接到上峰命令,產(chǎn)品要上ELK乐纸,遂就有了這篇文章
ELK介紹
網(wǎng)上copy的:
ELK是三個(gè)開(kāi)源軟件的縮寫(xiě),分別表示:Elasticsearch , Logstash, Kibana , 它們都是開(kāi)源軟件操灿。新增了一個(gè)FileBeat锯仪,它是一個(gè)輕量級(jí)的日志收集處理工具(Agent),F(xiàn)ilebeat占用資源少趾盐,適合于在各個(gè)服務(wù)器上搜集日志后傳輸給Logstash庶喜,官方也推薦此工具。
Elasticsearch是個(gè)開(kāi)源分布式搜索引擎救鲤,提供搜集久窟、分析、存儲(chǔ)數(shù)據(jù)三大功能本缠。它的特點(diǎn)有:分布式斥扛,零配置,自動(dòng)發(fā)現(xiàn)丹锹,索引自動(dòng)分片稀颁,索引副本機(jī)制,restful風(fēng)格接口楣黍,多數(shù)據(jù)源匾灶,自動(dòng)搜索負(fù)載等。
Logstash 主要是用來(lái)日志的搜集租漂、分析阶女、過(guò)濾日志的工具颊糜,支持大量的數(shù)據(jù)獲取方式。一般工作方式為c/s架構(gòu)秃踩,client端安裝在需要收集日志的主機(jī)上衬鱼,server端負(fù)責(zé)將收到的各節(jié)點(diǎn)日志進(jìn)行過(guò)濾、修改等操作在一并發(fā)往elasticsearch上去憔杨。
Kibana 也是一個(gè)開(kāi)源和免費(fèi)的工具鸟赫,Kibana可以為 Logstash 和 ElasticSearch 提供的日志分析友好Web 界面,可以幫助匯總芍秆、分析和搜索重要數(shù)據(jù)日志惯疙。
自己的理解:
ELK是什么東西,很好理解妖啥,就是收集(L:Logstash)霉颠,存儲(chǔ)(E:Elasticsearch),可視化日志(K:Kibana)的荆虱。在前幾年ELK為什么沒(méi)有怎么聽(tīng)說(shuō)蒿偎,那是因?yàn)樵诜?wù)器上tail -f就可以看日志,或者下載下來(lái)打開(kāi)直接看怀读。但是隨著軟件的不斷發(fā)展诉位,分布式,推薦系統(tǒng)菜枷,大數(shù)據(jù)等等苍糠,這些數(shù)據(jù)日積月累后的必然產(chǎn)物就誕生了。就拿分布式系統(tǒng)來(lái)說(shuō)啤誊,日志都分布在各個(gè)node上岳瞭,要查看一個(gè)bug,需要登錄到服務(wù)器上看好多node上的日志蚊锹,再比如調(diào)用連很長(zhǎng)的話(huà)瞳筏,在服務(wù)器上看日志,或者下載下來(lái)看日志牡昆,我只能說(shuō)有可能好幾天都找不出來(lái)問(wèn)題所在姚炕。還有登陸到服務(wù)器上,是一個(gè)很危險(xiǎn)的信號(hào)丢烘,萬(wàn)一rm -rf柱宦,就真的是從入門(mén)到刪庫(kù)跑路了。以上種種問(wèn)題怎么解決呢播瞳?這個(gè)時(shí)候就是ELK上場(chǎng)了捷沸。
單機(jī)版安裝
首先說(shuō)明一下ELK采用最簡(jiǎn)單的一套策略(不包含F(xiàn)ileBeat,FileBeat是一個(gè)好東西,但是這次不用):elasticsearch 5.6.4+kibana5.2.0+logstash5.6.3狐史,在安裝過(guò)程中痒给,問(wèn)題最多的就是ES,會(huì)遇到幾個(gè)問(wèn)題請(qǐng)參考:http://www.reibang.com/p/6d0d78be9e30【Elasticsearch安裝與應(yīng)用】
之前的版本是5.52,這次用的是當(dāng)前最穩(wěn)定的版本5.6.4
經(jīng)測(cè)試骏全,單機(jī)版ES可以存儲(chǔ)50G的日志苍柏,前提是8G內(nèi)存,ES之所以速度快姜贡,是犧牲了一定的內(nèi)存和cpu的试吁,如果必須要存儲(chǔ)50G以上的日志,就必須用集群楼咳,一般中小型公司單機(jī)版的完全可以滿(mǎn)足熄捍,ES一般保存近三個(gè)月的就可以了,3個(gè)月沒(méi)有發(fā)現(xiàn)的問(wèn)題母怜,之前的就更沒(méi)有意義了余耽。但是如果要做推薦,大數(shù)據(jù)分析苹熏,行為分析等等就需要將這些十分寶貴的日志保存下來(lái)了碟贾。
準(zhǔn)備工作
1,安裝包地址:https://pan.baidu.com/s/1z6lDEYfBwLVHSW3jZcTTIQ
2,安裝jdk1.8轨域,參考:http://www.reibang.com/p/689e8937613f
將下載的jdk上傳到服務(wù)器并解壓
tar -zxvf jdk-8u161-linux-x64.tar.gz -C app/
配置環(huán)境變量
sudo vi /etc/profile
在末尾加上
export JAVA_HOME=/home/songlj/app/jdk1.8.0_161
export PATH=$PATH:$JAVA_HOME/bin
生效:source /etc/profile
測(cè)試是否安裝成功java -version
安裝ES
1,解壓 tar -zxvf elasticsearch-5.6.4.tar.gz
2袱耽,修改配置文件,讓外網(wǎng)能訪(fǎng)問(wèn)
cd elasticsearch-5.6.4
cd config/
