文档章节

使用EKL(Elasticsearch、Kibana、Logstash)进行服务器日志的汇聚与监控

swingcoder
 swingcoder
发布于 2015/11/02 15:10
字数 1348
阅读 1525
收藏 14

一、前言

本文主要介绍了使用工具Elasticsearch、Kibana和Logstash(配合Logstash Forwarder)对服务器的各种日志文件,如nginx的log、系统的各种log、mysql的slow log等进行汇聚并存储,并进行图形化检索展示。通过这套工具,可以实现日志的集中管理,并通过对日志的分析,迟早发现存在的问题加以改进和完善。

三个工具的作用分别是:elasticsearch用于存储和检索、Kibana用来图形化展示和检索、Logstash用来汇聚日志。

二、安装

运行环境 Centos 6.5 x86_64

1、安装Elasticsearch

wget https://download.elasticsearch.org/elasticsearch/release/org/elasticsearch/distribution/rpm/elasticsearch/2.0.0/elasticsearch-2.0.0.rpm 
rpm -ivh elasticsearch-2.0.0.rpm
#修改以下配置,包括存储路径,选择一个较大的分区保存数据
vi /etc/elasticsearch/elasticsearch.yml
path.data: /mnt/elasticsearch/data
path.work: /mnt/elasticsearch/tmp
path.logs: /mnt/elasticsearch/logs
path.plugins: /mnt/elasticsearch/plugins
#然后启动,默认端口是 9200
service  elasticsearch start

2、安装Kibana

wget https://download.elastic.co/kibana/kibana/kibana-4.2.0-linux-x64.tar.gz 
tar xzvf kibana-4.2.0-linux-x64.tar.gz
cd kibana-4.2.0-linux
#核对下参数,里面有配置elasticsearch的端口信息,一般不用修改使用默认即可
vi config/kibana.yml
elasticsearch_url: "http://localhost:9200"
#启动kibana,监听端口是5601
./bin/kibana
#添加到自启动里
echo `pwd`/bin/kibana >> /etc/rc.local

此时用浏览器访问http://ip:5601/ 可以看到kibana界面,不过此时没有任何日志信息,是没法使用的,接下来是重点,配置日志汇聚。

3、安装Logstash

Logstash是汇聚日志的和转发日志给elasticsearch的作用,一般叫之为indexer。而安装到各服务器收集日志的机器,叫shipper,需要使用工具Logstash Forwarder(旧名称叫Lumberjack),最新的shipper工具又准备要换成beats了,有兴趣的可以自行研究配置,参考地址

一般Logstash可以与elasticsearch,kibana安装在一台服务器上,Logstash Forwarder可以安装到任意其它要收集日志的机器上。

先安装Logstash:

wget #此包依赖jrm没有的请自行安装,推荐java 8
rpm ivh logstash-2.0.0-1.noarch.rpm
#查看安装路径
rpm -ql logstash|more

配置Logstash,要先生成ssl相关的证书用于shipper和indexer加密通讯。

openssl req -x509 -days 99999 -nodes -newkey rsa:2048 -keyout logstash-forwarder.key -out logstash-forwarder.crt
#按提示输入各信息,特别注意hostsname的输入,要与你的indexer机器一样,否则shipper机器可能无法通讯。
#-days 指定 证书的有效日期,否则会经常失效,查看日志可以看到报错信息
#tail -f /var/log/logstash-forwarder/logstash-forwarder.er
#配置参数
vi /etc/logstash/conf.d/logstash.conf
input{
    lumberjack {
        port => 5043
#       type => "apache"
        ssl_certificate => "/etc/logstash/conf.d/logstash-forwarder.crt"
        ssl_key => "/etc/logstash/conf.d/logstash-forwarder.key"
    }
 file {
    path => [ "/var/log/*.log", "/var/log/messages", "/var/log/syslog" ]
    type => "syslog"
  }
}
filter {
  if [type] == "apache" {
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
  }
}
output {
    if !("_grokparsefailure" in [tags]) {
        #stdout { codec => rubydebug }
        elasticsearch { bind_host => "127.0.0.1" }
    }
}

然后启动Logstash

#检查下配置文件是否正确,正确的话就启动
/opt/logstash/bin/logstash -t -f /etc/logstash/conf.d/logstash.con
service logstash start
#查看日志,注意是否有错,有错
tail -f /var/log/logstash/logstash.err
#最后行是 started 表示启动正常

一切正常的话,开始在采集机安装Logstash Forwarder。

安装步骤

wget https://download.elastic.co/logstash-forwarder/binaries/logstash-forwarder-0.4.0-1.x86_64.rpm
rpm -ivh logstash-forwarder-0.4.0-1.x86_64.rpm
rpm -ql logstash-forwarder
vi /etc/logstash-forwarder.conf
#修改以下几项
{
"network": {
"servers": [ "YOUR_INDEXER_HOSTNAME:5043" ],
"ssl key": "/etc/logstash/conf.d/logstash-forwarder.key",
"ssl ca": "/etc/logstash/conf.d/logstash-forwarder.crt",
"timeout": 15
},
 "files": [
  {
      "paths": [
        "/var/log/nginx/*.log","/var/log/httpd/*.log"
      ],
      "fields": { "type": "apache" }
    }
 ]
}

