ELK部署安装以及配置
一、什么是ELK
ELK是Elasticsearch + Logstash + Kibana 这种架构的简写。这是一种日志分平台析的架构。从前我们用shell三剑客(grep, sed, awk)来分析日志, 虽然也能对付大多数场景,但当日志量大,分析频繁,并且使用者可能不会shell三剑客的情况下, 配置方便,使用简单,并且分析结果更加直观的工具(平台)就诞生了,它就是ELK。 ELK是开源的,并且社区活跃,用户众多。当然国内也有一些收费的,比较好用的日志分析平台,比如日志易(日志易的同事赶紧给我打钱,毕竟这广告打的好)。
二、ELK常见的几种架构
1 Elasticsearch + Logstash + Kibana
这是一种最简单的架构。这种架构,通过logstash收集日志,Elasticsearch分析日志,然后在Kibana(web界面)中展示。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。
2 Elasticsearch + Logstash + filebeat + Kibana
与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,用来部署在客户端,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,但是这种架构有一个缺点,当logstash出现故障, 会造成日志的丢失。
3 Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如kafka) + Kibana
这种架构是上面那个架构的完善版,通过增加中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志。目前我司使用的就是这种架构,我个人也比较推荐这种方式。
架构图:
ELK架构图
说明: logstash节点和elasticsearch节点可以根据日志量伸缩数量, filebeat部署在每台需要收集日志的服务器上。
三、安装部署
1. redis安装部署
这个不做介绍,但是因为redis在这里充当中间件,所以最好先安装redis,并且启动
2. filebeat安装部署
filebeat是一款轻量级的数据采集器,需要部署在每台需要收集日志的机器上。安装和配置过程很方便,如果机器很多,可以配合使用批量部署工具进行安装。
1) 安装
linux 平台使用 rpm安装
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.2.2-x86_64.rpmsudo rpm -vi filebeat-5.2.2-x86_64.rpm
上面安装的是5.2.2版本。这个版本要和后面的其他组件版本保持一致,否则可能会出现兼容性问题。其他平台的安装方法,可以在官方文档中找到 filebeat安装
2) 配置
配置文件是yml格式的,对格式有严格的要求,因为简书排版的问题,我就直接贴图片了。
典型filebeat.yml配置
1) 日志输入:
filebeat.prospectors模块用来指定日志文件的来源。在这个配置文件中, 总共接收三个日志文件,分别是
/data/logs/php/errors.log /data/logs/nginx/www_error.log /data/logs/php/www.slow.log
input_type 指定日志类型,在这里是log, 应该也可以是json。
paths指定日志文件路径。
document_type:这个字段是用来给日志打标记的。
fields: 也是打标记,主要为了后面日志分析查找的方便,存储的时候也会根据fields分类存储,相同fields的数据存在同一个redis key中
fields_under_root: 如果该选项设置为true, 则该fields会存储在top-level中。
tail_files: 这个选项如果设置为true,则读取日志文件的新内容,而忽略原有的内容,一般要设置为true
2)日志输出
output.redis:指定输出到redis
hosts:指定redis主机,可以指定多台。
password:redis密码,redis默认没有密码,在这里设为空就行
fields_under_root: 和前面对应,top-level的存储key
tail_files: 和前面对应
keys:指定存入redis中的key, 在这个配置文件中,不同的日志文件被存到不同的key。
db: 指定存在redis中的db编号(redis默认安装有16个databases,0~15, 默认是存储在db0中的)
3) 启动
配置完成后,就可以启动filebeat了,但是如果日志量很大的话,千万要注意redis可能会被撑爆,因为现在还未配置Logstash,即现在只有filebeat往redis中写数据,有生产者,没有消费者,就会造成数据积压。所以如果日志量很大,先不要启动。
我们生产环境是用supervisor管理fielbeat的,配置好supervisisor之后,执行
supervisorctl start filebeat
启动filebeat 。如果你对supervisor不熟,又想用它的话,可以去了解下,这是一个不错的任务管理工具。supervisor的配置
[program:filebeat]
command=/data/app/filebeat/filebeat -e -c filebeat.yml
directory=/data/app/filebeat
logfile=/data/app/filebeat/run.log
autorestart=true
3 logstash 安装配置
1) 环境准备
安装logstash需要依赖于java环境,具体需要安装哪个版本的jdk,请参考官方文档。 我这边logstash版本是5.2. 查看官方文档,需要的是jdk1.8.0
jdk环境
如何安装jdk,不在这里介绍,网上一大堆教程。
2) 安装
先下载指定版本
wget https://artifacts.elastic.co/downloads/logstash/logstash-5.2.2.tar.gz
解压到指定目录
tar xf logstash-5.2.0.tar.gz -C /data/app/
值得一提的是,这种安装方式无需编译,解压后就可以使用。你也可以使用yum安装。
解压后查看一下目录结构
logstash目录结构
其中config一般用来存放日志文件, bin用来存放logstash启动文件或者二进制文件。
logstash启动方式
bin/log -f config/你的配置文件
-f用来指定配置文件。ok, 那接下来我们来写一个配置文件。
logstash典型配置
logstash配置文件最基本的需要指定日志的输入和日志的输出。可以把logstash理解成一个处理日志的中间件,所以需要input和output
在这个配置文件里:
input是redis, 需要指定redis的host 和port以及db,还要指明数据的类型,list表示这是一个redis的list对象。key指明redis中的key名称。
output 是elasticsearch, hosts指明elasticsearch的ip和端口,index指明这个日志存在elasticsearch中的索引名称。
这是最简单的配置,这样配置即可启动logstash,但如果你想针对日志做一些预处理,或者一些信息的过滤,可以使用logstash提供的模块,具体参见官方文档。
这里介绍下filter模块
带filter的logstash配置文件
input和output和上面一样,不做介绍。 filter模块中有个grok,可以用来匹配日志。根据你日志的格式来编写match规则。怎么书写规则,可以参考官方文档,这里大概讲下。 使用%{} 这种形式匹配一个变量,DATA匹配任何字符, 比如上面的 %{DATA:timestamp} 表示这个日志第一域是时间, 大括号后面有个空格,空格前面表示第一域) 将时间赋值给timestamp变量(名称可以自定义), 后面同理, 第二域是代表告警级别(赋值给level), 第三域是告警信息(赋值给msg), 第四域是客户ip地址(赋值给client_ip)...
