ELK (ElasticSearch、LogStash以及Kibana)三者组合是一个非常强大的工具,这里我们来实现监控日志文件并且收到日志到ElasticSearch搜索引擎,利用Kibana可视化工具实现ElasticSearch查询.

ElasticSearch

官方描述

Elasticsearch is a distributed, RESTful search and analytics engine capable of solving a growing number of use cases. As the heart of the Elastic Stack, it centrally stores your data so you can discover the expected and uncover the unexpected.

安装

官方下载地址 https://www.elastic.co/cn/downloads/elasticsearch 根据自己的系统版本下载安装,个人电脑系统Ubuntu18.04 因此选择 Linux 请根据自己的操作系统选择合适的版本下载

下载完成后解压使用,解压完成之后,文件目录如下:

├── bin

├── config

├── data

├── lib

├── LICENSE.txt

├── logs

├── modules

├── node-slaver-1

├── NOTICE.txt

├── plugins

└── README.textile

其中我们使用的命令位于bin目录,配置文件位于config目录,建议将解压好的文件放在自己的home目录下,防止出现权限不足的错误问题.

配置

进入config目录,其文件列表如下

├── elasticsearch.keystore

├── elasticsearch.yml

├── jvm.options

├── log4j2.properties

├── role_mapping.yml

├── roles.yml

├── users

└── users_roles

我们重点关注 ElasticSerach配置文件 elasticsearch.yml、JVM虚拟机配置文件 jvm.options以及日志打印配置文件log4j2.properties

从这些配置文件我们也可以看出ElasticSearch和Java有莫大的关系,是的,ElasticSearch 是运行在Java虚拟机上的系统。

elasticSearch.yml 配置文件

此文件中部大部分都是注释我们主要关心的有以下内容:

  • cluster.name -- 集群名称
  • node.name -- 此节点的名称(不配置的话会提供一个UUID的名称)
  • path.logs -- 日志目录,建议保持默认
  • http.port -- ElasticSearch运行端口 默认9200

JVM 配置文件

这里我们主要配置下内存大小根据自己的硬件配置来调整ElasticSearch的内存大小(一般不需要修改,除非你的电脑配置很好,或者配置略低,需要修改这个内存参数)

  • Xms1g
  • Xmx1g

其他的参数暂时不需要修改

日志配置

日志配置一般不需要改动,你可以修改日志的格式等信息,可以参考Log4J的日志格式命令来配置,这里不做过多的说明.

测试

配置完成之后,进入bin目录,来执行elasticSearch命令

./elasticsearch

看到start字样,在浏览器或者终端访问http://localhost:9200 (如果你修改了ElasticSearch的端口,这里的9200改成你配置的端口号) 即可看到当前ElasticSearch节点的信息,如下:

{

    "name": "node-master",

    "cluster_name": "cluster-dev",

    "cluster_uuid": "i1ti04HsQA6TK_ywrabGlA",

    "version": {

        "number": "6.4.1",

        "build_flavor": "default",

        "build_type": "tar",

        "build_hash": "e36acdb",

        "build_date": "2018-09-13T22:18:07.696808Z",

        "build_snapshot": false,

        "lucene_version": "7.4.0",

        "minimum_wire_compatibility_version": "5.6.0",

        "minimum_index_compatibility_version": "5.0.0"

    },

    "tagline": "You Know, for Search"

}

至于ElasticSearch的其他使用方法,请参考这篇文章:ElasticSearch常用命令

Kibana

Kibana lets you visualize your Elasticsearch data and navigate the Elastic Stack, so you can do anything from learning why you're getting paged at 2:00 a.m. to understanding the impact rain might have on your quarterly numbers.

Kibana :ElasticSearch的可视化工具,安装Kibana很简单,下载安装包,解压,配置,运行即可

安装

官方下载地址 https://www.elastic.co/cn/downloads/kibana 根据自己的系统版本下载安装,个人电脑系统Ubuntu18.04 因此选择 LINUX-64-BIT 请根据自己的操作系统选择合适的版本下载

解压之后的目录结构为

.

