快速用ELK搭建日志收集平臺

elasitc.co

ELK是elastic.co發(fā)布的三個產(chǎn)品庄蹋，分別是elasticsearch, logstash, kibana限书，分別用來做搜索引擎章咧、日志收集和報表展現(xiàn)。這三個東西經(jīng)常被用到的業(yè)務(wù)場景就是日志收集展現(xiàn)调限。
本文將從實用角度出發(fā)耻矮，教你如何用ELK快速搭建一個日志收集平臺忆谓。

elasticsearch

運(yùn)行elasticsearch
./bin/elasticsearch -d

測試運(yùn)行狀態(tài)
```
curl localhost:9200
```

創(chuàng)建索引

elasticsearch里面的表叫做索引（index）倡缠，可以通過http請求的方式來創(chuàng)建索引，創(chuàng)建的方式是通過put請求琢唾，curl腳本如下：

curl -X PUT \
  http://localhost:9200/test1 \
  -H 'cache-control: no-cache' \
  -H 'postman-token: 438a164f-2ded-b73e-b2ab-e53dbd7f800c' \
  -d '{
    "settings" : {
        "index" : {
            "number_of_shards" : 3, 
            "number_of_replicas" : 2 
        }
    }
}'

常見問題
- 啟動失敗

ERROR: bootstrap checks failed
      max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

這個問題是操作系統(tǒng)的vm.max_map_count參數(shù)設(shè)置太小導(dǎo)致的采桃，解決方法：

      $ sudo sysctl -w vm.max_map_count=262144
      vm.max_map_count = 262144

logstash

運(yùn)行l(wèi)ogstash
```
./bin/logstash -e 'input { stdin {} } output {stdout{}}'
```
如果運(yùn)行正常丘损，則輸入hello的運(yùn)行結(jié)果如下：
```
hello
2017-06-21T10:12:40.471Z MacBook-Pro.local hello
```
一般我們都是將配置寫到配置文件，用-f參數(shù)來運(yùn)行衔蹲，如：
```
./bin/logstash -f test.config
```
其中test.config里面包含的內(nèi)容就是之前-e參數(shù)所指向的運(yùn)行參數(shù)舆驶。

搭建http接口和json格式化

logstash配置文件由三個部分組成，上面已經(jīng)提到了input和output兩個部分畴博，另外還有一個是filter蓝仲，分別代表輸入->過濾->輸出袱结，現(xiàn)在我們配置一個http輸入途凫、通過json格式化维费、輸出到elasticsearch的logstash配置，配置文件內(nèi)容如下：

dengzongrongdeMacBook-Pro:logstash-5.4.2 RoyDeng$ cat test.config
input {
          http {
                port => 31311
                type => "http"
                codec => "json"
          }
}

filter {
        json {
                source => "message"
        }
}

output {
          elasticsearch {
              hosts => "localhost"
              index => "test"
          }
}

通過post請求犀盟，可以看到elasticsearch里面增加了數(shù)據(jù)而晒，post請求如下：

curl -X POST \
  http://localhost:31311/ \
  -H 'cache-control: no-cache' \
  -H 'postman-token: 888428ef-ee19-1030-9de4-6c4b333e4bca' \
  -d '{"action":"test"}'

Kibana

配置運(yùn)行kibana

下載kibana

修改config/kibana.yml配置文件，修改elastic search url阅畴，如下：
```
# The URL of the Elasticsearch instance to use for all your queries.
elasticsearch.url: "http://localhost:9200"
```
然后運(yùn)行./bin/kibana啟動kibana
配置報表

kibana_config.png

上面顯示的Time-field表示日志的時間倡怎，這個參數(shù)是必須的，因為kibana展現(xiàn)的一個重要維度就是時間贱枣，你上傳的數(shù)據(jù)必須有一個字段代表時間监署。
當(dāng)然，如果你是用logstash上傳的數(shù)據(jù)纽哥，那么這個字段不需要你配置钠乏，logstash會自動幫你加上，但是logstash幫你加的時間是上傳的時間晓避。如果你不是希望用上傳時間作為時間維度的話，這個字段就需要你上傳的時候自己加上了摔笤。

然后在首頁就能看到剛剛上傳上去的數(shù)據(jù)了

kibana-dashboard.png

以上就是快速搭建日志平臺的方法够滑，后續(xù)會陸續(xù)補(bǔ)充ELK框架的一些高級用法，歡迎大家一起討論吕世。

最后編輯于：2017.12.08 05:46:22

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末彰触，一起剝皮案震驚了整個濱河市，隨后出現(xiàn)的幾起案子命辖，更是在濱河造成了極大的恐慌况毅，老刑警劉巖分蓖，帶你破解...
沈念sama閱讀 219,427評論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異尔许，居然都是意外死亡么鹤，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,551評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門味廊，熙熙樓的掌柜王于貴愁眉苦臉地迎上來蒸甜，“玉大人，你說我怎么就攤上這事余佛∧拢” “怎么了？”我有些...
開封第一講書人閱讀 165,747評論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵辉巡，是天一觀的道長恨憎。經(jīng)常有香客問我，道長郊楣，這世上最難降的妖魔是什么憔恳？我笑而不...
開封第一講書人閱讀 58,939評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮净蚤，結(jié)果婚禮上钥组，老公的妹妹穿的比我還像新娘。我一直安慰自己塞栅，他們只是感情好者铜，可當(dāng)我...
茶點故事閱讀 67,955評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著放椰，像睡著了一般作烟。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上砾医，一...
開封第一講書人閱讀 51,737評論 1贊 305
城市分裂傳說
那天拿撩，我揣著相機(jī)與錄音，去河邊找鬼如蚜。笑死压恒，一個胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的错邦。我是一名探鬼主播探赫，決...
沈念sama閱讀 40,448評論 3贊 420
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼撬呢！你這毒婦竟也來了伦吠？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 39,352評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎毛仪，沒想到半個月后搁嗓，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,834評論 1贊 317
?護(hù)林員之死
正文獨居荒郊野嶺守林人離奇死亡箱靴，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 37,992評論 3贊 338
?白月光啟示錄
正文我和宋清朗相戀三年腺逛，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片衡怀。...
茶點故事閱讀 40,133評論 1贊 351
活死人
序言：一個原本活蹦亂跳的男人離奇死亡棍矛，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出狈癞，到底是詐尸還是另有隱情茄靠，我是刑警寧澤，帶...
沈念sama閱讀 35,815評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布蝶桶，位于F島的核電站，受9級特大地震影響掉冶，放射性物質(zhì)發(fā)生泄漏真竖。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點故事閱讀 41,477評論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一厌小、第九天我趴在偏房一處隱蔽的房頂上張望恢共。院中可真熱鬧，春花似錦璧亚、人聲如沸讨韭。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,022評論 0贊 22
一樁弒父案癣蟋，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽透硝。三九已至，卻和暖如春疯搅，著一層夾襖步出監(jiān)牢的瞬間濒生，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,147評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工幔欧，沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留罪治，地道東北人。一個月前我還...
沈念sama閱讀 48,398評論 3贊 373
代替公主和親
正文我出身青樓礁蔗，卻偏偏與公主長得像觉义，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子浴井，可洞房花燭夜當(dāng)晚...
茶點故事閱讀 45,077評論 2贊 355

快速用ELK搭建日志收集平臺

elasticsearch

logstash

Kibana

推薦閱讀更多精彩內(nèi)容