Elastic Stack -- 日志管理

官網(wǎng):https://www.elastic.co/

日志大數(shù)據(jù)系統(tǒng)的組成
日志記錄工具:Log4j 2谤逼、Apache Commons Logging等
日志采集器:部署在每臺服務(wù)器上踢涌,采集數(shù)據(jù)到緩沖隊(duì)列米辐,例如 Elastic Beats、Elastic Logstash庸蔼、Fluentd、Apache Flume
日志緩沖隊(duì)列(可選):RocketMQ,Kafka蟆融,Redis等
日志解析器(可選):從緩沖隊(duì)列里讀取日志,轉(zhuǎn)成JSON守呜,存到日志存儲系統(tǒng)型酥。例如Elastic Logstash、Fluentd
日志存儲系統(tǒng):Elasticsearch查乒、MongoDB等NoSQL
日志檢索系統(tǒng):Elasticsearch弥喉、Apache Solr等
日志展示系統(tǒng):Elastic Kibana等

概念
Elastic Stack:elastic.co發(fā)布的一序列產(chǎn)品
ELK:Elasticsearch、Logstash玛迄、Kibana
ELK Stack:Elastic Stack的曾用名

Beats

功能:輕量級 采集由境、發(fā)送數(shù)據(jù)
產(chǎn)品序列:Filebeat(日志采取)蓖议、Metricbeat(操作系統(tǒng)和應(yīng)用軟件 指標(biāo)數(shù)據(jù)的采集)虏杰、Packetbeat(網(wǎng)絡(luò)數(shù)據(jù)采集)、Heartbeat(健康數(shù)據(jù)采集)

Filebeat

文檔:https://www.elastic.co/guide/en/beats/filebeat/current/index.html
配置參考:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-reference-yml.html

安裝
1勒虾、下載tar.gz 到 /usr纺阔,解壓tar -zxvf
2、運(yùn)行Filebeat:./filebeat -e -C filebeat.yml

模塊
prospector:勘探者修然,即input笛钝,監(jiān)控文件變化
harvester:收割者,即output愕宋,讀取文件玻靡,發(fā)送給目標(biāo)。發(fā)送的數(shù)據(jù)格式為json掏婶,字段包含采集時間啃奴、采集源、message雄妥,message即所采集的日志
filter:過濾器最蕾,在input和output時依溯,過濾掉部分行和filebeat自己加上的字段

配置
filebeat.yml

filebeat.inputs:                        # 是個數(shù)組
- type: log                                # 還可以是標(biāo)準(zhǔn)輸入stdin
   paths:                                    # 是個數(shù)組
   - /var/log/*.log
   exclude_lines: ['^DBG']         # 排除行
   include_lines: ['^ERR', '^WARN']  # 包含行
   exclude_files: ['.gz$']  # 排除文件

output.elasticsearch:                 # 輸出到elasticsearch,還可以輸出到console瘟则、file黎炉、Logstash、Kafka醋拧、Redis
  hosts: ["localhost:9200"]

processors:  # 輸出處理
- drop_event:  # 在某情況下丟棄本條日志
    when:
       equals:
           http.code: 200
- drop_fields:           # 丟棄字段
    fields: ["source", "type"]
- include_fields:   # 只取部分字段
    fields: ["message"]

filebeat.modules:  # 啟用通用模塊
- module: nginx
- module: mysql
- module: system
Packetbeat

文檔:https://www.elastic.co/guide/en/beats/packetbeat/current/index.html
配置參考:https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-reference-yml.html

安裝
1慷嗜、下載tar.gz 到 /usr,解壓tar -zxvf
2丹壕、運(yùn)行Packetbeat:./packetbeat -e -C packetbeat.yml

配置
packetbeat.yml

packetbeat.interfaces.device: any   # 網(wǎng)卡
packetbeat.protocols:      # 抓包目標(biāo)
- type: http
  ports: [80, 8080, 8000, 5000, 8002]

send_request: true  # 是否抓取請求體
include_body_for: ["application/json"]  # 抓取json請求的body

# output 和 processors 配置庆械,與Filebeat類似

Logstash

功能:采集、轉(zhuǎn)換菌赖、發(fā)送數(shù)據(jù)
文檔:https://www.elastic.co/guide/en/logstash/current/index.html
歷史:Jordan Sissel 于 2009年發(fā)布Logstash缭乘,2013年被Elasticsearch公司收購

安裝
1、下載tar.gz 到 /usr琉用,解壓tar -zxvf
2堕绩、運(yùn)行l(wèi)ogstash:bin/logstash -f config/logstash.sample.conf

