一嚷节、elk 實(shí)用知識(shí)點(diǎn)總結(jié)
1、編碼轉(zhuǎn)換問(wèn)題(主要就是中文亂碼)
(1)input 中的codec => plain 轉(zhuǎn)碼
codec => plain {
? ? ? ? charset =>"GB2312"}
將GB2312 的文本編碼,轉(zhuǎn)為UTF-8 的編碼
(2)也可以在filebeat中實(shí)現(xiàn)編碼的轉(zhuǎn)換(推薦)
filebeat.prospectors:
- input_type: log
? paths:
? ? - c:\Users\Administrator\Desktop\performanceTrace.txt
? encoding: GB2312
if([message] =~"^20.*-\ task\ request,.*,start\ time.*") {#用正則需刪除的多余行? ? ? ? ? ? drop {}
? ? }
2018-03-2010:44:01,523[33]DEBUG Debug - task request,task Id:1cbb72f1-a5ea-4e73-957c-6d20e9e12a7a,start time:2018-03-2010:43:59? #需刪除的行-- Request String : {"UserName":"15046699923","Pwd":"ZYjyh727","DeviceType":2,"DeviceId":"PC-20170525SADY","EquipmentNo":null,"SSID":"pc","RegisterPhones":null,"AppKey":"ab09d78e3b2c40b789ddfc81674bc24deac","Version":"2.0.5.3"} -- End-- Response String : {"ErrorCode":0,"Success":true,"ErrorMsg":null,"Result":null,"WaitInterval":30} -- End
2018-03-2010:44:01,523[33]DEBUG Debug - task request,task Id:1cbb72f1-a5ea-4e73-957c-6d20e9e12a7a,start time:2018-03-2010:43:59-- Request String : {"UserName":"15046699923","Pwd":"ZYjyh727","DeviceType":2,"DeviceId":"PC-20170525SADY","EquipmentNo":null,"SSID":"pc","RegisterPhones":null,"AppKey":"ab09d78e3b2c40b789ddfc81674bc24deac","Version":"2.0.5.3"} -- End-- Response String : {"ErrorCode":0,"Success":true,"ErrorMsg":null,"Result":null,"WaitInterval":30} -- End
(2)在logstash filter中g(shù)rok 分別處理3行
match => {
? ? "message"=>"^20.*-\ task\ request,.*,start\ time\:%{TIMESTAMP_ISO8601:RequestTime}"match => {
? ? "message"=>"^--\ Request\ String\ :\ \{\"UserName\":\"%{NUMBER:UserName:int}\",\"Pwd\":\"(?.*)\",\"DeviceType\":%{NUMBER:DeviceType:int},\"DeviceId\":\"(?.*)\",\"EquipmentNo\":(?.*),\"SSID\":(?.*),\"RegisterPhones\":(?.*),\"AppKey\":\"(?.*)\",\"Version\":\"(?.*)\"\}\ --\ \End.*"? ?
