ELK+kafka+filebeat企業(yè)內(nèi)部日志分析系統(tǒng)
1仰禽、組件介紹
1氮墨、Elasticsearch:
是一個(gè)基于Lucene的搜索服務(wù)器纺蛆。提供搜集吐葵、分析规揪、存儲(chǔ)數(shù)據(jù)三大功能。它提供了一個(gè)分布式多用戶能力的全文搜索引擎温峭,基于RESTful web接口猛铅。Elasticsearch是用Java開發(fā)的,并作為Apache許可條款下的開放源碼發(fā)布凤藏,是當(dāng)前流行的企業(yè)級(jí)搜索引擎奸忽。設(shè)計(jì)用于云計(jì)算中,能夠達(dá)到實(shí)時(shí)搜索揖庄,穩(wěn)定栗菜,可靠,快速蹄梢,安裝使用方便疙筹。
2、Logstash:
主要是用來日志的搜集禁炒、分析而咆、過濾日志的工具。用于管理日志和事件的工具幕袱,你可以用它去收集日志暴备、轉(zhuǎn)換日志、解析日志并將他們作為數(shù)據(jù)提供給其它模塊調(diào)用们豌,例如搜索涯捻、存儲(chǔ)等。
3望迎、Kibana:
是一個(gè)優(yōu)秀的前端日志展示框架障癌,它可以非常詳細(xì)的將日志轉(zhuǎn)化為各種圖表,為用戶提供強(qiáng)大的數(shù)據(jù)可視化支持,它能夠搜索擂煞、展示存儲(chǔ)在 Elasticsearch 中索引數(shù)據(jù)混弥。使用它可以很方便的用圖表、表格对省、地圖展示和分析數(shù)據(jù)蝗拿。
4、Kafka:
? 數(shù)據(jù)緩沖隊(duì)列蒿涎。作為消息隊(duì)列解耦了處理過程哀托,同時(shí)提高了可擴(kuò)展性。具有峰值處理能力劳秋,使用消息隊(duì)列能夠使關(guān)鍵組件頂住突發(fā)的訪問壓力仓手,而不會(huì)因?yàn)橥话l(fā)的超負(fù)荷的請求而完全崩潰胖齐。
- 1.發(fā)布和訂閱記錄流,類似于消息隊(duì)列或企業(yè)消息傳遞系統(tǒng)嗽冒。
- 2.以容錯(cuò)持久的方式存儲(chǔ)記錄流呀伙。
- 3.處理記錄發(fā)生的流。
5添坊、Filebeat:
? 隸屬于Beats,輕量級(jí)數(shù)據(jù)收集引擎剿另。基于原先 Logstash-fowarder 的源碼改造出來贬蛙。換句話說:Filebeat就是新版的 Logstash-fowarder雨女,也會(huì)是 ELK Stack 在 Agent 的第一選擇,目前Beats包含四種工具:
- 1.Packetbeat(搜集網(wǎng)絡(luò)流量數(shù)據(jù))
- 2.Metricbeat(搜集系統(tǒng)、進(jìn)程和文件系統(tǒng)級(jí)別的 CPU 和內(nèi)存使用情況等數(shù)據(jù)阳准。通過從操作系統(tǒng)和服務(wù)收集指標(biāo)氛堕,幫助您監(jiān)控服務(wù)器及其托管的服務(wù)。)
- 3.Filebeat(搜集文件數(shù)據(jù))
- 4.Winlogbeat(搜集 Windows 事件日志數(shù)據(jù))
2野蝇、環(huán)境介紹
| 安裝軟件 | 主機(jī)名 | IP地址 | 系統(tǒng)版本 |
|---|---|---|---|
| Elasticsearch/zookeeper/kafka/Logstash/kibana | mes-1-zk-kfk | 192.168.205.155 | centos7.5.1804 |
| Elasticsearch/zookeeper/kafka | es-2-zk-kfk | 192.168.205.156 | centos7.5.1804 |
| Elasticsearch/zookeeper/kafka | es-3-zk-kfk | 192.168.205.157 | centos7.5.1804 |
| Filebeat | kba-f | 192.168.205.158 | centos7.5.1804 |
3讼稚、版本說明
Elasticsearch: 6.5.4
Logstash: 6.5.4
Kibana: 6.5.4
Kafka: 2.11-1
Filebeat: 6.5.4
相應(yīng)的版本最好下載對應(yīng)的插件
4、搭建架構(gòu)
相關(guān)地址:
官網(wǎng)地址:https://www.elastic.co
官網(wǎng)搭建:https://www.elastic.co/guide/index.html
5浪耘、實(shí)施部署
1乱灵、 Elasticsearch集群部署
系統(tǒng)類型:Centos7.5
節(jié)點(diǎn)IP:172.16.244.25、172.16.244.26七冲、172.16.244.27
軟件版本:jdk-8u121-linux-x64.tar.gz痛倚、elasticsearch-6.5.4.tar.gz
示例節(jié)點(diǎn):172.16.244.25 ABC
1、安裝配置jdk8
ES運(yùn)行依賴jdk8
tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
echo '
JAVA_HOME=/usr/local/jdk1.8.0_121
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
source /etc/profile
2澜躺、安裝配置ES
(1)創(chuàng)建運(yùn)行ES的普通用戶