模塊
input:輸入
filter:過濾與轉(zhuǎn)換
output:輸出

配置
config/logstash.sample.conf

input { 
    stdin { }    # 標(biāo)準(zhǔn)輸入
    file {         # 文件輸入
        path => "/tmp/access_log"
        start_position => "beginning"
    }
    tcp {     # 網(wǎng)絡(luò)輸入
      port => 5000
      type => syslog
    }
} 

filter {         
  if [path] =~ "access" {    # 過濾
      mutate { replace => { "type" => "apache_access" } }   # 設(shè)置字段的值
      grok {
        # 設(shè)置message的格式,COMBINEDAPACHELOG 會被展開成 多個%{pettern:key}
        match => { "message" => "%{COMBINEDAPACHELOG}" }
      }
  } 
  else if "error" in [request]  {
    mutate { replace => { type => "apache_error" } }
  }     
  if [type] == "syslog" {
    grok {
      # %{字段值的來源:字段名}
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program} %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]    # 添加字段
      add_field => [ "received_from", "%{host}" ]
    }
  }

  grok {                        # 結(jié)構(gòu)化
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {                        # 時間處理
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
  elasticsearch { hosts => ["localhost:9200"] }   # 輸出到elasticsearch
  stdout { codec => rubydebug }   # 標(biāo)準(zhǔn)輸出邑时,格式為rubydebug
}

grok模式的定義:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns

Elasticsearch

功能:存儲和檢索
詳見:http://www.reibang.com/p/09fdd85d3613

Kibana

功能:web界面展示
文檔:https://www.elastic.co/guide/cn/kibana/current/index.html

安裝:
1奴紧、下載tar.gz,放到/usr晶丘,解壓tar -zxvf
2黍氮、配置 config/kibana.yml

elasticsearch.url: "http://localhost:9200"  # ES的位置
server.host: 綁定的IP
server.port: 端口

3、運(yùn)行kibana:bin/kibana
4铣口、訪問 IP:5601

板塊
Dev Tools:編輯和發(fā)送請求
Discover:數(shù)據(jù)查看滤钱,數(shù)量統(tǒng)計(jì)
Dashboard:總覽
Visualize:配置圖表,顯示圖表
Management:設(shè)置 與 管理

Elastic Stack 實(shí)踐

1脑题、Packetbeat部署在業(yè)務(wù)集群
2件缸、Logstash、Elasticsearch 和 Kibana部署在日志監(jiān)控集群
3叔遂、Packetbeat 抓取業(yè)務(wù)包他炊,發(fā)給Logstash,處理后存到Elasticsearch

Packetbeat配置

packetbeat.protocols:      # 輸入
- type: http
  ports: [80, 8080, 8000, 5000, 8002]
output.logstash:              # 輸出
  hosts: ["localhost:5044"]

Logstash配置

input {                  # 輸入
    beats {  
      port => 5044  
    }    
} 
output {          # 輸出
  elasticsearch { hosts => ["localhost:9200"] }   # 輸出
}

阿里云

開放搜索:搜索引擎
日志服務(wù)
阿里云 · Elasticsearch

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末已艰,一起剝皮案震驚了整個濱河市痊末,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌哩掺,老刑警劉巖凿叠,帶你破解...
    沈念sama閱讀 217,406評論 6 503
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡盒件,警方通過查閱死者的電腦和手機(jī)蹬碧,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,732評論 3 393
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來炒刁,“玉大人恩沽,你說我怎么就攤上這事∠枋迹” “怎么了罗心?”我有些...
    開封第一講書人閱讀 163,711評論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長城瞎。 經(jīng)常有香客問我渤闷,道長,這世上最難降的妖魔是什么全谤? 我笑而不...
    開封第一講書人閱讀 58,380評論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任肤晓,我火速辦了婚禮,結(jié)果婚禮上认然,老公的妹妹穿的比我還像新娘。我一直安慰自己漫萄,他們只是感情好卷员,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,432評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著腾务,像睡著了一般毕骡。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上岩瘦,一...
    開封第一講書人閱讀 51,301評論 1 301
  • 城市分裂傳說
    那天未巫,我揣著相機(jī)與錄音,去河邊找鬼启昧。 笑死叙凡,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的密末。 我是一名探鬼主播握爷,決...
    沈念sama閱讀 40,145評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼严里!你這毒婦竟也來了新啼?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,008評論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤刹碾,失蹤者是張志新(化名)和其女友劉穎燥撞,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,443評論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡物舒,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,649評論 3 334
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年辆布,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片茶鉴。...
    茶點(diǎn)故事閱讀 39,795評論 1 347
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡锋玲,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出涵叮,到底是詐尸還是另有隱情惭蹂,我是刑警寧澤,帶...
    沈念sama閱讀 35,501評論 5 345
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布割粮,位于F島的核電站盾碗,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏舀瓢。R本人自食惡果不足惜廷雅,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,119評論 3 328
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望京髓。 院中可真熱鬧航缀,春花似錦、人聲如沸堰怨。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,731評論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽备图。三九已至灿巧,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間揽涮,已是汗流浹背抠藕。 一陣腳步聲響...
    開封第一講書人閱讀 32,865評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蒋困,地道東北人盾似。 一個月前我還...
    沈念sama閱讀 47,899評論 2 370
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像家破,于是被迫代替她去往敵國和親颜说。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,724評論 2 354

推薦閱讀更多精彩內(nèi)容