ELK总结—第一篇elaticsearch的搭建
1、ES简介
ES=elaticsearch简写, Elasticsearch是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据。Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。
2、Lucene与ES关系
1.Lucene只是一个库。想要使用它,你必须使用Java来作为开发语言并将其直接集成到你的应用中,更糟糕的是,Lucene非常复杂,你需要深入了解检索的相关知识来理解它是如何工作的。
2.Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。
3、当前环境的困难
1.开发人员不能登录线上服务器查看详细日志。
2.各个系统都有日志,日志数据分散难以查找。
3.日志数据量大。查询速度慢,或者数据不够实时。
4、ES主要解决问题
1.检索相关数据;2.返回统计结果;3.速度要快。
5、ES工作原理
当ElasticSearch的节点启动后,它会利用多播(multicast)(或者单播,如果用户更改了配置)寻找集群中的其它节点,并与之建立连接。这个过程如下图所示:
6、ES核心概念
1.Cluster:集群。
ES可以作为一个独立的单个搜索服务器。不过,为了处理大型数据集,实现容错和高可用性,ES可以运行在许多互相合作的服务器上。这些服务器的集合称为集群。
2.Node:节点。
形成集群的每个服务器称为节点,所有节点都是对等的,数据存在每个节点中,防止数据丢失。
3.Shard:分片。
当有大量的文档时,由于内存的限制、磁盘处理能力不足、无法足够快的响应客户端的请求等,一个节点可能不够。这种情况下,数据可以分为较小的分片。每个分片放到不同的服务器上。当你查询的索引分布在多个分片上时,ES会把查询发送给每个相关的分片,并将结果组合在一起,而应用程序并不知道分片的存在。即:这个过程对用户来说是透明的。
4.Replia:副本。
为提高查询吞吐量或实现高可用性,可以使用分片副本。副本是一个分片的精确复制,每个分片可以有零个或多个副本。ES中可以有许多相同的分片,其中之一被选择更改索引操作,这种特殊的分片称为主分片。当主分片丢失时,如:该分片所在的数据不可用时,集群将副本提升为新的主分片。
5.全文检索。
全文检索就是对一篇文章进行索引,可以根据关键字搜索,类似于mysql里的like语句。全文索引就是把内容根据词的意义进行分词,然后分别创建索引,例如”你们的激情是因为什么事情来的” 可能会被分词成:“你们“,”激情“,“什么事情“,”来“ 等token,这样当你搜索“你们” 或者 “激情” 都会把这句搜出来。
7、ES特点和优势
1.分布式实时文件存储,可将每一个字段存入索引,使其可以被检索到。
2.实时分析的分布式搜索引擎。分布式:索引分拆成多个分片,每个分片可有零个或多个副本。集群中的每个数据节点都可承载一个或多个分片,并且协调和处理各种操作;负载再平衡和路由在大多数情况下自动完成。
3.可以扩展到上百台服务器,处理PB级别的结构化或非结构化数据。也可以运行在单台PC上(已测试)。
4.支持插件机制,分词插件、同步插件、Hadoop插件、可视化插件等。
8、Elasticsearch单机部署
8.1配置JAVA环境,检验环境:java -version
[root@elasticsearch-01 ~]# ls
jdk-8u91-linux-x64.tar.gz
[root@elasticsearch-01 ~]# tar xf jdk-8u91-linux-x64.tar.gz -C /usr/local/
[root@elasticsearch-01 ~]# ln -s /usr/local/jdk1.8.0_91/ /usr/local/java
[root@elasticsearch-01 ~]# sed -i '$a export JAVA_HOME=/usr/local/java \nexport PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH \nexport CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar' /etc/profile
[root@elasticsearch-01 ~]# source /etc/profile
[root@elasticsearch-01 ~]# java -version
java version"1.8.0_91"
Java(TM) SE Runtime Environment (build1.8.0_91-b14)
Java HotSpot(TM)64-BitServer VM (build25.91-b14, mixed mode)
8.2安装elasticsearch
[root@elasticsearch-01 ~]# cd /usr/local/src/
[root@elasticsearch-01 src]# wget https://download.elasticsearch.org/elasticsearch/release/org/elasticsearch/distribution/tar/elasticsearch/2.3.0/elasticsearch-2.3.0.tar.gz