useradd elsearch (useradd ela)
echo "1" | passwd --stdin "elsearch"
(2)安裝配置ES
tar zxvf /usr/local/package/elasticsearch-6.5.4.tar.gz -C /usr/local/
echo '
cluster.name: bjbpe01-elk
node.name: elk01
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: true
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
#discovery.zen.ping.unicast.hosts: ["172.16.244.26", "172.16.244.27"]
#discovery.zen.minimum_master_nodes: 2
#discovery.zen.ping_timeout: 150s
#discovery.zen.fd.ping_retries: 10
#client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: "*"
' >>/usr/local/elasticsearch-6.5.4/config/elasticsearch.yml
配置項(xiàng)含義:
cluster.name 集群名稱蝉稳,各節(jié)點(diǎn)配成相同的集群名稱。
node.name 節(jié)點(diǎn)名稱掘鄙,各節(jié)點(diǎn)配置不同耘戚。
node.master 指示某個(gè)節(jié)點(diǎn)是否符合成為主節(jié)點(diǎn)的條件。
node.data 指示節(jié)點(diǎn)是否為數(shù)據(jù)節(jié)點(diǎn)操漠。數(shù)據(jù)節(jié)點(diǎn)包含并管理索引的一部分收津。
path.data 數(shù)據(jù)存儲(chǔ)目錄。
path.logs 日志存儲(chǔ)目錄浊伙。
bootstrap.memory_lock 內(nèi)存鎖定撞秋,是否禁用交換。
bootstrap.system_call_filter 系統(tǒng)調(diào)用過濾器嚣鄙。
network.host 綁定節(jié)點(diǎn)IP吻贿。
http.port rest api端口。
discovery.zen.ping.unicast.hosts 提供其他 Elasticsearch 服務(wù)節(jié)點(diǎn)的單點(diǎn)廣播發(fā)現(xiàn)功能哑子。
discovery.zen.minimum_master_nodes 集群中可工作的具有Master節(jié)點(diǎn)資格的最小數(shù)量舅列,官方的推薦值是(N/2)+1肌割,其中N是具有master資格的節(jié)點(diǎn)的數(shù)量。
discovery.zen.ping_timeout 節(jié)點(diǎn)在發(fā)現(xiàn)過程中的等待時(shí)間帐要。
discovery.zen.fd.ping_retries 節(jié)點(diǎn)發(fā)現(xiàn)重試次數(shù)把敞。
http.cors.enabled 是否允許跨源 REST 請求,用于允許head插件訪問ES宠叼。
http.cors.allow-origin 允許的源地址先巴。
(3)設(shè)置JVM堆大小
sed -i 's/-Xms1g/-Xms4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options
sed -i 's/-Xmx1g/-Xmx4g/' /usr/local/elasticsearch-6.5.4/config/jvm.options
注意:
確保堆內(nèi)存最小值(Xms)與最大值(Xmx)的大小相同其爵,防止程序在運(yùn)行時(shí)改變堆內(nèi)存大小冒冬。
如果系統(tǒng)內(nèi)存足夠大,將堆內(nèi)存最大和最小值設(shè)置為31G摩渺,因?yàn)橛幸粋€(gè)32G性能瓶頸問題简烤。
堆內(nèi)存大小不要超過系統(tǒng)內(nèi)存的50%
(4)創(chuàng)建ES數(shù)據(jù)及日志存儲(chǔ)目錄
mkdir -p /data/elasticsearch/data (/data/elasticsearch)
mkdir -p /data/elasticsearch/logs (/log/elasticsearch)
(5)修改安裝目錄及存儲(chǔ)目錄權(quán)限
chown -R elsearch:elsearch /data/elasticsearch
chown -R elsearch:elsearch /usr/local/elasticsearch-6.5.4
3、系統(tǒng)優(yōu)化
(1)增加最大文件打開數(shù)
永久生效方法:
echo”* - nofile 65536” >> /etc/security/limits.conf
(2)增加最大進(jìn)程數(shù)
echo “* soft nproc 31717” >> /etc/security/limits.conf
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096
更多的參數(shù)調(diào)整可以直接用這個(gè)