vi elasticsearch.yml
network.host: 0.0.0.0
3,啟動(dòng)ES,不要用root啟動(dòng)
進(jìn)入到bin目錄下執(zhí)行
./elasticsearch
4,會(huì)出現(xiàn)的錯(cuò)誤信息干发,及修改辦法:
for elasticsearch process is too low, increase to at least [65536]
修改辦法朱巨,末尾添加:
vi /etc/security/limits.conf
注意:請(qǐng)將songlj修改為你對(duì)應(yīng)的登陸的用戶(hù)名
songlj hard nofile 65536
songlj soft nofile 65536
[1024] for user [apps] is too low, increase to at least [2048]
修改辦法:vi /etc/security/limits.d/20-nproc.conf
將
* soft nproc 1024
#修改為
* soft nproc 2048
nt [65530] likely too low, increase to at least [262144]
修改辦法:vi /etc/sysctl.conf
添加下面配置:
vm.max_map_count=655360
修改完sysctl.conf 之后并執(zhí)行命令:
sysctl -p
5,再次啟動(dòng)
6,如果外網(wǎng)訪(fǎng)問(wèn)不了,關(guān)閉防火墻
systemctl stop firewalld.service
systemctl disable firewalld.service
安裝logstash
1枉长,解壓:tar -zxvf logstash-5.6.3.tar.gz
2冀续,創(chuàng)建logstash.conf配置文件
cd logstash-5.6.3
cd config/
vi logstash.conf
下為內(nèi)容
input {
file {
type => "log"
path => "/home/songlj/logs/*.log"
start_position => "beginning"
}
}
output {
stdout {
codec => rubydebug { }
}
elasticsearch {
hosts => "127.0.0.1"
index => "log-%{+YYYY.MM.dd}"
}
}
input ,filter搀暑,output三大塊沥阳, 其中input是吸取logs文件下的所有l(wèi)og后綴的日志文件,filter是一個(gè)過(guò)濾函數(shù)自点,這里不用配置桐罕,output配置了導(dǎo)入到
hosts為127.0.0.1:9200的elasticsearch中,每天一個(gè)索引桂敛,所以可以自己設(shè)置功炮,es速度快原因之一倒排索引
3,啟動(dòng)logstash
進(jìn)入到bin目錄下執(zhí)行
./logstash -f ../config/logstash.conf
4术唬,測(cè)試一下薪伏,因?yàn)閘ogstash監(jiān)聽(tīng)的是/home/songlj/logs這個(gè)目錄下的*.log文件,現(xiàn)在寫(xiě)一個(gè)文件進(jìn)去粗仓,看能不能收集到
進(jìn)入到
/home/songlj/logs
echo "zhelik可以嗎" >> log3.log
下面就是logstash打印出來(lái)的嫁怀,可見(jiàn)已經(jīng)收集到了设捐,
{
"@version" => "1",
"host" => "localhost.localdomain",
"path" => "/home/songlj/logs/log3.log",
"@timestamp" => 2018-07-18T11:12:31.724Z,
"message" => "zhelik可以嗎",
"type" => "log"
}
但是,發(fā)現(xiàn)
Last error: [LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError] Elasticsearch Unreachable: [http://127.0.0.1:9200/][Manticore::SocketException] 拒絕連接 (Connection refused) {:url=>http://127.0.0.1:9200/, :error_message=>"Elasticsearch Unreachable: [http://127.0.0.1:9200/][Manticore::SocketException] 拒絕連接 (Connection refused)", :error_class=>"LogStash::Outputs::ElasticSearch::HttpClient::Pool::HostUnreachableError"}
說(shuō)明logstash將數(shù)據(jù)插入到ES的時(shí)候報(bào)錯(cuò)了塘淑,因?yàn)槲业腅S掛了萝招,所以可見(jiàn)集群的重要性
安裝Kibana
1,解壓
2,修改配置文件
進(jìn)入到conf
vi kibana.yml
將