├── bin

├── config

├── data

├── LICENSE.txt

├── node

├── node_modules

├── NOTICE.txt

├── optimize

├── package.json

├── plugins

├── README.txt

├── src

├── webpackShims

└── yarn.lock

和ElasticSearch目录结构类似,binconfig目录是我们重点关注的

配置

打开config目录,编辑其中的唯一的一个文件kibana.yml ,其中的几个参数需要我们关注

  • server.port Kibana运行的端口 默认5601
  • elasticsearch.url ElasticSearch运行地址,默认是http://localhost:9200 如果在上面配置ElasticSearch中你修改了ElasticSearch的运行端口那么,这里也需要做相应的修改.
  • elasticsearch.username 如果你的ElasticSearch配置了用户名,那么这里需要完善
  • elasticsearch.password 同上,这里设置密码

测试

回到Kibana的bin目录下,运行./kibana即可,打开浏览器访问(http://localhost:5601)即可进入Kibana管理界面,这里我们只要使用DevTools功能,其他的统计等功能,我们这里暂时不做研究学习.

在DevTools命令中我们可以非常方便的使用ElasticSearch命令,并且可以高亮以及提示,非常的方便。

LogStash

Logstash is an open source, server-side data processing pipeline that ingests data from a multitude of sources simultaneously, transforms it, and then sends it to your favorite “stash.” (Ours is Elasticsearch, naturally.)

安装

官方下载地址 https://www.elastic.co/downloads/logstash 根据自己的系统版本下载安装,个人电脑系统Ubuntu18.04 因此选择 ZIP 请根据自己的操作系统选择合适的版本下载

然后解压备用

配置

LogStash 内部有非常多的适配,包括Kafka、ElasticSearch、Redis、Nginx等等,输入支持文件、终端等,下面我们就模拟日志文件,然后利用Logstash收集转换,规整到ElasticSearch中.

创建自定义日志脚本

首先我们先完成一个Shell脚本,这个SHELL脚本会每隔1S输出时间写入文件内,如下:

rm /tmp/logstash.log

set index=2

while true

do

    cur_date="`date '+%Y %m %d %H %m %S'`"

    echo ${cur_date} >> /tmp/logstash.log

    sleep 1

done

该脚本会在/tmp目录下创建logstash.log日志文件,并把数据写入到该文件中,Logstash需要监控这个文件,并把这个文件格式化.

创建启动配置文件

LogStash配置内容如下(文件名为conf.cnf 保存在Logstash的目录下):

  • input 表示数据输入 这里我们使用file监控文件 path表示监控文件目录,支持匹配符,start_position表示监控的起始位置
  • filter 过滤处理 可以将过滤转换我们的数据,也是比较复杂的一块配置
  • output 输出,这里可以输出到控制台,ElasticSearch、Redis等系统,支持多输出配置.
input{

  file{

    path => "/tmp/logstash.log"

    start_position => "end"

  }

}

filter {

    grok {

       match => { "message" => "%{YEAR:year} %{MONTHNUM:month} %{MONTHDAY:day} %{HOUR:hours} %{MINUTE:minute} %{SECOND:second}"}

    }

   json {

     source => "message"

     target => "jsoncontent"

   }

}

output{

  elasticsearch{

    hosts => ['127.0.0.1:9200']

    index => 'log'

  }

}

另外根据上面shell脚本中的代码,各个时间属性之间使用空格隔开,因此我们grok也需要根据是假的日志情况适配。所以%{YEAR:year} %{MONTHNUM:month} %{MONTHDAY:day} %{HOUR:hours} %{MINUTE:minute} %{SECOND:second} 其中冒号前面的表示类型。冒号后面表示字段属性,在转换的过程中会作为key来存储到ElasticSearch中,当然这种类型是非常多的,官方支持的位置为:https://github.com/elastic/logstash

最后输出,前期调试我们可以输出到控制台中,配置如下:

output{

  stdout{

    codec => rubydebug

  }

}

输出正确后我在写入到ElasticSearch中即可

测试

首先我们先使用控制台标准输出,查看效果

控制台打印

修改conf.cnf文件最后的output属性为

output{

  stdout{

    codec => rubydebug

  }

}

切换到Logstash目录下,输入./bin/logstash -f ./conf.cnf 运行

Sending Logstash logs to /home/tao/soft/logstash/logs which is now configured via log4j2.properties

[2018-09-26T12:45:50,585][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified

[2018-09-26T12:45:51,080][INFO ][logstash.runner          ] Starting Logstash {"logstash.version"=>"6.4.1"}