(3)增加最大內(nèi)存映射數(shù)
echo “vm.max_map_count=262144” >> /etc/sysctl.conf
sysctl –p
啟動(dòng)如果報(bào)下列錯(cuò)誤
memory locking requested for elasticsearch process but memory is not locked
elasticsearch.yml文件
bootstrap.memory_lock : false
/etc/sysctl.conf文件
vm.swappiness=0
錯(cuò)誤:
max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
意思是elasticsearch用戶擁有的客串建文件描述的權(quán)限太低摇幻,知道需要65536個(gè)
解決:
切換到root用戶下面横侦,
vim /etc/security/limits.conf
在最后添加
* hard nofile 65536
* hard nofile 65536
重新啟動(dòng)elasticsearch,還是無效绰姻?
必須重新登錄啟動(dòng)elasticsearch的賬戶才可以枉侧,例如我的賬戶名是elasticsearch,退出重新登錄狂芋。
另外*也可以換為啟動(dòng)elasticsearch的賬戶也可以榨馁,* 代表所有,其實(shí)比較不合適
啟動(dòng)還會(huì)遇到另外一個(gè)問題帜矾,就是
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
意思是:elasticsearch用戶擁有的內(nèi)存權(quán)限太小了翼虫,至少需要262114。這個(gè)比較簡單屡萤,也不需要重啟珍剑,直接執(zhí)行
sysctl -w vm.max_map_count=262144
就可以了
4、啟動(dòng)ES
su - elsearch -c "cd /usr/local/elasticsearch-6.5.4 && nohup bin/elasticsearch &"
測試:瀏覽器訪問http://172.16.244.25:9200
5.安裝配置head監(jiān)控插件
(1)安裝node
wget https://npm.taobao.org/mirrors/node/latest-v4.x/node-v4.4.7-linux-x64.tar.gz
tar -zxf node-v4.4.7-linux-x64.tar.gz –C /usr/local
echo ‘
NODE_HOME=/usr/local/node-v4.4.7-linux-x64
PATH=$NODE_HOME/bin:$PATH
export NODE_HOME PATH
‘ >>/etc/profile
source /etc/profile
node --version #檢查node版本號(hào)
(2)下載head插件
wget https://github.com/mobz/elasticsearch-head/archive/master.zip
unzip –d /usr/local elasticsearch-head-master.zip
(3)安裝grunt
cd /usr/local/elasticsearch-head-master
npm install -g grunt-cli
grunt –-version #檢查grunt版本號(hào)
(4)修改head源碼
vi /usr/local/elasticsearch-head-master/Gruntfile.js (95左右)
添加hostname死陆,注意在上一行末尾添加逗號(hào),hostname 不需要添加逗號(hào)
vi /usr/local/elasticsearch-head-master/_site/app.js (4360左右)
原本是http://localhost:9200 招拙,如果head和ES不在同一個(gè)節(jié)點(diǎn),注意修改成ES的IP地址
(5)下載head必要的文件
wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
yum -y install bzip2
tar -jxf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /tmp/
(6)運(yùn)行head
cd /usr/local/elasticsearch-head-master/
npm install
nohup grunt server &
(7)測試
訪問http://172.16.244.25:9100
(8)Cerebro 監(jiān)控 ES(附加內(nèi)容)
Cerebro 這個(gè)名字大家可能覺得很陌生措译,其實(shí)過去它的名字叫 kopf 别凤!因?yàn)?Elasticsearch 5.0 不再支持 site plugin,所以 kopf 作者放棄了原項(xiàng)目瞳遍,另起爐灶搞了 cerebro闻妓,以獨(dú)立的單頁應(yīng)用形式,繼續(xù)支持新版本下 Elasticsearch 的管理工作掠械。
創(chuàng)建用戶
useradd -s /sbin/nologin cerebro
解壓安裝文件
mkdir /opt/cerebro
tar xf /tmp/cerebro-0.8.1.tgz -C /opt/cerebro
