ELK入门与简单应用

1. ELK概述

ELK,也就是Elasticsearch、Logstash、Kibana三者的结合,是一套开源的分布式日志管理方案.

更多详情,请见https://github.com/jeanphorn/elk-stack

Elasticsearch:负责日志存储、检索和分析

LogStash:负责日志的收集、处理

Kibana:负责日志的可视化

方案: 


2. 环境搭建

为整体环境创建一个合适的目录,mkdir $project_path/ELK, project_path 根据情况而定,例如”/usr/local”。

2.1 安装依赖

logstash和elasticsearch均依赖java,所以安装这两个之前,我们应该先安装好java,版本 > java7. java的安装这里不做赘述。


2.2 logstash

2.2.1 基础安装配置

首先,去Elastic官网下载对应平台安装文件,可下载的文件类型有zip、rpm、deb、tgz等,个人建议直接下载zip包,解压即用,方便。

wget https://download.elastic.co/logstash/logstash/logstash-all-plugins-2.4.0.zip

unzip logstash-all-plugins-2.4.0.zip

解压之后,进入logstash目录,创建”conf”目录,编写配置文件。下面以收集分析nginx access 日志为例。

input {
    file {
        path => ["/usr/local/nginx/logs/lazyapi_access.log"]
    }   
}
filter {
    grok {
        patterns_dir => "../patterns"
            match => {                "message" => "%{NGINXACCESS}"
            }   
    }   
    date {
        match => ["time_local", "dd/MMM/YYYY:HH:mm:ss Z"] 
    }   
}
output {
    elasticsearch {
        hosts => ["10.16.59.99:9200"]
            index => "logstash-nginx-%{+YYYY.MM.dd}"
            workers => 1
            flush_size => 1
            idle_flush_time => 1
            template_overwrite => true
    }   
    stdout{codec => rubydebug}
}1234567891011121314151617181920212223242526272829

配置文件分为三个部分:input,filter,output。三部分文件写,也可写一块

  • input 
    定义输入,file为输入的文件,可以有多个。出file外,还有stdin、TCP、syslog、collectd等。
  • filter 
    过滤配置,可以将日志整理成自己想要的格式。logstash有丰富的过滤插件,date处理、grop正则捕获、GeoIP、JSON编码、key-value切分等等。 
    grok是logstash最重要的插件,在grok中定义好正在表达式,可以在其他地方引用它。语法这里不过多介绍,需要可以自己从网上学习。

    这里我们要抓取Nginx日志,需要根据Nginx的日志格式写一个过滤的正则表达式,将其保存在”.logstash/patterns/nginx”文件中,内容如下:

    NGINXACCESS %{IP:remote_addr} - - \[%{HTTPDATE:time_local}\] \"%{WORD:http_method} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} (?:\"(?:%{URI:http_referer}|-)\"|%{QS:http_referer}) \"%{GREEDYDATA:agent}\" %{HOSTNAME:http_host} %{NUMBER:request_length:int} %{NUMBER:request_time:float} %{NUMBER:upstream_response_time:float}
    • 1
    • 2


注意: 此处的正则表达式要和nginx的日志格式相对应,否则会匹配失败,无法将nginx日志离散取值。

nginx 日志格式例子:

log_format  combinedio  '$remote_addr - $remote_user [$time_local] '
                        '"$request" $status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent" $http_host $request_length $request_time $upstream_response_time';123

  • output 
    logstash的输出也有多种,标准输出,输出到elasticsearch,redis等等, 可以同时指定多个输出,stdout方便调试,查看实时的日志。 
    输出到es说明:hosts 为es的ip和端口;index为索引名称,按日期分方便管理;

    运行logstsh:./bin/logstash -f conf/logstash-nginx.conf 
    选项”-f”是logstahsh的配置文件,如果有多个配置文件,也可以是一个目录。 
    %{NUMBER:status:int} 将status字段设为整型, 
    %{NUMBER:request_time:float} 将Request_time设为float类型,[重要],方便kibana计算可视化


logstash 2.2.2 分角色部署

将logstash按功能分成三个角色:shipper、broker和indexer。每个角色使用不同的logstash配置。

  • shipper角色(日志收集)

input部分配置要收集的日志文件或原始日志来源 
filter部分可以用grok过滤日志 
output部分将格式化的日志输出到broker角色中(此处以redis为例,作为缓冲消息队列)

  • broker角色(消息队列)

