文档章节

使用EKL(Elasticsearch、Kibana、Logstash)进行服务器日志的汇聚与监控

swingcoder
 swingcoder
发布于 2015/11/02 15:10
字数 1348
阅读 1584
收藏 13

一、前言

本文主要介绍了使用工具Elasticsearch、Kibana和Logstash(配合Logstash Forwarder)对服务器的各种日志文件,如nginx的log、系统的各种log、mysql的slow log等进行汇聚并存储,并进行图形化检索展示。通过这套工具,可以实现日志的集中管理,并通过对日志的分析,迟早发现存在的问题加以改进和完善。

三个工具的作用分别是:elasticsearch用于存储和检索、Kibana用来图形化展示和检索、Logstash用来汇聚日志。

二、安装

运行环境 Centos 6.5 x86_64

1、安装Elasticsearch

wget https://download.elasticsearch.org/elasticsearch/release/org/elasticsearch/distribution/rpm/elasticsearch/2.0.0/elasticsearch-2.0.0.rpm 
rpm -ivh elasticsearch-2.0.0.rpm
#修改以下配置,包括存储路径,选择一个较大的分区保存数据
vi /etc/elasticsearch/elasticsearch.yml
path.data: /mnt/elasticsearch/data
path.work: /mnt/elasticsearch/tmp
path.logs: /mnt/elasticsearch/logs
path.plugins: /mnt/elasticsearch/plugins
#然后启动,默认端口是 9200
service  elasticsearch start

2、安装Kibana

wget https://download.elastic.co/kibana/kibana/kibana-4.2.0-linux-x64.tar.gz 
tar xzvf kibana-4.2.0-linux-x64.tar.gz
cd kibana-4.2.0-linux
#核对下参数,里面有配置elasticsearch的端口信息,一般不用修改使用默认即可
vi config/kibana.yml
elasticsearch_url: "http://localhost:9200"
#启动kibana,监听端口是5601
./bin/kibana
#添加到自启动里
echo `pwd`/bin/kibana >> /etc/rc.local

此时用浏览器访问http://ip:5601/ 可以看到kibana界面,不过此时没有任何日志信息,是没法使用的,接下来是重点,配置日志汇聚。

3、安装Logstash

Logstash是汇聚日志的和转发日志给elasticsearch的作用,一般叫之为indexer。而安装到各服务器收集日志的机器,叫shipper,需要使用工具Logstash Forwarder(旧名称叫Lumberjack),最新的shipper工具又准备要换成beats了,有兴趣的可以自行研究配置,参考地址

一般Logstash可以与elasticsearch,kibana安装在一台服务器上,Logstash Forwarder可以安装到任意其它要收集日志的机器上。

先安装Logstash:

wget #此包依赖jrm没有的请自行安装,推荐java 8
rpm ivh logstash-2.0.0-1.noarch.rpm
#查看安装路径
rpm -ql logstash|more

配置Logstash,要先生成ssl相关的证书用于shipper和indexer加密通讯。

openssl req -x509 -days 99999 -nodes -newkey rsa:2048 -keyout logstash-forwarder.key -out logstash-forwarder.crt
#按提示输入各信息,特别注意hostsname的输入,要与你的indexer机器一样,否则shipper机器可能无法通讯。
#-days 指定 证书的有效日期,否则会经常失效,查看日志可以看到报错信息
#tail -f /var/log/logstash-forwarder/logstash-forwarder.er
#配置参数
vi /etc/logstash/conf.d/logstash.conf
input{
    lumberjack {
        port => 5043
#       type => "apache"
        ssl_certificate => "/etc/logstash/conf.d/logstash-forwarder.crt"
        ssl_key => "/etc/logstash/conf.d/logstash-forwarder.key"
    }
 file {
    path => [ "/var/log/*.log", "/var/log/messages", "/var/log/syslog" ]
    type => "syslog"
  }
}
filter {
  if [type] == "apache" {
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
  }
}
output {
    if !("_grokparsefailure" in [tags]) {
        #stdout { codec => rubydebug }
        elasticsearch { bind_host => "127.0.0.1" }
    }
}

然后启动Logstash

#检查下配置文件是否正确,正确的话就启动
/opt/logstash/bin/logstash -t -f /etc/logstash/conf.d/logstash.con
service logstash start
#查看日志,注意是否有错,有错
tail -f /var/log/logstash/logstash.err
#最后行是 started 表示启动正常

一切正常的话,开始在采集机安装Logstash Forwarder。

安装步骤

wget https://download.elastic.co/logstash-forwarder/binaries/logstash-forwarder-0.4.0-1.x86_64.rpm
rpm -ivh logstash-forwarder-0.4.0-1.x86_64.rpm
rpm -ql logstash-forwarder
vi /etc/logstash-forwarder.conf
#修改以下几项
{
"network": {
"servers": [ "YOUR_INDEXER_HOSTNAME:5043" ],
"ssl key": "/etc/logstash/conf.d/logstash-forwarder.key",
"ssl ca": "/etc/logstash/conf.d/logstash-forwarder.crt",
"timeout": 15
},
 "files": [
  {
      "paths": [
        "/var/log/nginx/*.log","/var/log/httpd/*.log"
      ],
      "fields": { "type": "apache" }
    }
 ]
}