ln -s /opt/cerebro/cerebro-0.8.1 /opt/cerebro/current
chown -R cerebro. /opt/cerebro
更改配置
- auth.settings
訪問Cerebro的用戶名及密碼 - hosts
要監(jiān)控的Elasticsearch集群由缆,host:節(jié)點(diǎn)訪問地址注祖,name:標(biāo)識(shí),一般用ES的cluster_name
mkdir /home/cerebro/data;\
chown -R cerebro. /home/cerebro;\
tee /opt/cerebro/current/conf/application.conf << 'EOF'
secret="ki:s:[[@=Ag?QI`W2jMwkY:eqvrJ]JqoJyi2axj3ZvOv^/KavOT4ViJSv?6YY4[N"
basePath="/"
pidfile.path="/opt/cerebro/current/cerebro.pid"
data.path="/home/cerebro/data/cerebro.db"
es={
gzip=true
}
auth={
type: basic
settings: {
username="admin"
password="Admin_2018"
}
}
hosts=[
{
host="http://192.168.1.141:9200"
name="es_log"
}
]
EOF
創(chuàng)建服務(wù)
tee /etc/systemd/system/cerebro.service << 'EOF'
[Unit]
Description=Cerebro
After=network.target
[Service]
Type=folking
PIDFile=/opt/cerebro/current/cerebro.pid
User=cerebro
Group=cerebro
LimitNOFILE=65535
ExecStart=/opt/cerebro/current/bin/cerebro -Dconfig.file=/opt/cerebro/current/conf/application.conf
Restart=on-failure
WorkingDirectory=/opt/cerebro/current
[Install]
WantedBy=multi-user.target
EOF
啟動(dòng)
systemctl daemon-reload
systemctl enable cerebro
systemctl start cerebro
systemctl status cerebro
開啟防火墻
firewall-cmd --add-port=9000/tcp --permanent ;\
firewall-cmd --reload
訪問
默認(rèn)端口為9000均唉,若需要修改端口
- port
暴露的端口 - address
默認(rèn)為0.0.0.0是晨,設(shè)置為0.0.0.0表示對該主機(jī)所有網(wǎng)卡開放
tee -a /etc/systemd/system/cerebro.service << 'EOF'
http = {
port = "9000"
address = "192.168.1.144"
}
EOF
注意**
- Master 與 Data 節(jié)點(diǎn)分離,當(dāng) Data 節(jié)點(diǎn)大于 3 個(gè)的時(shí)候舔箭,建議責(zé)任分離罩缴,減輕壓力
- Data Node 內(nèi)存不超過 32G ,建議設(shè)置成 31 G 层扶,具體原因可以看上一篇文章
- discovery.zen.minimum_master_nodes 設(shè)置成 ( total / 2 + 1 )箫章,避免腦裂情況
- 最重要的一點(diǎn),不要將 ES 暴露在公網(wǎng)中镜会,建議都安裝 X-PACK 檬寂,來加強(qiáng)其安全性
2、 Kibana部署
系統(tǒng)類型:Centos7.5
節(jié)點(diǎn)IP:172.16.244.28 D
軟件版本:nginx-1.14.2戳表、kibana-6.5.4-linux-x86_64.tar.gz
1. 安裝配置Kibana
(1)安裝
tar zxf kibana-6.5.4-linux-x86_64.tar.gz -C /usr/local/
(2)配置
echo '
server.port: 5601
server.host: "172.16.244.28"
elasticsearch.url: "http://172.16.244.25:9200"
kibana.index: ".kibana"
'>>/usr/local/kibana-6.5.4-linux-x86_64/config/kibana.yml
配置項(xiàng)含義:
server.port kibana服務(wù)端口桶至,默認(rèn)5601
server.host kibana主機(jī)IP地址,默認(rèn)localhost
elasticsearch.url 用來做查詢的ES節(jié)點(diǎn)的URL匾旭,默認(rèn)http://localhost:9200
kibana.index kibana在Elasticsearch中使用索引來存儲(chǔ)保存的searches, visualizations和dashboards镣屹,默認(rèn).kibana