需要为此角色启动一个redis服务,可以去redis官网进行下载,然后编译安装,这里不再做详细介绍。 
启动服务时,先修改或新建一个redis配置文件(如,redis.conf), 安全起见,配置下端口和密码,其他的可使用默认配置。

./redis-server /path/to/redis.conf

  • indexer角色 
    功能:从redis中取出日志,然后存储到elasticsearch集群中。

提示:为提高数据的写入效率,可以根据机器硬件因素适当提高threads和works的数量,也可以多设置几个indexer角色,同时运行。

2.3 elasticsearch部署

2.3.1 下载

首先下载es文件,和logstash类似,这里直接下载zip文件

wget https://download.elastic.co/elasticsearch/release/org/elasticsearch/distribution/zip/elasticsearch/2.4.1/elasticsearch-2.4.1.zip

unzip elasticsearch-2.4.1.zip123

2.3.2 配置es

主要是配置elasticsearch.yml文件,主要有network,node,path,memory等几个方面,单机模式下主要配置network,其他采用默认即可。

\# ---------------------------------- Network -----------------------------------\# Set the bind address to a specific IP (IPv4 or IPv6):

 network.host: 10.16.59.99\# Set a custom port for HTTP:

  http.port: 9200123456789101112

2.3.3 运行elasticsearch

./bin/./bin/elasticsearch

2.3.4 elasticsearch 集群部署

在日志量比较大时候,单机模式满足我们的需求,这时候可以选择将elasticsearch集群化部署。 
通过配置elasticsearch.yml文件,配置各个节点。es2.4的版本是可以自动发现节点的,可以将节点的ip(多个或其中一个)放在discovery.zen.ping.unicast.hosts中即可。 下面是一个节点配置的例子:

\# ======================== Elasticsearch Configuration =========================\# Use a descriptive name for your cluster:

 cluster.name: es_log_monitor

\# ------------------------------------ Node ------------------------------------\# Use a descriptive name for the node:

 node.name: node-es1

 bootstrap.memory_lock: true

 network.host: 10.16.59.99    
 http.port: 9200    

 discovery.zen.ping.unicast.hosts: ["10.16.59.112"] #node.master: true    
 #node.data: false123456789101112131415161718192021


“node.master”和”node.data”可以选择性配置

  • master为true,data为false:节点不存储数据,作为协调者
  • master为false,data为true:节点作为数据存储节点,不会被选为master节点
  • master为false,data为false:均衡负载
  • 默认都为true

使用以下命令查看节点的状态:

curl 10.16.59.99:9200/_cat/nodes?v

2.3.5 使用head插件管理和查看集群状态

安装head插件,进入elasticsearch目录下,运行如下命令:

./bin/plugin install mobz/elasticsearch-head

安装之后可以便可通过流量器进行访问了,注意是否需要设置防火墙,也可以配置nginx 反向代理通过80端口访问。


2.4 kibana部署

2.4.1 下载解压kibana文件

wget https://download.elastic.co/kibana/kibana/kibana-4.6.1-linux-x86_64.tar.gz

tar -zxvf kibana-4.6.1-linux-x86_64.tar.gz -C ./

2.4.2 配置kibana.yml文件

打开kibana.yml文件,主要修改以下三个点(找到对应的地方修改):

 server.port: 5601          #kibana 服务端口
 server.host: "127.0.0.1"   #服务绑定的地址
 elasticsearch.url: "http://10.16.59.99:9200"   #es服务地址123

2.4.3 运行kibana

./bin/kibana

运行以后可通过浏览器用地址加端口打开kibana的可视化页面。(网络开放情况下)

2.4.4 为kibana服务配置反向代理(非必须)

有些情况下,很多服务器只开发80,443等少量常用端口,这时候如果还想通过80端口访问,需要配置反向代理,这里以nginx为例。 
在nginx的配置目录中(include),添加”kibana_proxy.conf”文件,内容如下:

server {
    listen           80; 
    server_name   kibana.xxx.xxx.cn;

    location / {
        proxy_set_header Host   $http_host; 
        proxy_pass       http://127.0.0.1:5601$request_uri;
        allow all;
    }
}123456789101112

将此文件包含到nginx.conf中

“` 
http { 
include mime.types; 
default_type application/octet-stream;

... ...
... ...

include include/*.conf;12345

}

“` 
如果已包含include目录,则直接重新加载nginx

$nginx_path/sbin/nginx -s reload


3. kibana使用简单说明

3.1 设置index

首次访问kibana的时候,会被要求定义一个index pattern用来匹配一个或者多个索引名。之后还可以从顶部导航栏中的“settings”添加更多的index pattern。通过浏览器访问kibana界面,初次使用跳转到如下界面:

我们可以指定一个或者匹配多个elasticsearch所以的index pattern。通配符”*”匹配索引名中0到多个字符。选择一个包含时间戳的索引字段可以用来做基于时间处理。新索引中带有时间戳,定期生成,再选择”Use event times to create index names”选项,然后选择”Index pattern interval”可以提高搜索性能。

3.2 Discover查询数据

进入kibana的Discover,在这里可以提交搜索请求,过滤搜索结果,返回检索数据。Discover属于交互式查询数据,我们可以看到匹配搜索请求的文档总数,获取字段值得统计情况。

  • 时间过滤器

在界面的右上角有个时间过滤器的设置,默认值为最近15分钟,它将搜索结果限定在特定的时间范围内。打开时间过滤器,有三种方式可供选择,一是快速选择一个时间段(今天,这周,最近15分钟,最近半小时,最近1小时等等); 二是相对时间选择,可以选择自多长时间到现在;三是绝对时间选择,自主选择时间段的数据。

  • 搜索数据

支持的语法:Lucene 查询语法和基于JSON的query DSL。主要操作步骤点:

a) 简单文本搜索,直接输入文本字符串。 
b) 搜索特定字段值,在值前面加上字段的值。例如,“status:200”将会显示所有status字段为200的内容。 
c) 搜索一个值的范围,使用范围查询语法, [Start_value TO End_value], 例如要查找4xx的状态码,可以输入”status:[400 TO 499]”. 
d) 更复杂的搜索,可以使用and,or和not。

  • 新建查询、保存查询、加载已保存的查询

3.3 可视化功能

Visualize标签用来设计可视化,可以保存可视化的结果拱以后使用,加载合并到仪表盘里。界面如下图所示。

可视化功能基于以下几种数据源类型:

  • 新的交互式查询
  • 已保存的查询
  • 已保存的可视化

可视化操作编辑器。

可视化编辑器用来配置编辑可视化视图,如下图所示:

  • 工具栏

工具栏有交互式搜索框,可保存加载可视化,刷新可视化数据。

  • 聚合构建器(Aggregation Builder)

左侧有metric和bucket聚合。bucket效果类似于sql group by语句。想进一步了解聚合,可以阅读elasticsearch aggregation reference.

在柱状图或折线图中,metrics做Y轴,buckets做X轴,饼图里metrics做分片大小,buckets做分片数量。

3.4 仪表盘

Kibana中dashboard能够自由排列已保存的可视化,还可以保存、重载和分享当前的仪表盘。仪表盘主要操作有以下几方面:

  1. 工具栏上
    • 创建一个新的仪表盘 
      首次进入dashboard,Kibana显示一个空白仪表盘,可以通过添加可视化视图构建仪表盘。
    • 添加可视化到仪表盘 
      点击右侧的“+”号按钮,从Visualize容器中选择合适的可视化放入仪表盘中,可以通过拖拽调整视图的位置和大小。
    • 保存和加载仪表盘
  2. 容器

可进行的操作有移动容器、改变容器大小、删除容器、查看容器详细信息。

还可以修改可视化,即对可视化视图进行编辑。


4. 参考资料

[1]. https://www.elastic.co 
[2]. 《ELK stack权威指南》 
[3]. https://discuss.elastic.co/t/nginx-log-filter-problem/46744 
[4]. http://grokdebug.herokuapp.com/ 
[5]. https://chenjiehua.me/linux/elk-log-system-setup.html

原文地址:http://blog.51cto.com/13120271/2074556

时间: 2024-11-12 13:31:27

ELK入门与简单应用的相关文章

Maven 快速入门及简单使用

开发环境 MyEclipse 8.5 JDK 1.6 Maven 3.2.1 1.什么是Maven? Maven是一个项目管理工具,主要用于项目构建,依赖管理,项目信息管理. 2.下载及安装 下载最新版 Maven:apache-maven-3.2.1-bin.tar.gz.下载地址:http://pan.baidu.com/s/1eQDwk8M. 解压文件: 配置环境变量(需要先配置好%JAVA_HOME%环境变量): 查看是否配置成功,在控制台中输入:mvn -v 修改%MAVEN_HOME