server.host: "localhost"
修改為
server.host: 0.0.0.0
3存捺,啟動(dòng)kibana
進(jìn)入到bin目錄下執(zhí)行
./kibana
4,瀏覽器 http://192.168.112.141:5601
修改為log*
kibana提供了過(guò)濾槐沼,搜索等等好多功能,下載就測(cè)試一下捌治,多制造點(diǎn)數(shù)據(jù)岗钩,會(huì)python的可以寫(xiě)個(gè)爬蟲(chóng),爬點(diǎn)數(shù)據(jù)肖油,我這里就echo幾條測(cè)試一下兼吓,
echo "今天天氣好晴朗,處處好風(fēng)光" >> log1.log
echo "今天天氣好晴朗构韵,處處好風(fēng)光111" >> log2.log
echo "今天天氣好晴朗周蹭,處處好風(fēng)光222" >> log3.log
比如:日志中有業(yè)務(wù)的關(guān)鍵字“111”
只需在輸入欄中輸入想要查找的關(guān)鍵字,搜索就可以了疲恢,測(cè)試或者線(xiàn)上發(fā)現(xiàn)問(wèn)題凶朗,告訴開(kāi)發(fā),開(kāi)發(fā)直接就打開(kāi)kibana,關(guān)鍵字搜索之后显拳,一切都顯得那么輕松了棚愤,這里還有一個(gè)就是打日志的規(guī)范,不能亂打日志杂数,也不能少打日志宛畦,打印日志心得:
1,log要區(qū)分war debug info error這四種情況揍移,不能都是info次和,否則上線(xiàn)之后,日志會(huì)爆炸那伐,
2踏施,出入口必須打印
入口:xxx系統(tǒng):method=,params=
出口:xxx系統(tǒng):method=,data={},time={},code={}
3罕邀,關(guān)鍵業(yè)務(wù)
uuid->xxx系統(tǒng):event=xxx畅形,result={},params={}诉探,msg=
扯遠(yuǎn)了日熬,回到正題
如圖,這里是可以按時(shí)間查找的肾胯,很方便
日志的詳細(xì)信息竖席,列的很清楚
學(xué)會(huì)看kibana日志詳細(xì)信息
這里多說(shuō)一下:host一定要區(qū)分開(kāi)耘纱,因?yàn)樵诜植际较到y(tǒng)中,一個(gè)微服務(wù)是要部署到多臺(tái)服務(wù)器上的怕敬,有了bug揣炕,就可以從host中知道是哪一臺(tái)服務(wù)器出現(xiàn)了問(wèn)題,修改host方式:我的centos7
hostnamectl set-hostname ELK02
其中“ELK02”就是主機(jī)名东跪。
截止到這里已經(jīng)完成上峰的任務(wù)了,但是停不下來(lái)了鹰溜,再來(lái)介紹一個(gè)非常好用的插件:elasticsearch-head-master
這個(gè)插件可以看ES集群中的各個(gè)節(jié)點(diǎn)的狀態(tài)虽填,分片信息,分片的leader等等曹动,能更好的理解ES的存儲(chǔ)方式
安裝elasticsearch-head-master
1,下載,解壓
wget https://github.com/mobz/elasticsearch-head/archive/master.zip
unzip master.zip
如果wget斋日,unzip不是內(nèi)部命令,yum就可以了
yum -y install unzip/wget
2墓陈,進(jìn)入cd elasticsearch-head-master恶守,接下來(lái)的操作必須在這個(gè)文件夾里面進(jìn)行,接下來(lái)的3贡必,4兔港,5,6步驟都在這個(gè)文件夾下進(jìn)行的仔拟,很重要衫樊,要不然會(huì)出現(xiàn)亂七八糟的問(wèn)題
3,安裝node.js
curl -sL https://rpm.nodesource.com/setup_8.x | bash -
yum install -y nodejs
運(yùn)行 node –v可以看到版本則安裝成功
4,安裝grunt-cli
npm install -g grunt-cli
npm install //如果這里卡住執(zhí)行npm config set registry http://registry.cnpmjs.org
5,修改gruntfile.js
vi Gruntfile.js
添加hostname: '*',原因和之前一樣讓外網(wǎng)能訪(fǎng)問(wèn)利花,因?yàn)槲矣玫氖翘摂M機(jī)
6科侈,啟動(dòng) elasticsearch-head-master
grunt server
7,訪(fǎng)問(wèn)一下:http://你自己的ip:9100/
點(diǎn)擊連接炒事,沒(méi)有反應(yīng)臀栈,看日志也沒(méi)有,看看前端有沒(méi)有錯(cuò)
很明顯挠乳,跨域了权薯,對(duì)了對(duì)了,9100到9200欲侮,跨域了崭闲,怎么修改呢,毋庸置疑威蕉,要修改9200的ES
8刁俭,關(guān)閉ES,修改配置文件vi elasticsearch.yml,添加如下信息韧涨,保存
http.cors.enabled: true
http.cors.allow-origin: "*"
9牍戚,重啟ES
在這個(gè)插件中可以對(duì)ES進(jìn)行CRUD很方便
