一个ip 做2个网站吗,百度搜索风云榜游戏,wordpress文章权限,怎么看一个网站用什么做的目录
一、ELK概述
ELK的组成
1、ElasticSearch
2、Logstash
3、Kiabana
完整日志采集系统基本特征
ELK的工作原理
二、ELK的部署
1、环境准备
2、部署ElasticSearch软件
3、安装Elasticsearch-head插件
4、Logstash部署
5、Kibana部署
三、FilebeatELK部署
1、安…目录
一、ELK概述
ELK的组成
1、ElasticSearch
2、Logstash
3、Kiabana
完整日志采集系统基本特征
ELK的工作原理
二、ELK的部署
1、环境准备
2、部署ElasticSearch软件
3、安装Elasticsearch-head插件
4、Logstash部署
5、Kibana部署
三、FilebeatELK部署
1、安装Filebeat
2、设置 filebeat 的主配置文件
3、启动 filebeat
4、在 Logstash 组件所在节点上新建一个 Logstash 配置文件 一、ELK概述
ELK的组成
ELK是由 ElasticSearch、Logstash 和 Kiabana 三个开源工具所组成 完成更强大的用户对日志的查询、排序、统计需求。
1、ElasticSearch
作用存储日志数据创建索引方便全文检索
elasticsearch是基于Lucene一个全文检索引擎的架构开发的分布式存储检索引擎用来存储各类日志。
ElasticSearch是使用java开发的可通过RESTful Web接口让用户可以通过浏览器与ElasticSearch通信
Elasticsearch是一个实时的、分布式的可扩展的搜索引擎允许进行全文、结构化搜索它通常用于索引和搜索大容量的日志数据也可用于搜索许多不同类型的文档。
2、Logstash
作用负责收集日志数据通过模块对数据进行过滤、格式化处理再输出
logstash作为数据收集引擎。它支持动态的从各种数据源搜集数据并对数据进行过滤、分析、丰富、统一格式等操作然后存储到用户指定的位置一般会发送给 Elasticsearch。
Logstash 由 Ruby 语言编写运行在 Java 虚拟机JVM上是一款强大的数据处理工具 可以实现数据传输、格式处理、格式化输出。Logstash 具有强大的插件功能常用于日志处理。
可以添加的其它组件Filebeat轻量级的开源日志文件数据搜集器。通常在需要采集数据的客户端安装 Filebeat并指定目录与日志格式Filebeat 就能快速收集数据并发送给 logstash 进行解析或是直接发给 Elasticsearch 存储性能上相比运行于 JVM 上的 logstash 优势明显是对它的替代。常应用于 EFLK 架构当中。
filebeat 结合 logstash 带来好处 1通过 Logstash 具有基于磁盘的自适应缓冲系统该系统将吸收传入的吞吐量从而减轻 Elasticsearch 持续写入数据的压力 2从其他数据源例如数据库S3对象存储或消息传递队列中提取 3将数据发送到多个目的地例如S3HDFSHadoop分布式文件系统或写入文件 4使用条件数据流逻辑组成更复杂的处理管道
缓存/消息队列redis、kafka、RabbitMQ等可以对高并发日志数据进行流量削峰和缓冲这样的缓冲可以一定程度的保护数据不丢失还可以对整个架构进行应用解耦。
Fluentd是一个流行的开源数据收集器。由于 logstash 太重量级的缺点Logstash 性能低、资源消耗比较多等问题随后就有 Fluentd 的出现。相比较 logstashFluentd 更易用、资源消耗更少、性能更高在数据处理上更高效可靠受到企业欢迎成为 logstash 的一种替代方案常应用于 EFK 架构当中。在 Kubernetes 集群中也常使用 EFK 作为日志数据收集的方案。
在 Kubernetes 集群中一般是通过 DaemonSet 来运行 Fluentd以便它在每个 Kubernetes 工作节点上都可以运行一个 Pod。 它通过获取容器日志文件、过滤和转换日志数据然后将数据传递到 Elasticsearch 集群在该集群中对其进行索引和存储。
Logstash配置文件由三部分组成
1input表示从数据源采集数据常见的数据源如Kafka、日志文件等 (file beats kafka redis stdin)
格式如下 input { #指定两个日志来源 file { path /var/log/messages type syslog} #日志来源为syslog file { path /var/log/httpd/access.log type apache} #日志来源apache服务 } 2filter表示数据处理层包括对数据进行格式化处理、数据类型转换、数据过滤等支持正则表达式。可选根据需要选择使用 filter中的插件有grok、date、mutate、mutiline grok对若干个大文本字段进行再分割成一些小字段 (?字段名正则表达式) 字段名: 正则表达式匹配到的内容 mutate对一些无用的字段进行剔除或增加字段 mutiline对多行数据进行统一编排多行合并或拆分将多行数据合并在一行显示 data对数据中的事件格式化进行统一和格式化
3output表示将logstash收集的数据经由过滤器处理之后输出道ElasticSearch。
3、Kiabana
作用负责从elasticsearch中提取数据并在web页面进行数据展示
Kibana 通常与 Elasticsearch 一起部署Kibana 是 Elasticsearch 的一个功能强大的数据可视化 DashboardKibana 提供图形化的 web 界面来浏览 Elasticsearch 日志数据可以用来汇总、分析和搜索重要数据。
完整日志采集系统基本特征
收集能够采集多种来源的日志数据 传输能够稳定的把日志数据解析过滤并传输到存储系统 存储存储日志数据 分析支持 UI 分析 警告能够提供错误报告监控机制
ELK的工作原理
1在所有需要收集日志的服务器上部署Logstash或者先将日志进行集中化管理在日志服务器上在日志服务器上部署 Logstash。 2Logstash 收集日志将日志格式化并输出到 Elasticsearch 群集中。 3Elasticsearch 对格式化后的数据进行索引和存储。 4Kibana 从 ES 群集中查询数据生成图表并进行前端数据的展示。
二、ELK的部署
部署环境 主机名IP地址部署的应用node01192.168.3.101ElasticSearch、kibananode02192.168.3.102ElasticSearchapache192.168.3.100Logstash、Apache
1、环境准备
关闭防火墙和selinux安装java环境所有节点上都要做 systemctl stop firewalld #关闭防火墙 setenforce 0 #关闭selinux java -version #查看java的版本 yum install -y java #若没有安装安装java就好 #apache节点修改主机名 hostnamectl set-hostname apache #node01节点修改主机名 hostnamectl set-hostname node01 #node02节点修改主机名 hostnamectl set-hostname node02 2、部署ElasticSearch软件
1安装ElasticSearch软件node01node02节点上安装
#首先传入rpm安装包到节点上的opt目录下
cd /opt
rpm -ivh elasticsearch-6.7.2.rpm #安装elasticsearch 2修改es的主配置文件 修改elasticsearch主配置文件以下是node01节点上的配置node02上的配置与node01上的配置几乎一样只有23行的node.name的值与57行监听的地址可以都写0.0.0.0也可以写本机的地址 #修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml{,.bak} #先将原来的配置文件备份一份
vim /etc/elasticsearch/elasticsearch.yml #修改配置文件
--17--取消注释指定集群名字
cluster.name: my-elk-cluster
--23--取消注释指定节点名字Node1节点为node1Node2节点为node2
node.name: node1
node.master: true #是否master节点false为否
node.data: true #是否数据节点false为否
--35--取消注释指定数据存放路径
path.data: /var/lib/elasticsearch
--39--取消注释指定日志存放路径
path.logs: /var/log/elasticsearch
--45--取消注释避免es使用swap交换分区
bootstrap.memory_lock: true
--57--取消注释设置监听地址0.0.0.0代表所有地址也可以写本机地址
network.host: 0.0.0.0
--61--取消注释ES 服务的默认监听端口为9200
http.port: 9200 #指定es集群提供外部访问的接口
transport.tcp.port: 9300 #指定es集群内部通信接口
--70--取消注释集群发现通过单播实现指定要发现的节点
discovery.zen.ping.unicast.hosts: [192.168.3.101:9300, 192.168.3.102:9300] 3es性能调优
vim /etc/security/limits.conf
......