上面的key和crt文件从安装Logstash服务器里复制过来,在采集机不用再重复生成。

启动logstash-forwarder

service logstash-forwarder start

观察Log是否有错误

tail -f /var/log/logstash-forwarder/logstash-forwarder.err

如果输出 Registrar: processing 1 events 表示正常。

如果一切正常,表示日志已经采集过去了,再次通过 http://localhost:5601/ 访问kibaba,可能看到有报表和数据了。

如下图

Kibana功能非常强大,结合Visualize可以生成各种维度的报告,具体使用请参数官方网站

三、总结

EKL三者互相配合可能实现日志分析的自动化,从多角度对你的日志数据进行分析,同时Logstash还提供了大量的plugin(插件主要分3类,INPUT,FILTEROUTPUT),包括与Kabbix或Nagios配合实现自动告警服务等(请参考我的另外一遍文章《Zabbix对服务器资源进行监控及百度告警的整合》)。

logstash plugin的安装如果发现ruby的很慢,应该是域名被墙了,可以换成国内淘宝的镜像,相关参考在 https://ruby.taobao.org/,可以搜索plugin目录下的相关域名,直接替换成淘宝的域名,参数命令

$ sed -i -E 's!https?://cache.ruby-lang.org/pub/ruby!https://ruby.taobao.org/mirrors/ruby!' $rvm_path/config/db

 

2016.1.28 updated

logforward如果连不上服务端,会产生大量的log内容,如connection refused.所以对此服务的可用性要结合zabbix进行预警。添加自定义事件,如

vi /etc/zabbix/zabbix_agentd.d/userparameter_zg.conf 
UserParameter=check_logforward_fail[*],tail /var/log/logstash-forwarder/logstash-forwarder.err |grep $1|wc -l

修改后要重启zabbix-server使其生效。

2016.2.23 updated

运行一段时间后,如果要对elastic日志进行管理,如删除,可以参考 https://github.com/elastic/curator

yum install python-pip
pip install elasticsearch-curator
curator --host localhost delete indices --older-than 30 --time-unit days --timestring '%Y.%m.%d'

更多例子参考

https://www.elastic.co/guide/en/elasticsearch/client/curator/current/examples.html

 

<作者 朱淦 350050183@qq.com 2015.11.5>

© 著作权归作者所有

共有 人打赏支持
swingcoder
粉丝 32
博文 310
码字总数 71570
作品 0
广州
技术主管
私信 提问
小白都会超详细--ELK日志管理平台搭建教程

目录 一、介绍 二、安装JDK 三、安装Elasticsearch 四、安装Logstash 五、安装Kibana 六、Kibana简单使用 系统环境:CentOS Linux release 7.4.1708 (Core) 当前问题状况 开发人员不能登录线...

渣渣辉
07/15
0
0
CTO详细讲解海量日志处理ELK

ELK实时日志分析平台之Elasticsearch简介 Elasticsearch是一个高度灵活的开源全文检索和分析引擎。它能够迅速(几乎是实时地)地存储、查找和分析大规模数据。通常被用在有复杂的搜索要求的系...

Java架构分享
05/23
0
0
线上日志集中化可视化管理:ELK

本文来自网易云社区 作者:王贝 为什么推荐ELK: 当线上服务器出了问题,我们要做的最重要的事情是什么?当需要实时监控跟踪服务器的健康情况,我们又要拿什么去分析?大家一定会说,去看日志...

网易云
09/29
0
0
基于弹性堆栈(ELK堆栈)的日志分析、存储及展示

ELK简介 “ELK”是三个开源项目的首字母缩写:Elasticsearch,Logstash和Kibana。Elasticsearch是一个搜索和分析引擎。Logstash是一个服务器端数据处理管道,它同时从多个源中提取数据,对其...

cchenyz
08/22
0
0
初探 ELK - 每天5分钟玩转 Docker 容器技术(89)

在开源的日志管理方案中,最出名的莫过于 ELK 了。ELK 是三个软件的合称:Elasticsearch、Logstash、Kibana。 Elasticsearch 一个近乎实时查询的全文搜索引擎。Elasticsearch 的设计目标就是...

CloudMAN
2017/11/03
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Mariadb二进制包安装,Apache安装

安装mariadb 下载二进制包并解压 [root@test-a src]# wget https://downloads.mariadb.com/MariaDB/mariadb-10.2.6/bintar-linux-glibc_214-x86_64/mariadb-10.2.6-linux-glibc_214-x86_64.t......

野雪球
今天
3
0
ConcurrentHashMap 高并发性的实现机制

ConcurrentHashMap 的结构分析 为了更好的理解 ConcurrentHashMap 高并发的具体实现,让我们先探索它的结构模型。 ConcurrentHashMap 类中包含两个静态内部类 HashEntry 和 Segment。HashEnt...

TonyStarkSir
今天
3
0
大数据教程(7.4)HDFS的java客户端API(流处理方式)

博主上一篇博客分享了namenode和datanode的工作原理,本章节将继前面的HDFS的java客户端简单API后深度讲述HDFS流处理API。 场景:博主前面的文章介绍过HDFS上存的大文件会成不同的块存储在不...

em_aaron
昨天
4
0
聊聊storm的window trigger

序 本文主要研究一下storm的window trigger WindowTridentProcessor.prepare storm-core-1.2.2-sources.jar!/org/apache/storm/trident/windowing/WindowTridentProcessor.java public v......

go4it
昨天
7
0
CentOS 生产环境配置

初始配置 对于一般配置来说,不需要安装 epel-release 仓库,本文主要在于希望跟随 RHEL 的配置流程,紧跟红帽公司对于服务器的配置说明。 # yum update 安装 centos-release-scl # yum ins...

clin003
昨天
11
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部