}
match => {
? ? "message"=>"^--\ Response\ String\ :\ \{\"ErrorCode\":%{NUMBER:ErrorCode:int},\"Success\":(?[a-z]*),\"ErrorMsg\":(?.*),\"Result\":(?.*),\"WaitInterval\":%{NUMBER:WaitInterval:int}\}\ --\ \End.*"}
... 等多行
4、日志多行合并處理—multiline插件(重點(diǎn))
2018-03-2010:44:01,523[33]DEBUG Debug - task request,task Id:1cbb72f1-a5ea-4e73-957c-6d20e9e12a7a,start time:2018-03-2010:43:59-- Request String : {"UserName":"15046699923","Pwd":"ZYjyh727","DeviceType":2,"DeviceId":"PC-20170525SADY","EquipmentNo":null,"SSID":"pc","RegisterPhones":null,"AppKey":"ab09d78e3b2c40b789ddfc81674bc24deac","Version":"2.0.5.3"} -- End-- Response String : {"ErrorCode":0,"Success":true,"ErrorMsg":null,"Result":null,"WaitInterval":30} -- End
② logstash grok 對(duì)合并后多行的處理(合并多行后續(xù)都一樣隆判,如下)
filter {
grok {
match => {
"message"=>"^%{TIMESTAMP_ISO8601:InsertTime}\ .*-\ task\ request,.*,start\ time:%{TIMESTAMP_ISO8601:RequestTime}\n--\ Request\ String\ :\ \{\"UserName\":\"%{NUMBER:UserName:int}\",\"Pwd\":\"(?.*)\",\"DeviceType\":%{NUMBER:DeviceType:int},\"DeviceId\":\"(?.*)\",\"EquipmentNo\":(?.*),\"SSID\":(?.*),\"RegisterPhones\":(?.*),\"AppKey\":\"(?.*)\",\"Version\":\"(?.*)\"\}\ --\ \End\n--\ Response\ String\ :\ \{\"ErrorCode\":%{NUMBER:ErrorCode:int},\"Success\":(?[a-z]*),\"ErrorMsg\":(?.*),\"Result\":(?.*),\"WaitInterval\":%{NUMBER:WaitInterval:int}\}\ --\ \End" }
}
}
(2)在filebeat中使用multiline 插件(推薦)
negate:true/false犬庇,匹配到pattern 部分開(kāi)始合并僧界,還是不配到的合并
after:匹配到pattern 部分后合并,注意:這種情況最后一行日志不會(huì)被匹配處理
before:匹配到pattern 部分前合并(推薦)
filebeat.prospectors:
- input_type: log
? paths:
? ? - /root/performanceTrace*
? fields:
? ? type: zidonghualog
? multiline.pattern: '.*\"WaitInterval\":.*--\ End'
? multiline.negate: true
? multiline.match: before
filebeat.prospectors:
- input_type: log
? ? paths:
? ? ? - /root/performanceTrace*
? ? ? input_type: log
? ? ? multiline:
? ? ? ? ? pattern: '^20.*'
? ? ? ? ? negate: true
? ? ? ? ? match: after
(3)在logstash input中使用multiline 插件(沒(méi)有filebeat 時(shí)推薦)
negate:true/false臭挽,匹配到pattern 部分開(kāi)始合并捂襟,還是不配到的合并
previous:相當(dāng)于filebeat 的after
next:相當(dāng)于filebeat 的before
input {
? ? ? ? file {
? ? ? ? ? ? ? ? path => ["/root/logs/log2"]
? ? ? ? ? ? ? ? start_position =>"beginning"? ? ? ? ? ? ? ? codec => multiline {
? ? ? ? ? ? ? ? ? ? ? ? pattern =>"^20.*"? ? ? ? ? ? ? ? ? ? ? ? negate => true
? ? ? ? ? ? ? ? ? ? ? ? what =>"previous"? ? ? ? ? ? ? ? }
? ? ? ? }
}
(4)在logstash filter中使用multiline 插件(不推薦)
① filter設(shè)置multiline后欢峰,pipline worker會(huì)自動(dòng)將為1
≡岷伞② 5.5 版本官方把multiline 去除了,要使用的話需下載纽帖,下載命令如下:
/usr/share/logstash/bin/logstash-plugin install logstash-filter-multiline
filter {
? multiline {
? ? pattern =>"^20.*"? ? negate => true
? ? what =>"previous"? }
}
2018-03-2010:44:01[33]DEBUG Debug - task request,task Id:1cbb72f1-a5ea-4e73-957c-6d20e9e12a7a,start time:2018-03-2010:43:59
? ? ? ? date {
? ? ? ? ? ? ? ? match => ["InsertTime","YYYY-MM-dd HH:mm:ss "]
? ? ? ? ? ? ? ? remove_field =>"InsertTime"? ? ? ? }
match => ["timestamp" ,"dd/MMM/YYYY H:m:s Z"]
匹配這個(gè)字段,字段的格式為:日日/月月月/年年年年 時(shí)/分/秒 時(shí)區(qū)
也可以寫(xiě)為:match => ["timestamp","ISO8601"](推薦)
就是將匹配日志中時(shí)間的key 替換為@timestamp 的時(shí)間懊直,因?yàn)锧timestamp 的時(shí)間是日志送到logstash 的時(shí)間扒吁,并不是日志中真正的時(shí)間。
filebeat:
? prospectors:
? ? -
? ? ? paths:
? ? ? ? #- /mnt/data/WebApiDebugLog.txt*
? ? ? ? - /mnt/data_total/WebApiDebugLog.txt*
? ? ? fields:
? ? ? ? type: WebApiDebugLog_total
? ? -
? ? ? paths:
? ? ? ? - /mnt/data_request/WebApiDebugLog.txt*
? ? ? ? #- /mnt/data/WebApiDebugLog.txt*
? ? ? fields:
? ? ? ? type: WebApiDebugLog_request
? ? -
? ? ? paths:
? ? ? ? - /mnt/data_report/WebApiDebugLog.txt*
? ? ? ? #- /mnt/data/WebApiDebugLog.txt*
? ? ? fields:
? ? ? ? type: WebApiDebugLog_report
② 在logstash filter中使用if雕崩,可進(jìn)行對(duì)不同類進(jìn)行不同處理
filter {
? if[fields][type] =="WebApiDebugLog_request"{#對(duì)request 類日志if([message] =~"^20.*-\ task\ report,.*,start\ time.*") {#刪除report 行? ? ? ? ? ? ? ? drop {}
? ? ? ? }
? ? grok {
? ? ? ? match => {"... ..."}
? ? ? ? }
}
if[fields][type] =="WebApiDebugLog_total" {
? ? elasticsearch {
? ? ? ? hosts => ["6.6.6.6:9200"]
? ? ? ? index =>"logstashl-WebApiDebugLog_total-%{+YYYY.MM.dd}"? ? ? ? document_type =>"WebApiDebugLog_total_logs"}?
每天每臺(tái)機(jī)器可處理:24h*60min*60sec*3000*250Byte=64,800,000,000Bytes晨逝,約64G
2、關(guān)于收集日志的選擇:logstash/filter
(1)沒(méi)有原則要求使用filebeat或logstash裆针,兩者作為shipper的功能是一樣的刨摩,區(qū)別在于:
①?logstash由于集成了眾多插件,如grok世吨,ruby澡刹,所以相比beat是重量級(jí)的;