其他配置項(xiàng)可參考:
https://www.elastic.co/guide/en/kibana/6.5/settings.html
(3)啟動(dòng)
cd /usr/local/kibana-6.5.4-linux-x86_64/
nohup ./bin/kibana &
2. 安裝配置Nginx反向代理
(1)配置YUM源:
rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
(2)安裝:
yum install -y nginx httpd-tools
注意:httpd-tools用于生成nginx認(rèn)證訪問的用戶密碼文件
(3)配置反向代理
cat /etc/nginx/nginx.conf
user nginx;
worker_processes 4;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;
worker_rlimit_nofile 65535;
events {
worker_connections 65535;
use epoll;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
server_names_hash_bucket_size 128;
autoindex on;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 120;
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
#gzip模塊設(shè)置
gzip on; #開啟gzip壓縮輸出
gzip_min_length 1k; #最小壓縮文件大小
gzip_buffers 4 16k; #壓縮緩沖區(qū)
gzip_http_version 1.0; #壓縮版本(默認(rèn)1.1,前端如果是squid2.5請使用1.0)
gzip_comp_level 2; #壓縮等級(jí)
gzip_types text/plain application/x-javascript text/css application/xml; #壓縮類型价涝,默認(rèn)就已經(jīng)包含textml女蜈,所以下面就不用再寫了,寫上去也不會(huì)有問題飒泻,但是會(huì)有一個(gè)warn鞭光。
gzip_vary on;
#開啟限制IP連接數(shù)的時(shí)候需要使用
#limit_zone crawler $binary_remote_addr 10m;
#tips:
#upstream bakend{#定義負(fù)載均衡設(shè)備的Ip及設(shè)備狀態(tài)}{
# ip_hash;
# server 127.0.0.1:9090 down;
# server 127.0.0.1:8080 weight=2;
# server 127.0.0.1:6060;
# server 127.0.0.1:7070 backup;
#}
#在需要使用負(fù)載均衡的server中增加 proxy_pass http://bakend/;
server {
listen 80;
server_name 172.16.244.28;
#charset koi8-r;
# access_log /var/log/nginx/host.access.log main;
access_log off;
location / {
auth_basic "Kibana"; #可以是string或off,任意string表示開啟認(rèn)證泞遗,off表示關(guān)閉認(rèn)證惰许。
auth_basic_user_file /etc/nginx/passwd.db; #指定存儲(chǔ)用戶名和密碼的認(rèn)證文件。
proxy_pass http://172.16.244.28:5601;
proxy_set_header Host $host:5601;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
location /status {
stub_status on; #開啟網(wǎng)站監(jiān)控狀態(tài)
access_log /var/log/nginx/kibana_status.log; #監(jiān)控日志
auth_basic "NginxStatus"; }
location /head/{
auth_basic "head";
auth_basic_user_file /etc/nginx/passwd.db;
proxy_pass http://172.16.244.25:9100;
proxy_set_header Host $host:9100;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
}
# redirect server error pages to the static page /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
(4)配置授權(quán)用戶和密碼
htpasswd -cm /etc/nginx/passwd.db username
(5)啟動(dòng)nginx
systemctl start nginx
瀏覽器訪問http://172.16.244.28 剛開始沒有任何數(shù)據(jù)史辙,會(huì)提示你創(chuàng)建新的索引汹买。