SDN入门,简单实验

网上大多数视频教程都是用virtualbox做演示的,我的电脑不知道怎么回事无法正常启动,于是用性能更好的vmware workstation来做实验,今天终于搞定,装上了MiniNet. 从www.openflow.org的tutorial下载mininet的2.0版本,里面有一个简单搭好的topo host2-----Switch0-----host3 VMware载入mininet,用户名和密码均为openflow. Step1  启动mininet Step2   查询网络情况 node

ARM Cortex M0权威指南_PDF电子书下载 带书签目录 高清完整版 http://pan.baidu.com/s/1jGKQSwY MariaDB入门很简单_PDF电子书下载 带

ARM  Cortex  M0权威指南_PDF电子书下载 带书签目录 高清完整版   http://pan.baidu.com/s/1jGKQSwY MariaDB入门很简单_PDF电子书下载 带书签目录 高清完整版  http://pan.baidu.com/s/1hqpgV20 管理就是走流程__没有规范流程,管理一切为零_PDF电子书下载 带书签目录 高清完整版  http://pan.baidu.com/s/1bntuLyf 搜索引擎优化  SEO  方法与技巧  第5版_PDF电子书下

linux入门和简单应用举例

1. 账户 windows 管理员 administrator linux 管理员 root 2. 图形模式与字符模式切换 ctrl+alt+Fn (n=1~6) 从图形切换到字符 alt+Fn    从字符切换到其他模式 alt+F7    回到图形模式 3. 命令提示符 # 代表管理员 $ 代表普通用户 [登录用户@主机名 工作目录]# Linux下文件颜色意义 蓝色    -->  目录 绿色    -->  可执行文件 红色    -->  压缩文件 浅蓝色  -->  链

Maven 系列 一 :Maven 快速入门及简单使用【转】

开发环境 MyEclipse 2014 JDK 1.8 Maven 3.2.1 1.什么是Maven? Maven是一个项目管理工具,主要用于项目构建,依赖管理,项目信息管理. 2.下载及安装 下载最新版 Maven:apache-maven-3.2.1-bin.zip.官网下载:http://maven.apache.org/download.cgi. 解压文件: 配置环境变量(需要先配置好%JAVA_HOME%环境变量): 查看是否配置成功: 其他配置:settings.xml(后面讲到)

Maven 系列 一 : Maven 快速入门及简单使用

开发环境 MyEclipse 2014 JDK 1.8 Maven 3.2.1 1.什么是Maven? Maven是一个项目管理工具,主要用于项目构建,依赖管理,项目信息管理. 2.下载及安装 下载最新版 Maven:apache-maven-3.2.1-bin.zip.官网下载:http://maven.apache.org/download.cgi. 解压文件: 配置环境变量(需要先配置好%JAVA_HOME%环境变量): 查看是否配置成功: 其他配置:settings.xml(后面讲到)

Redis入门很简单之七【使用Jedis实现客户端Sharding】

Redis入门很简单之七[使用Jedis实现客户端Sharding] 博客分类: NoSQL/Redis/MongoDB redisjedisspringsharding分片 <一>. 背景介绍: 1. sharding机制:即通常所说的"分片",允许数据存放在不同的物理机器上,  以适应数据量过大的场景,克服单台机器内存或者磁盘空间的限制.而这种"离散式"地存放,对客户端来说是透明的,对客户端来讲,完全看不到这种差别. 2. 常见的内存缓存中间件,比如

Redis入门很简单之四【初识Jedis】

Redis入门很简单之四[初识Jedis] 博客分类: NoSQL/Redis/MongoDB redisnosql缓存jedis 使用Jedis提供的Java API对Redis进行操作,是Redis官方推崇的方式:并且,使用Jedis提供的对Redis的支持也最为灵活.全面:不足之处,就是编码复杂度较高. [一]. 入门使用: 下载Jedis的依赖包jedis-2.1.0.jar,然后将其添加到classpath下面.然后,即可进行编程:  1. 定义连接:Redis暂时不要设置登录密码 J

Redis入门很简单之五【Jedis和Spring的整合】

Redis入门很简单之五[Jedis和Spring的整合] 博客分类: NoSQL/Redis/MongoDB redisnosql缓存jedisspring 在上一篇文章中,简单介绍了Jedis的连接池使用方式. 如果和Spring进行整合的话,我们将获得更好的简洁性.灵活性,显然是一种更加优雅(graceful)的方式. [一]. 搭建环境: 1. 在之前版本的基础之上,添加如下的依赖:   spring.jar   commons-logging.jar   log4j-1.2.15.ja