② logstash啟動(dòng)后占用資源更多耘婚,如果硬件資源足夠則無(wú)需考慮二者差異罢浇;
③ logstash基于JVM,支持跨平臺(tái);而beat使用golang編寫(xiě)嚷闭,AIX不支持攒岛;
④ AIX?64bit平臺(tái)上需要安裝jdk(jre)?1.7?32bit,64bit的不支持胞锰;
⑤ filebeat可以直接輸入到ES灾锯,但是系統(tǒng)中存在logstash直接輸入到ES的情況,這將造成不同的索引類型造成檢索復(fù)雜嗅榕,最好統(tǒng)一輸入到els 的源挠进。
logstash/filter 總之各有千秋,但是誊册,我推薦選擇:在每個(gè)需要收集的日志服務(wù)器上配置filebeat,因?yàn)檩p量級(jí)暖璧,用于收集日志案怯;再統(tǒng)一輸出給logstash,做對(duì)日志的處理澎办;最后統(tǒng)一由logstash 輸出給els嘲碱。
(1)可以優(yōu)化的參數(shù)局蚀,可根據(jù)自己的硬件進(jìn)行優(yōu)化配置
① pipeline 線程數(shù)麦锯,官方建議是等于CPU內(nèi)核數(shù)
默認(rèn)配置 --->?pipeline.workers:?2
可優(yōu)化為 ---> pipeline.workers: CPU內(nèi)核數(shù)(或幾倍cpu內(nèi)核數(shù))
② 實(shí)際output 時(shí)的線程數(shù)
默認(rèn)配置 --->?pipeline.output.workers:?1
可優(yōu)化為 ---> pipeline.output.workers: 不超過(guò)pipeline 線程數(shù)
默認(rèn)配置 ---> pipeline.batch.size: 125
可優(yōu)化為 ---> pipeline.batch.size: 1000
默認(rèn)配置 ---> pipeline.batch.delay: 5
可優(yōu)化為 ---> pipeline.batch.size: 10
通過(guò)設(shè)置-w參數(shù)指定pipeline?worker數(shù)量,也可直接修改配置文件logstash.yml琅绅。這會(huì)提高filter和output的線程數(shù)眶明,如果需要的話尼荆,將其設(shè)置為cpu核心數(shù)的幾倍是安全的,線程在I/O上是空閑的。
默認(rèn)每個(gè)輸出在一個(gè)pipeline?worker線程上活動(dòng)西乖,可以在輸出output 中設(shè)置workers設(shè)置,不要將該值設(shè)置大于pipeline?worker數(shù)驯镊。
還可以設(shè)置輸出的batch_size數(shù)锅锨,例如ES輸出與batch?size一致。
filter設(shè)置multiline后妆绞,pipline?worker會(huì)自動(dòng)將為1顺呕,如果使用filebeat,建議在beat中就使用multiline括饶,如果使用logstash作為shipper株茶,建議在input 中設(shè)置multiline,不要在filter中設(shè)置multiline图焰。
Logstash是一個(gè)基于Java開(kāi)發(fā)的程序忌卤,需要運(yùn)行在JVM中,可以通過(guò)配置jvm.options來(lái)針對(duì)JVM進(jìn)行設(shè)定楞泼。比如內(nèi)存的最大最小驰徊、垃圾清理機(jī)制等等笤闯。JVM的內(nèi)存分配不能太大不能太小,太大會(huì)拖慢操作系統(tǒng)棍厂。太小導(dǎo)致無(wú)法啟動(dòng)颗味。默認(rèn)如下:
(2)Redis可以使用list(最長(zhǎng)支持4,294,967,295條)或發(fā)布訂閱存儲(chǔ)模式;
(3)redis 做elk 緩沖隊(duì)列的優(yōu)化:
① bind 0.0.0.0 #不要監(jiān)聽(tīng)本地端口
② requirepass ilinux.io #加密碼漠畜,為了安全運(yùn)行
③ 只做隊(duì)列币他,沒(méi)必要持久存儲(chǔ),把所有持久化功能關(guān)掉:快照(RDB文件)和追加式文件(AOF文件)憔狞,性能更好
save?"" 禁用快照
appendonly no 關(guān)閉RDB
④ 把內(nèi)存的淘汰策略關(guān)掉蝴悉,把內(nèi)存空間最大
maxmemory 0 #maxmemory為0的時(shí)候表示我們對(duì)Redis的內(nèi)存使用沒(méi)有限制
5、elasticsearch 節(jié)點(diǎn)優(yōu)化配置
① vm.swappiness =1#ES 推薦將此參數(shù)設(shè)置為1拍冠,大幅降低 swap 分區(qū)的大小,強(qiáng)制最大程度的使用內(nèi)存簇抵,注意倦微,這里不要設(shè)置為0, 這會(huì)很可能會(huì)造成 OOM