[root@elasticsearch-01 src]# tar -zxvf elasticsearch-2.3.0.tar.gz -C /usr/local/
[root@elasticsearch-01 src]# cd /usr/local/
[root@elasticsearch-01 local]# ln -s elasticsearch-2.3.0 elasticsearch
8.3创建elasticsearch运行用户,es只能用普通用户启动
[root@elasticsearch-01 local]# groupadd elasticsearch
[root@elasticsearch-01 local]# useradd -g elasticsearch elasticsearch
[root@elasticsearch-01 local]# chown -R elasticsearch:elasticsearch /usr/local/elasticsearch
8.4创建文件目录
[root@elasticsearch-01 local]# su - elasticsearch
上一次登录:二11月2615:09:49 CST 2019pts/0 上
[elasticsearch@elasticsearch-01 ~]$ mkdir-pv/usr/local/elasticsearch/data
[elasticsearch@elasticsearch-01 ~]$ mkdir-pv/usr/local/elasticsearch/logs
8.5修改配置文件
[elasticsearch@elasticsearch-01 ~]$ cd/usr/local/elasticsearch/config/
[elasticsearch@elasticsearch-01 config]$ vimelasticsearch.yml
1cluster.name: ELK-elasticsearch
2node.name: node-1
3path.data: /usr/local/elasticsearch/data
4path.logs: /usr/local/elasticsearch/logs
5bootstrap.mlockall:true
6network.host:172.17.120.11
7http.port:9200
8node.master:true
9node.data:true
8.6查看health状况
[root@elasticsearch-02 ~]# curl -X GET http://172.17.120.11:9200 ##获取网页内容
{
"name":"node-1",
"cluster_name":"ELK-elasticsearch",
"version": {
"number":"2.3.0",
"build_hash":"8371be8d5fe5df7fb9c0516c474d77b9feddd888",
"build_timestamp":"2016-03-29T07:54:48Z",
"build_snapshot":false,
"lucene_version":"5.5.0"
},
"tagline":"You Know, for Search"
}
[root@elasticsearch-02 ~]# curl -I GET http://172.17.120.11:9200 ##获取网页头部信息,200正常
curl: (6) Could not resolve host: GET; 未知的名称或服务
HTTP/1.1200OK
Content-Type: text/plain;charset=UTF-8
Content-Length:0
8.7安装elasticsearch管理插件
[elasticsearch@elasticsearch-01 elasticsearch]$ /usr/local/elasticsearch/bin/plugin install mobz/elasticsearch-head
9、Elasticsearch集群搭建(三台机器)
1.修改elasticsearch主配置文件
[elasticsearch@elasticsearch-01 config]$ vimelasticsearch.yml
cluster.name: ELK-elasticsearch##集群的名称
node.name: node-1##节点名称,其余两个节点分别为node-2 和node-3
node.master:true##指定该节点是否有资格被选举成为master节点,默认是true,es是默认集群中的第一台机器为master,如果这台机挂了就会重新选举master
node.data:true##允许该节点存储数据(默认开启)
path.data: /usr/local/elasticsearch/data##索引数据的存储路径
path.logs: /usr/local/elasticsearch/logs##日志文件的存储路径
bootstrap.mlockall:true##设置为true来锁住内存。因为内存交换到磁盘对服务器性能来说是致命的,当jvm开始swapping时es的效率会降低,所以要保证它不swap
network.host:0.0.0.0##绑定的ip地址
http.port:9200##设置对外服务的http端口,默认为9200
transport.tcp.port:9300##设置节点间交互的tcp端口,默认是9300