* soft nofile 65536
* hard nofile 65536
* soft nproc 32000
* hard nproc 32000
* soft memlock unlimited
* hard memlock unlimited vim /etc/systemd/system.conf
DefaultLimitNOFILE65536
DefaultLimitNPROC32000
DefaultLimitMEMLOCKinfinity然后需重启生效 vim /etc/sysctl.conf
#一个进程可以拥有的最大内存映射区域数参考数据分配 2g/2621444g/41943048g/8388608
vm.max_map_count262144sysctl -p
sysctl -a | grep vm.max_map_count 4启动elasticsearch是否启动成功
systemctl start elasticsearch.service #启动es
systemctl enable elasticsearch.service #设置开机自启
netstat -antp | grep 9200 #查看es的默认端口判断是否启动es成功 5查看节点信息 浏览器访问http://192.168.3.101:9200、http://192.168.3.102:9200 浏览器访问 http://192.168.3.101:9200/_cluster/health?pretty 、 http://192.168.3.102:9200/_cluster/health?pretty查看群集的健康情况可以看到 status 值为 green绿色 表示节点健康运行。 浏览器访问 http://192.168.3.101:9200/_cluster/state?pretty 检查群集状态信息。 3、安装Elasticsearch-head插件
ElasticSearch-head插件部署在node01节点或node02节点任意一个节点上即可
1编译安装node
#上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c make -y #安装依赖环境cd /opt
tar zxvf node-v8.2.1.tar.gz #解压安装包cd node-v8.2.1/
./configure
make -j2 make install #编译安装 2安装 phantomjs
#上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2
cd /opt/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin 3安装 Elasticsearch-head 数据可视化工具
#上传软件包 elasticsearch-head-master.zip 到/opt
cd /opt
unzip elasticsearch-head-master.zip
cd /opt/elasticsearch-head/
npm install //安装依赖包 4修改 Elasticsearch 主配置文件并重启elasticsearch服务
vim /etc/elasticsearch/elasticsearch.yml
......
--末尾添加以下内容--
http.cors.enabled: true #开启跨域访问支持默认为 false
http.cors.allow-origin: * #指定跨域访问允许的域名地址为所有systemctl restart elasticsearch 5启动 elasticsearch-head 服务
#必须在解压后的 elasticsearch-head 目录下启动服务进程会读取该目录下的 gruntfile.js 文件否则可能启动失败。
cd /opt/elasticsearch-head-master/
npm run start
#elasticsearch-head 监听的端口是 9100
netstat -natp |grep 9100 6通过 Elasticsearch-head 查看 Elasticsearch 信息 通过浏览器访问 http://192.168.3.101:9100/ 地址并连接群集。如果看到群集健康值为 green 绿色代表群集很健康。 7插入索引并在浏览器访问查看
curl -X PUT 192.168.3.101:9200/index-demo/test/1?prettypretty -H content-Type: application/json -d {user:zhangsan,mesg:hello world} 4、Logstash部署
在apache节点安装logstash
1安装apache服务httpd
yum -y install httpd
systemctl start httpd
2安装logstash
#上传软件包 logstash-6.7.2.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-6.7.2.rpm
systemctl start logstash.service
systemctl enable logstash.serviceln -s /usr/share/logstash/bin/logstash /usr/local/bin/ 3配置logstash配置文件
让其收集系统日志/var/log/messages并将其输出到 elasticsearch群集。
chmod r /var/log/messages #让 Logstash 可以读取日志cd /etc/logstash/conf.d/
vim system.conf
input {file{path /var/log/messagestype systemstart_position beginning# ignore_older 604800sincedb_path /etc/logstash/sincedb_path/log_progressadd_field {log_hostname${HOSTNAME}}}