3、 Kafka部署
系統(tǒng)類型:Centos7.5
節(jié)點(diǎn)IP:172.16.244.31聊倔、172.16.244.32晦毙、172.16.244.33 EFG
軟件版本:jdk-8u121-linux-x64.tar.gz、kafka_2.11-2.1.0.tgz
示例節(jié)點(diǎn):172.16.244.31
1.安裝配置jdk8
(1)Kafka耙蔑、Zookeeper(簡稱:ZK)運(yùn)行依賴jdk8
tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
echo '
JAVA_HOME=/usr/local/jdk1.8.0_121
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
source /etc/profile
2.安裝配置ZK
Kafka運(yùn)行依賴ZK见妒,Kafka官網(wǎng)提供的tar包中,已經(jīng)包含了ZK甸陌,這里不再額下載ZK程序须揣。
(1)安裝
tar zxvf /usr/local/package/kafka_2.11-2.1.0.tgz -C /usr/local/
(2)配置
sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/zookeeper.properties
echo '
dataDir=/opt/data/zookeeper/data
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181
tickTime=2000
initLimit=20
syncLimit=10
server.1=172.16.244.31:2888:3888 //kafka集群IP:Port
server.2=172.16.244.32:2888:3888
server.3=172.16.244.33:2888:3888
'>>/usr/local/kafka_2.11-2.1.0/config/zookeeper.properties
配置項(xiàng)含義:
dataDir ZK數(shù)據(jù)存放目錄盐股。
dataLogDir ZK日志存放目錄。
clientPort 客戶端連接ZK服務(wù)的端口耻卡。
tickTime ZK服務(wù)器之間或客戶端與服務(wù)器之間維持心跳的時(shí)間間隔疯汁。
initLimit 允許follower(相對于Leaderer言的“客戶端”)連接并同步到Leader的初始化連接時(shí)間,以tickTime為單位卵酪。當(dāng)初始化連接時(shí)間超過該值幌蚊,則表示連接失敗。
syncLimit Leader與Follower之間發(fā)送消息時(shí)溃卡,請求和應(yīng)答時(shí)間長度溢豆。如果follower在設(shè)置時(shí)間內(nèi)不能與leader通信,那么此follower將會(huì)被丟棄塑煎。
server.1=172.16.244.31:2888:3888 2888是follower與leader交換信息的端口沫换,3888是當(dāng)leader掛了時(shí)用來執(zhí)行選舉時(shí)服務(wù)器相互通信的端口。
#創(chuàng)建data最铁、log目錄
mkdir -p /opt/data/zookeeper/{data,logs}
#創(chuàng)建myid文件
echo 1 > /opt/data/zookeeper/data/myid
3.配置Kafka
(1)配置
sed -i 's/^[^#]/#&/' /usr/local/kafka_2.11-2.1.0/config/server.properties
echo '
broker.id=1
listeners=PLAINTEXT://172.16.244.31:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=172.16.244.31:2181,172.16.244.32:2181,172.16.244.33:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
' >>/usr/local/kafka_2.11-2.1.0/config/server.properties
配置項(xiàng)含義:
broker.id 每個(gè)server需要單獨(dú)配置broker id,如果不配置系統(tǒng)會(huì)自動(dòng)配置垮兑。
listeners 監(jiān)聽地址冷尉,格式PLAINTEXT://IP:端口。
num.network.threads 接收和發(fā)送網(wǎng)絡(luò)信息的線程數(shù)系枪。
num.io.threads 服務(wù)器用于處理請求的線程數(shù)雀哨,其中可能包括磁盤I/O。
socket.send.buffer.bytes 套接字服務(wù)器使用的發(fā)送緩沖區(qū)(SO_SNDBUF)
socket.receive.buffer.bytes 套接字服務(wù)器使用的接收緩沖區(qū)(SO_RCVBUF)
socket.request.max.bytes 套接字服務(wù)器將接受的請求的最大大小(防止OOM)
log.dirs 日志文件目錄私爷。
num.partitions partition數(shù)量雾棺。