discovery.zen.ping.unicast.hosts: ["172.17.120.11:9300","172.17.120.12:9300","172.17.120.13:9300"]##Elasticsearch将绑定到可用的环回地址,并将扫描端口9300到9305以尝试连接到运行在同一台服务器上的其他节点。这提供了自动集群体验,而无需进行任何配置。数组设置或逗号分隔的设置。每个值的形式应该是host:port或host(如果没有设置,port默认设置会transport.profiles.default.port 回落到transport.tcp.port)。请注意,IPv6主机必须放在括号内。默认为127.0.0.1, [::1]
discovery.zen.minimum_master_nodes:2##如果没有这种设置,遭受网络故障的集群就有可能将集群分成两个独立的集群 - 分裂的大脑 - 这将导致数据丢失
2.修改elasticsearch从slave1配置文件
[root@elasticsearch-02 ~]# cat /usr/local/elasticsearch/config/elasticsearch.yml
cluster.name: ELK-elasticsearch
node.name: node-2
node.master:true
node.data:true
path.data: /usr/local/elasticsearch/data
path.logs: /usr/local/elasticsearch/logs
bootstrap.mlockall:true
network.host:0.0.0.0
http.port:9200
transport.tcp.port:9300
discovery.zen.ping.unicast.hosts: ["172.17.120.11:9300","172.17.120.12:9300","172.17.120.13:9300"]
discovery.zen.minimum_master_nodes:2
3.修改elasticsearch从slave2配置文件
[root@elasticsearch-03 ~]# cat /usr/local/elasticsearch/config/elasticsearch.yml
cluster.name: ELK-elasticsearch
node.name: node-3
node.master:true
node.data:true
path.data: /usr/local/elasticsearch/data
path.logs: /usr/local/elasticsearch/logs
bootstrap.mlockall:true
network.host:0.0.0.0
http.port:9200
transport.tcp.port:9300
discovery.zen.ping.unicast.hosts: ["172.17.120.11:9300","172.17.120.12:9300","172.17.120.13:9300"]
discovery.zen.minimum_master_nodes:2
10、启动服务
[elasticsearch@elasticsearch-01 config]$ /usr/local/elasticsearch/bin/elasticsearch >/dev/null2>&1 &
[elasticsearch@elasticsearch-02 ~]$ /usr/local/elasticsearch/bin/elasticsearch >/dev/null2>&1 &
[elasticsearch@elasticsearch-03 ~]$ /usr/local/elasticsearch/bin/elasticsearch >/dev/null2>&1 &
11、国内外使用优秀案例
1.2013年初,GitHub抛弃了Solr,采取ElasticSearch 来做PB级的搜索。“GitHub使用ElasticSearch搜索20TB的数据,包括13亿文件和1300亿行代码”。
2.维基百科:启动以elasticsearch为基础的核心搜索架构。
3.SoundCloud:“SoundCloud使用ElasticSearch为1.8亿用户提供即时而精准的音乐搜索服务”。
4.百度:百度目前广泛使用ElasticSearch作为文本数据分析,采集百度所有服务器上的各类指标数据及用户自定义数据,通过对各种数据进行多维分析展示,辅助定位分析实例异常或业务层面异常。目前覆盖百度内部20多个业务线(包括casio、云分析、网盟、预测、文库、直达号、钱包、风控等),单集群最大100台机器,200个ES节点,每天导入30TB+数据。
12、为什么那么多工具适配Elasticsearch
1.Elasticsearch是开源的。
2.Elasticsearch提供了JAVA API接口。
3.Elasticsearch提供了RESTful API接口(不管程序用什么语言开发,任何程序都可以访问)。
4.更重要的是,REST请求和应答是典型的JSON(JavaScript对象 符号)格式。通常情况下,一个REST请求包含一个JSON文件,其回复都 也是一个JSON文件。
有需要技术交流的小伙伴可以加我微信,期待与大家共同成长,本人微信:
