日志中数据了,如下所示。

image.png

五、遇到的问题

1.启动Kibana 报错
log [05:15:13.444] [warning][savedobjects-service] Unable to connect to Elasticsearch. Error: [master_not_discovered_exception] null
原因是elasticsearch启动后,没有选举出master。因为我们部署的es是单机,所以没办法选举。
在ES添加如下配置即可

#该node默认成为master
cluster.initial_master_nodes: ["node-1"] 

参考:
https://blog.csdn.net/hou_ge/article/details/106175074
https://blog.csdn.net/hou_ge/article/details/106182502

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,657评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,662评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,143评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,732评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,837评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,036评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,126评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,868评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,315评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,641评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,773评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,859评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,584评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,676评论 2 351

推荐阅读更多精彩内容