}
output {elasticsearch { #输出到 elasticsearchhosts [192.168.3.101:9200,192.168.3.102:9200] #指定 elasticsearch 服务器的地址和端口index system-%{YYYY.MM.dd} #指定输出到 elasticsearch 的索引格式}
} 4启动logstash并在浏览器查看
创建并设置属主和属组为logstash采集日志数据做准备
mkdir /etc/logstash/sincedb_path/
touch /etc/logstash/sincedb_path/log_progress
chown logstash:logstash /etc/logstash/sincedb_path/log_progresslogstash -f /etc/logstash/conf.d/system.conf #启动logstash根据配置文件采集相关日志数据 5、Kibana部署
在node01上部署
1安装Kibana # 上传软件包到/opt目录 cd /opt rpm -ivh kibana-6.7.2-x86_64.rpm 2修改Kibana的配置文件
vim /etc/kibana/kibana.yml
--2--取消注释Kiabana 服务的默认监听端口为5601
server.port: 5601
--7--取消注释设置 Kiabana 的监听地址0.0.0.0代表所有地址
server.host: 0.0.0.0
--28--取消注释配置es服务器的ip如果是集群则配置该集群中master节点的ip
elasticsearch.url: [http://192.168.3.101:9200,http://192.168.3.102:9200]
--37--取消注释设置在 elasticsearch 中添加.kibana索引
kibana.index: .kibana
--96--取消注释配置kibana的日志文件路径需手动创建不然默认是messages里记录日志
logging.dest: /var/log/kibana.log 3创建日志文件启动 Kibana 服务
touch /var/log/kibana.log
chown kibana:kibana /var/log/kibana.logsystemctl start kibana.service
systemctl enable kibana.servicenetstat -natp | grep 5601 4在浏览器访问http://192.168.3.101:5601 5添加索引
Management - Index Pattern - Create index pattern
Index pattern 输入system-* #在索引名中输入之前配置的 Output 前缀“system”Next step - Time Filter field name 选择 timestamp - Create index pattern单击 “Discover” 按钮可查看图表信息及日志信息。
数据展示可以分类显示在“Available Fields”中的“host”然后单击 “add”按钮可以看到按照“host”筛选后的结果 三、FilebeatELK部署
基于上方的ELK的部署另起一台部署Filebeat
Filebeat节点IP192.168.3.103
1、安装Filebeat
#上传软件包 filebeat-6.7.2-linux-x86_64.tar.gz 到/opt目录
tar zxvf filebeat-6.7.2-linux-x86_64.tar.gz
mv filebeat-6.7.2-linux-x86_64/ /usr/local/filebeat 2、设置 filebeat 的主配置文件
cd /usr/local/filebeat
vim filebeat.yml
filebeat.inputs:
- type: log #指定 log 类型从日志文件中读取消息enabled: truepaths:- /var/log/messages #指定监控的日志文件- /var/log/*.logtags: [sys] #设置索引标签fields: #可以使用 fields 配置选项设置一些参数字段添加到 output 中service_name: filebeatlog_type: syslogfrom: 192.168.80.13--------------Elasticsearch output-------------------
(全部注释掉)----------------Logstash output---------------------
output.logstash:hosts: [192.168.80.12:5044] #指定 logstash 的 IP 和端口 3、启动 filebeat
nohup ./filebeat -e -c filebeat.yml filebeat.out 4、在 Logstash 组件所在节点上新建一个 Logstash 配置文件
cd /etc/logstash/conf.dvim filebeat.conf
input {beats {port 5044}
}
filter {grok {match [message, (?remote_addr%{IPV6}|%{IPV4})[\s\-]\[(?logTime.*)\]\s\(?method\S)\s(?url_path.)\\s(?rev_code\d) \d \(?req_addr.)\ \(?content.*)\]}
}output {elasticsearch {hosts [192.168.3.101:9200,192.168.3.102:9200]index %{[fields][service_name]}-%{YYYY.MM.dd}}stdout {codec rubydebug}
} 5、启动logstash并在浏览器查看
logstash -f filebeat.conf