这个匹配规则刚开始写起来可能有些费劲,需要调试。我当时调试也花了不少时间。
ok,现在我们有了配置文件,即可启动logstash。
./bin/logstash -f ./config/conf.d/error.log.nginx
建议使用supervisor管理进程。
supervisor中的logstash配置
如果启动有报错,根据报错一步步解决问题。
4 elasticsearch安装
1)依赖
和logstash一样,elasticsearch 同样需要依赖jdk,因为前面已经安装jdk环境,所以这一步可以跳过。
2)下载安装包并解压
curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.2.2.tar.gz
tar -xvf elasticsearch-5.2.2.tar.gz -C /data/app/
和logstash一样,不需要编译,解压后既可以使用。但需要配置文件
3)配置
elasticsearch典型配置文件
配置文件说明:
cluster.name: 指定elasticsearch 集群的名称,集群内的所有elasticsearch需要配置相同的cluster.name
node.name: 当前节点名称,需要集群内唯一。
path.data: 数据存放位置
path.logs: elasticsearch的日志存放位置
http.port: 端口
discovery.zen.ping.unicast.hosts: elasticsearch节点。
下面两个应该是elasticsearch处理相关的配置,可以参考官方文档。
关于elasticsearch节点,这里说明下,最好配置成单数,且数量要大于等于3. 因为集群需要选举主从。
4)启动
配置完之后,启动elasticsearch。 注意,如果你使用root用户启动elasticsearch,就会报错,启动失败,这是因为elasticsearch不允许用root用户启动。可以创建一个用户,用来启动elasticsearch
groupadd elasticsearch
useradd -g elasticsearch elasticsearch
上面命令用来创建elasticsearch组和用户。创建完之后,因为默认对刚才的elasticsearch安装目录没有相关权限,还需要权限赋值(更改目录所属组和用户)。
chown -R elasticsearch:elasticsearch /data/app/elasticsearch/
ok,现在可以启动了。
/data/app/elasticsearch/bin/elasticsearch -d
-d 表示后台运行。
还是一样,如果有报错,就解决报错。
5 kibana安装配置
1) 下载安装包并解压
和上面的logstash以及elasticsearch一样,无需编译,下载并解压即可使用。
wget https://artifacts.elastic.co/downloads/kibana/kibana-5.2.2-linux-x86_64.tar.gz
tar -xzf kibana-5.2.2-linux-x86_64.tar.gz -C /data/app/
2) 配置
解压后,进入到kibana目录,修改配置文件
kibana典型配置
server.host:指明服务运行的地址
elasticsearch.uri: 指明elasticsearch运行的地址和端口
kibana.index: 指明kibana使用的索引,这个是自定义的。
tilemap.uri:指明了使用地图api, 在这里使用了高德地图的api
配置完成。
3) 启动
/data/app/kibana/bin/kibana
如果正常启动,则可以通过默认的5601端口访问kibana 的web界面。
6 nginx
上一步,当kibana安装启动之后,并且可以正常访问,ELK的架构算是完成了。但是,如果是生产环境,我的建议是用nginx代理kibana web。 nginx安装配置很简单,网上一大堆,请自行安装配置。
至此,我们完成了filebeat + redis + logstash + elasticsearch + kibana + nginx 的这种架构。通过访问网页, 即可查询相关日志。
至于kibana怎么使用,如何创建索引,这个该教程就不作介绍了,可以参考网上的一些资料,或者如果你英文水平过关,直接看官方文档吧。
kibana截图