② net.core.somaxconn =65535? ? #定義了每個(gè)端口最大的監(jiān)聽(tīng)隊(duì)列的長(zhǎng)度
③ vm.max_map_count=262144? ? #限制一個(gè)進(jìn)程可以擁有的VMA(虛擬內(nèi)存區(qū)域)的數(shù)量。虛擬內(nèi)存區(qū)域是一個(gè)連續(xù)的虛擬地址空間區(qū)域正压。當(dāng)VMA 的數(shù)量超過(guò)這個(gè)值欣福,OOM
④ fs.file-max =518144#設(shè)置 Linux 內(nèi)核分配的文件句柄的最大數(shù)量
[root@elasticsearch]# sysctl -p 生效一下
elasticsearch? ? soft? ? nofile65535elasticsearch? ? hard? ? nofile? ? ? ? ? 65535elasticsearch? ? soft? ? memlock? ? ? ? unlimited
elasticsearch? ? hard? ? memlock? ? ? ? unlimited
(c)為了使以上參數(shù)永久生效,還要設(shè)置兩個(gè)地方
vim /etc/pam.d/common-session-noninteractive
session required pam_limits.so
① 將最小堆大薪孤摹(Xms)和最大堆大型厝啊(Xmx)設(shè)置為彼此相等。
② Elasticsearch可用的堆越多嘉裤,可用于緩存的內(nèi)存就越多郑临。但請(qǐng)注意,太多的堆可能會(huì)使您長(zhǎng)時(shí)間垃圾收集暫停屑宠。
③ 設(shè)置Xmx為不超過(guò)物理RAM的50%厢洞,以確保有足夠的物理內(nèi)存留給內(nèi)核文件系統(tǒng)緩存。
(3)elasticsearch 配置文件優(yōu)化參數(shù)
bootstrap.memory_lock:true? #鎖住內(nèi)存,不使用swap
#緩存陕靠、線程等優(yōu)化如下
bootstrap.mlockall: truetransport.tcp.compress: trueindices.fielddata.cache.size: 40%indices.cache.filter.size: 30%indices.cache.filter.terms.size: 1024mb
threadpool:
? ? search:
? ? ? ? type: cached
? ? ? ? size: 100? ? ? ? queue_size: 2000
① ES是分布式存儲(chǔ),當(dāng)設(shè)置同樣的cluster.name后會(huì)自動(dòng)發(fā)現(xiàn)并加入集群剪芥;
② 集群會(huì)自動(dòng)選舉一個(gè)master垄开,當(dāng)master宕機(jī)后重新選舉;
③ 為防止"腦裂"税肪,集群中個(gè)數(shù)最好為奇數(shù)個(gè)
Logstash和其連接的服務(wù)運(yùn)行速度一致,它可以和輸入串慰、輸出的速度一樣快偏塞。
注意CPU是否過(guò)載。在Linux/Unix系統(tǒng)中可以使用top?-H查看進(jìn)程參數(shù)以及總計(jì)邦鲫。
如果CPU使用過(guò)高灸叼,直接跳到檢查JVM堆的章節(jié)并檢查L(zhǎng)ogstash?worker設(shè)置。
注意Logstash是運(yùn)行在Java虛擬機(jī)中的庆捺,所以它只會(huì)用到你分配給它的最大內(nèi)存古今。
③ I/O 監(jiān)控磁盤(pán)I/O檢查磁盤(pán)飽和度
使用Logstash?plugin(例如使用文件輸出)磁盤(pán)會(huì)發(fā)生飽和。
當(dāng)發(fā)生大量錯(cuò)誤你画,Logstash生成大量錯(cuò)誤日志時(shí)磁盤(pán)也會(huì)發(fā)生飽和抵碟。
在Linux中,可使用iostat坏匪,dstat或者其他命令監(jiān)控磁盤(pán)I/O
當(dāng)使用大量網(wǎng)絡(luò)操作的input拟逮、output時(shí),會(huì)導(dǎo)致網(wǎng)絡(luò)飽和适滓。
在Linux中可使用dstat或iftop監(jiān)控網(wǎng)絡(luò)情況敦迄。
heap設(shè)置太小會(huì)導(dǎo)致CPU使用率過(guò)高,這是因?yàn)镴VM的垃圾回收機(jī)制導(dǎo)致的。
一個(gè)快速檢查該設(shè)置的方法是將heap設(shè)置為兩倍大小然后檢測(cè)性能改進(jìn)罚屋。不要將heap設(shè)置超過(guò)物理內(nèi)存大小苦囱,保留至少1G內(nèi)存給操作系統(tǒng)和其他進(jìn)程。
你可以使用類似jmap命令行或VisualVM更加精確的計(jì)算JVM?heap