num.recovery.threads.per.data.dir 在啟動(dòng)時(shí)恢復(fù)日志、關(guān)閉時(shí)刷盤日志每個(gè)數(shù)據(jù)目錄的線程的數(shù)量衬浑,默認(rèn)1捌浩。
offsets.topic.replication.factor 偏移量話題的復(fù)制因子(設(shè)置更高保證可用),為了保證有效的復(fù)制工秩,偏移話題的復(fù)制因子是可配置的尸饺,在偏移話題的第一次請求的時(shí)候可用的broker的數(shù)量至少為復(fù)制因子的大小,否則要么話題創(chuàng)建失敗助币,要么復(fù)制因子取可用broker的數(shù)量和配置復(fù)制因子的最小值浪听。
log.retention.hours 日志文件刪除之前保留的時(shí)間(單位小時(shí)),默認(rèn)168
log.segment.bytes 單個(gè)日志文件的大小眉菱,默認(rèn)1073741824
log.retention.check.interval.ms 檢查日志段以查看是否可以根據(jù)保留策略刪除它們的時(shí)間間隔迹栓。
zookeeper.connect ZK主機(jī)地址,如果zookeeper是集群則以逗號(hào)隔開俭缓。
zookeeper.connection.timeout.ms 連接到Zookeeper的超時(shí)時(shí)間克伊。
#創(chuàng)建log目錄
mkdir -p /opt/data/kafka/logs
4叉抡、其他節(jié)點(diǎn)配置
只需把配置好的安裝包直接分發(fā)到其他節(jié)點(diǎn),然后修改ZK的myid答毫,Kafka的broker.id和listeners就可以了褥民。
5、啟動(dòng)洗搂、驗(yàn)證ZK集群
(1)啟動(dòng)
在三個(gè)節(jié)點(diǎn)依次執(zhí)行:
cd /usr/local/kafka_2.11-2.1.0/
nohup bin/zookeeper-server-start.sh config/zookeeper.properties &
(2)驗(yàn)證
查看ZK配置
# echo conf | nc 127.0.0.1 2181
clientPort=2181
dataDir=/opt/data/zookeeper/data/version-2
dataLogDir=/opt/data/zookeeper/logs/version-2
tickTime=2000
maxClientCnxns=60
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=1
initLimit=20
syncLimit=10
electionAlg=3
electionPort=3888
quorumPort=2888
peerType=0
查看ZK狀態(tài)
# echo stat|nc 127.0.0.1 2181
Zookeeper version: 3.4.13-2d71af4dbe22557fda74f9a9b4309b15a7487f03, built on 06/29/2018 00:39 GMT
Clients:
/127.0.0.1:51876[0](queued=0,recved=1,sent=0)
Latency min/avg/max: 0/0/0
Received: 2
Sent: 1
Connections: 1
Outstanding: 0
Zxid: 0x0
Mode: follower
Node count: 4
查看端口
# lsof -i:2181
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
java 15002 root 98u IPv4 43385 0t0 TCP *:eforward (LISTEN)
6消返、啟動(dòng)、驗(yàn)證Kafka
(1)啟動(dòng)
在三個(gè)節(jié)點(diǎn)依次執(zhí)行:
cd /usr/local/kafka_2.11-2.1.0/
nohup bin/kafka-server-start.sh config/server.properties &
(2)驗(yàn)證
在172.16.244.31上創(chuàng)建topic
# bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic
Created topic "testtopic".
查詢172.16.244.31上的topic
# bin/kafka-topics.sh --zookeeper 172.16.244.31:2181 --list
testtopic
查詢172.16.244.32上的topic
# bin/kafka-topics.sh --zookeeper 172.16.244.32:2181 --list
testtopic
查詢172.16.244.33上的topic
# bin/kafka-topics.sh --zookeeper 172.16.244.33:2181 --list
testtopic
模擬消息生產(chǎn)和消費(fèi)
發(fā)送消息到172.16.244.31
# bin/kafka-console-producer.sh --broker-list 172.16.244.31:9092 --topic testtopic
>Hello World!