上面的key和crt文件从安装Logstash服务器里复制过来,在采集机不用再重复生成。

启动logstash-forwarder

service logstash-forwarder start

观察Log是否有错误

tail -f /var/log/logstash-forwarder/logstash-forwarder.err

如果输出 Registrar: processing 1 events 表示正常。

如果一切正常,表示日志已经采集过去了,再次通过 http://localhost:5601/ 访问kibaba,可能看到有报表和数据了。

如下图

Kibana功能非常强大,结合Visualize可以生成各种维度的报告,具体使用请参数官方网站

三、总结

EKL三者互相配合可能实现日志分析的自动化,从多角度对你的日志数据进行分析,同时Logstash还提供了大量的plugin(插件主要分3类,INPUT,FILTEROUTPUT),包括与Kabbix或Nagios配合实现自动告警服务等(请参考我的另外一遍文章《Zabbix对服务器资源进行监控及百度告警的整合》)。

logstash plugin的安装如果发现ruby的很慢,应该是域名被墙了,可以换成国内淘宝的镜像,相关参考在 https://ruby.taobao.org/,可以搜索plugin目录下的相关域名,直接替换成淘宝的域名,参数命令

$ sed -i -E 's!https?://cache.ruby-lang.org/pub/ruby!https://ruby.taobao.org/mirrors/ruby!' $rvm_path/config/db

 

2016.1.28 updated

logforward如果连不上服务端,会产生大量的log内容,如connection refused.所以对此服务的可用性要结合zabbix进行预警。添加自定义事件,如

vi /etc/zabbix/zabbix_agentd.d/userparameter_zg.conf 
UserParameter=check_logforward_fail[*],tail /var/log/logstash-forwarder/logstash-forwarder.err |grep $1|wc -l

修改后要重启zabbix-server使其生效。

2016.2.23 updated

运行一段时间后,如果要对elastic日志进行管理,如删除,可以参考 https://github.com/elastic/curator

yum install python-pip
pip install elasticsearch-curator
curator --host localhost delete indices --older-than 30 --time-unit days --timestring '%Y.%m.%d'

更多例子参考

https://www.elastic.co/guide/en/elasticsearch/client/curator/current/examples.html

 

<作者 朱淦 350050183@qq.com 2015.11.5>

© 著作权归作者所有

共有 人打赏支持
swingcoder
粉丝 32
博文 298
码字总数 67820
作品 0
广州
技术主管
小白都会超详细--ELK日志管理平台搭建教程

目录 一、介绍 二、安装JDK 三、安装Elasticsearch 四、安装Logstash 五、安装Kibana 六、Kibana简单使用 系统环境:CentOS Linux release 7.4.1708 (Core) 当前问题状况 开发人员不能登录线...

渣渣辉
07/15
0
0
CTO详细讲解海量日志处理ELK

ELK实时日志分析平台之Elasticsearch简介 Elasticsearch是一个高度灵活的开源全文检索和分析引擎。它能够迅速(几乎是实时地)地存储、查找和分析大规模数据。通常被用在有复杂的搜索要求的系...

Java架构分享
05/23
0
0
初探 ELK - 每天5分钟玩转 Docker 容器技术(89)

在开源的日志管理方案中,最出名的莫过于 ELK 了。ELK 是三个软件的合称:Elasticsearch、Logstash、Kibana。 Elasticsearch 一个近乎实时查询的全文搜索引擎。Elasticsearch 的设计目标就是...

CloudMAN
2017/11/03
0
0
基于弹性堆栈(ELK堆栈)的日志分析、存储及展示

ELK简介 “ELK”是三个开源项目的首字母缩写:Elasticsearch,Logstash和Kibana。Elasticsearch是一个搜索和分析引擎。Logstash是一个服务器端数据处理管道,它同时从多个源中提取数据,对其...

cchenyz
08/22
0
0
使用logstash+elasticsearch+kibana快速搭建日志平台

日志的分析和监控在系统开发中占非常重要的地位,系统越复杂,日志的分析和监控就越重要,常见的需求有: 根据关键字查询日志详情 监控系统的运行状况 统计分析,比如接口的调用次数、执行时间...

eddy_linux
2015/11/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

.NET 知识整理笔记

1.Web.Config配置文件的节点操作 在Web.Config中写入 <configuration> <connectionStrings> <add name="conStr" connectionString="Data Source=IUCL8V4Y7NW5IRA\SQLEXPRESS;Initia......

Jokeny
28分钟前
1
0
Spring 声明式注解事务实现机制

Spring中注解事务实现机制 在使用@Transactional 注解管理事务时步骤很简单。但是如果对@Transactional理解不够透彻,很容易出现事务不起作用的情况。所以,在对@Transactional的实现机制要有...

狂奔的熊二
29分钟前
0
0
Fastjson - 详解SerializeFilter,格式化对象字段

遇到一个奇葩场景,维护一个老的程序, 应用换了个服务方. 要切接口. 但有以下问题. 接口逻辑稍有不同 , 需要自己按原接口文档,重组逻辑. 接口字段名,字段类型改动较大. 但还要按原接口文档返回...

ol_O_O_lo
29分钟前
1
0
一个小知识点---关于传递引用参数

如果传入引用参数 在方法内new 对象,其改变外层不可见 如下方式保持引用的有效性

职业搬砖20年
34分钟前
0
0
Oracle数据导入导出命令及参数介绍(Linux)

1.数据导出 exp system/123456 file=d:\backup\oracle\oracle%date:~0,10%.dmp owner=system log=d:\backup\oracle\oracle%date:~0,10%.log 2.数据导入 imp system/manager@TEST file=d:\d......

lyle_luo
35分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部