[2018-09-26T12:45:54,236][INFO ][logstash.pipeline        ] Starting pipeline {:pipeline_id=>"main", "pipeline.workers"=>8, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>50}

[2018-09-26T12:45:54,739][INFO ][logstash.inputs.file     ] No sincedb_path set, generating one based on the "path" setting {:sincedb_path=>"/home/tao/soft/logstash/data/plugins/inputs/file/.sincedb_485b967e0d7e8bef0d95852573188f7a", :path=>["/tmp/logstash.log"]}

[2018-09-26T12:45:54,780][INFO ][logstash.pipeline        ] Pipeline started successfully {:pipeline_id=>"main", :thread=>"#<Thread:0x5fa716fa run>"}

[2018-09-26T12:45:54,838][INFO ][logstash.agent           ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}

[2018-09-26T12:45:54,853][INFO ][filewatch.observingtail  ] START, creating Discoverer, Watch with file and sincedb collections

[2018-09-26T12:45:55,110][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}

这个时候因为文件还没有数据新增,所LogStash会时时监控该为见,我们调用Shell,向文件中写入数据,观察结果(其中的警告信息请忽略,是因为转换过程中数字以0开头,就会出现这个错误),另外注意要关闭这个shell脚本(Ctrl+C),防止干扰我们数据

[2018-09-26T12:47:55,748][WARN ][logstash.filters.json    ] Error parsing json {:source=>"message", :raw=>"2018 09 26 12 09 55", :exception=>#<LogStash::Json::ParserError: Invalid numeric value: Leading zeroes not allowed

 at [Source: (byte[])"2018 09 26 12 09 55"; line: 1, column: 7]>}

{

          "host" => "linux",

      "@version" => "1",

       "message" => "2018 09 26 12 09 55",

          "year" => "2018",

    "@timestamp" => 2018-09-26T04:47:55.646Z,

         "month" => "09",

        "second" => "55",

         "hours" => "12",

          "path" => "/tmp/logstash.log",

        "minute" => "09",

          "tags" => [

        [0] "_jsonparsefailure"

    ],

           "day" => "26"

}

[2018-09-26T12:47:56,762][WARN ][logstash.filters.json    ] Error parsing json {:source=>"message", :raw=>"2018 09 26 12 09 56", :exception=>#<LogStash::Json::ParserError: Invalid numeric value: Leading zeroes not allowed

 at [Source: (byte[])"2018 09 26 12 09 56"; line: 1, column: 7]>}

{

          "host" => "linux",

      "@version" => "1",

       "message" => "2018 09 26 12 09 56",

          "year" => "2018",

    "@timestamp" => 2018-09-26T04:47:56.656Z,

         "month" => "09",

        "second" => "56",

         "hours" => "12",

          "path" => "/tmp/logstash.log",

        "minute" => "09",

          "tags" => [

        [0] "_jsonparsefailure"

    ],

           "day" => "26"

}

可以看到数据已经转换成json类型,其中year,month。day以及hours正是我们在gork中配置的

输入到ElasticSearch

修改最后的输出

output{

  elasticsearch{

    hosts => ['127.0.0.1:9200']

    index => 'log'

  }

}

此时ElasticSearch应该启动在9200端口,如果是其他端口,需要做相应的修改

和上述的命令一样,./bin/logstash -f ./conf.cnf 运行,并且运行Shell脚本,此时通过Kibana查询数据

GET /log/doc/_search 就可以看到我们源源不断向ElasticSearch写入的日志记录了.

ElasticSearch、Logstash、Kibana 搭建高效率日志管理系统的更多相关文章

  1. 用ElasticSearch,LogStash,Kibana搭建实时日志收集系统

    用ElasticSearch,LogStash,Kibana搭建实时日志收集系统 介绍 这套系统,logstash负责收集处理日志文件内容存储到elasticsearch搜索引擎数据库中.kibana ...

  2. 【转】ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台

    [转自]https://my.oschina.net/itblog/blog/547250 摘要: 前段时间研究的Log4j+Kafka中,有人建议把Kafka收集到的日志存放于ES(ElasticS ...

  3. ELK6.0部署:Elasticsearch+Logstash+Kibana搭建分布式日志平台

    一.前言 1.ELK简介 ELK是Elasticsearch+Logstash+Kibana的简称 ElasticSearch是一个基于Lucene的分布式全文搜索引擎,提供 RESTful API进 ...