從172.16.244.32接受消息
# bin/kafka-console-consumer.sh --bootstrap-server 172.16.244.32:9092 --topic testtopic --from-beginning
Hello World!
7耘拇、監(jiān)控 Kafka Manager
Kafka-manager 是 Yahoo 公司開源的集群管理工具撵颊。
可以在 Github 上下載安裝:https://github.com/yahoo/kafka-manager
如果遇到 Kafka 消費(fèi)不及時(shí)的話,可以通過到具體 cluster 頁面上惫叛,增加 partition倡勇。Kafka 通過 partition 分區(qū)來提高并發(fā)消費(fèi)速度
4、 Logstash部署
系統(tǒng)類型:Centos7.5
節(jié)點(diǎn)IP:172.16.244.31 E
軟件版本:jdk-8u121-linux-x64.tar.gz嘉涌、logstash-6.5.4.tar.gz
1.安裝配置Logstash
Logstash運(yùn)行同樣依賴jdk妻熊,本次為節(jié)省資源,故將Logstash安裝在了kafka244.31節(jié)點(diǎn)仑最。
(1)安裝
tar zxf /usr/local/package/logstash-6.5.4.tar.gz -C /usr/local/
(2)配置
創(chuàng)建目錄扔役,我們將所有input、filter警医、output配置文件全部放到該目錄中亿胸。
mkdir –p /usr/local/logstash-6.5.4/etc/conf.d
vi /usr/local/logstash-6.5.4/etc/conf.d/input.conf
input {
kafka {
type => "audit_log"
codec => "json"
topics => "nginx"
decorate_events => true
bootstrap_servers => "172.16.244.31:9092, 172.16.244.32:9092, 172.16.244.33:9092"
}
}
vi /usr/local/logstash-6.5.4/etc/conf.d/output.conf
output {
if [type] == " audit_log " {
elasticsearch {
hosts => ["172.16.244.25","172.16.244.26","172.16.244.27"]
index => 'logstash-audit_log-%{+YYYY-MM-dd}'
}
}
}
(3)啟動(dòng)
cd /usr/local/logstash-6.5.4
nohup bin/logstash -f etc/conf.d/ --config.reload.automatic &
5、Filebeat 部署
為什么用 Filebeat 预皇,而不用原來的 Logstash 呢侈玄?
原因很簡單,資源消耗比較大吟温。
由于 Logstash 是跑在 JVM 上面序仙,資源消耗比較大,后來作者用 GO 寫了一個(gè)功能較少但是資源消耗也小的輕量級(jí)的 Agent 叫 Logstash-forwarder溯街。
后來作者加入 elastic.co 公司诱桂, Logstash-forwarder 的開發(fā)工作給公司內(nèi)部 GO 團(tuán)隊(duì)來搞,最后命名為 Filebeat呈昔。
Filebeat 需要部署在每臺(tái)應(yīng)用服務(wù)器上挥等,可以通過 Salt 來推送并安裝配置。
(1)下載
$ wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.4-darwin-x86_64.tar.gz
(2)解壓
tar -zxvf filebeat-6.5.4-darwin-x86_64.tar.gz
mv filebeat-6.5.4-darwin-x86_64 filebeat
cd filebeat
(3)修改配置
修改 Filebeat 配置堤尾,支持收集本地目錄日志肝劲,并輸出日志到 Kafka 集群中
$ vim fileat.yml
filebeat.prospectors:
- input_type: log
paths:
- /opt/logs/server/nginx.log
json.keys_under_root: true
json.add_error_key: true
json.message_key: log
output.kafka:
hosts: ["192.168.0.1:9092","192.168.0.2:9092","192.168.0.3:9092"]
topic: 'nginx'
Filebeat 6.0 之后一些配置參數(shù)變動(dòng)比較大辞槐,比如 document_type 就不支持掷漱,需要用 fields 來代替等等。
(4)啟動(dòng)
$ ./filebeat -e -c filebeat.yml
配置文件詳細(xì)解釋
https://blog.csdn.net/gamer_gyt/article/details/59077189
用于測試
bin/logstash -e 'input { stdin{} } output { elasticsearch { hosts => ["192.168.1.160:9200"]} }'