  4. 【Big Data - ELK】ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台

    摘要: 前段时间研究的Log4j+Kafka中,有人建议把Kafka收集到的日志存放于ES(ElasticSearch,一款基于Apache Lucene的开源分布式搜索引擎)中便于查找和分析,在研究 ...

  5. Elasticsearch+Logstash+Kibana搭建分布式日志平台

    一.前言 编译安装 1.ELK简介 下载相关安装包地址:https://www.elastic.co/cn/downloads ELK是Elasticsearch+Logstash+Kibana的简称 ...

  6. ELK(ElasticSearch+Logstash+ Kibana)搭建实时日志分析平台

    一.简介 ELK 由三部分组成elasticsearch.logstash.kibana,elasticsearch是一个近似实时的搜索平台,它让你以前所未有的速度处理大数据成为可能. Elastic ...

  7. [Big Data - ELK] ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台

    ELK平台介绍 在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自: http://baidu.blog.51cto.com/71938/1676798 日志主要包括系统日志. ...

  8. 13: ELK(ElasticSearch+Logstash+ Kibana)搭建实时日志分析平台

    参考博客:https://www.cnblogs.com/zclzhao/p/5749736.html 51cto课程:https://edu.51cto.com/center/course/less ...

  9. Elasticsearch + Logstash + Kibana 搭建教程

    # ELK:Elasticsearch + Logstash + Kibana 搭建教程 Shipper:日志收集者.负责监控本地日志文件的变化,及时把日志文件的最新内容收集起来,输出到Redis暂存 ...

随机推荐

  1. SQL优化 MySQL版 - 避免索引失效原则(二)

    避免索引失效原则(二) 注:继上一篇文章继续讲解: 避免索引失效原则(一)https://www.cnblogs.com/StanleyBlogs/p/10482048.html#4195062 作者 ...

  2. Named Volume 在 MySQL 数据持久化上的基本应用

    原文作者:春哥 初识春哥时,春哥是美术设计大咖.后不久,创业并致力于游戏开发,已有3年.从Unity3D到IOS(Swift)开发,从前端开发到后端以及容器技术,从设计开发测试到产品经理以及CEO,已 ...

  3. vue实现商品购物车全选与全不选项目实战

    项目需求: 实现一个购物车 全选框实现对商家和商品的全选 商家全选框实现对当前商家所有商品的全选 取消其中一个商品则取消对应商家全选和全选框 选中一个商家下的所有商品则勾选对应商家的全选框,不勾选全选 ...

  4. 文件进行MD5计算

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  5. 供应链管理为什么要上企业自主可控的免费开源ERP Odoo

    引言 今天的很多企业,无论是制造业,还是商贸行业,如果说没有针对供应链管理的信息系统,那可能是真的冤枉他们了:采购.仓存.销售.存货核算这些模块,早早的买来,早早的用上了,但也早早的被下了结论:食之无 ...

  6. android---动画入门(一)

    android 动画分为两类,View Animation(视图动画)和property Animation(属性动画),View Animation(视图动画)包含了Tween Animation和 ...

  7. python 自学之路-Day Two

    Day1补充部分 模块初识 模块就是由其他人写好的功能,在程序需要的时候进行导入,直接使用,也叫库. 库有标准库和第三方库,所谓标准库,就是不需要安装就可以直接使用的,自带的:第三方库,就是需要进行下 ...

  8. EF和Dapper之争的关键

    突然发现园子里为EF和Dapper的事闹翻了天.(学Java的同学大概就是Hibernate和MyBatis之争了) 讲到EF对Mysql的支持,我在一边偷着乐:还好我用的是NHibernate,对M ...

  9. Cocoa包管理器之Carthage详解及CocoaPods中心化+Carthage的二进制化

    上篇博客详细的聊了CocoaPods的相关内容,今天我们就来介绍另一个Cocoa的包管理器Carthage.在上家公司用Swift开发工程时,用的就是Carthage.Carthage诞生于14年11 ...

  10. Linux 桌面玩家指南:05. 发博客必备的图片处理和视频录制神器

    特别说明:要在我的随笔后写评论的小伙伴们请注意了,我的博客开启了 MathJax 数学公式支持,MathJax 使用$标记数学公式的开始和结束.如果某条评论中出现了两个$,MathJax 会将两个$之 ...