ELKB日志系統(tǒng)搭建(2022-04-13)

1.ELKB定義

ELKB分別指Elasticsearch蒜危、Logstash 呼伸、 Kibana和beats 四個(gè)開(kāi)源項(xiàng)目身冀,
Elasticsearch 即ES,是一個(gè)搜索和分析引擎。Logstash 是服務(wù)器端數(shù)據(jù)處理管道括享,能夠同時(shí)從多個(gè)來(lái)源采集數(shù)據(jù)搂根,轉(zhuǎn)換數(shù)據(jù),然后將數(shù)據(jù)發(fā)送到諸如 Elasticsearch 等“存儲(chǔ)庫(kù)”中铃辖。Kibana 則可以讓用戶將數(shù)據(jù)使用圖形和圖表對(duì)數(shù)據(jù)進(jìn)行可視化展示剩愧。

2.安裝elkb

a、Elasticsearch安裝

1) 下載安裝包:wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.0-linux-x86_64.tar.gz

image.png

2)配置elasticsearch
image.png

image.png

#network.host: 192.168.0.1
network.host: 0.0.0.0

http.port: 9200

#cluster.initial_master_nodes: ["node-1", "node-2"]
cluster.initial_master_nodes: ["elkb-node-1"]


#啟用xpack安全驗(yàn)證
xpack.security.enabled: true
#xpack.license.self_generated.type: basic
xpack.security.transport.ssl.enabled: true

#設(shè)置kibana需要登錄密碼
./elasticsearch-setup-passwords interactive

3)啟動(dòng)elasticsearch
nohup /app/elkb/elasticsearch-7.10.0/bin/elasticsearch > /dev/null 2>&1 &

報(bào)錯(cuò):
image.png

vi /etc/sysctl.conf 添加一行:
vm.max_map_count=655360

然后執(zhí)行:sysctl -p 命令讓內(nèi)核生效

curl 127.0.0.1:9200能看到如下圖表示成功:


image.png

b.Logstash安裝

下載安裝包:wget https://artifacts.elastic.co/downloads/logstash/logstash-7.10.0-linux-x86_64.tar.gz

image.png

進(jìn)入配置目錄:

cd /app/elkb/logstash-7.10.0/config
cp logstash-sample.conf logstash-log.conf

修改配置:


image.png

此處用戶配置elastic

#啟動(dòng):
nohup ../bin/logstash -f ../config/logstash-log.conf  --config.reload.automatic > /dev/null 2>&1 &
--config.reload.automatic可以在Logstash不重啟的情況下自動(dòng)加載配置文件

c.Kibana安裝

#下載安裝包
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.10.0-linux-x86_64.tar.gz

   ![image.png](https://upload-images.jianshu.io/upload_images/13502380-cf822067d6932e3d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

修改配置文件kibana.yml


image.png
# 端口
server.port: 5601
#訪問(wèn)ip
server.host: "0.0.0.0"
# 訪問(wèn)上下文
server.basePath: "/kibana"
# 重寫(xiě)path
server.rewriteBasePath: true
# The Kibana server's name.  This is used for display purposes.
server.name: "kibanaName"
# es地址
elasticsearch.hosts: ["http://localhost:9200"]
# dashboards. Kibana creates a new index if the index doesn't already exist.
kibana.index: ".kibana"
# is proxied through the Kibana server.
elasticsearch.username: "kibana_system"
elasticsearch.password: "wcyq@2022"
logging.dest: /app/elkb/kibana-7.10.0-linux-x86_64/logs/kibana.log
#設(shè)置中文
i18n.locale: "zh-CN"

nignx配置:


image.png

啟動(dòng)kibana

#啟動(dòng)
nohup ../bin/kibana > /dev/null 2>&1 &

訪問(wèn)kibana

http://127.0.0.1:5601/

d.filebeat安裝

下載安裝包:wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.10.0-linux-x86_64.tar.gz
修改配置:

image.png

image.png
filebeat.inputs:
- type: log
  # Change to true to enable this input configuration.
  enabled: true
  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    #- /var/log/*.log
    - /app/logs/*/*.log
  
 output.logstash:
 # The Logstash hosts
 hosts: ["10.0.0.110:5044"]

啟動(dòng):

#查看啟用或禁用模塊:
./filebeat modules list
#啟用logstash模塊
./filebeat modules enable logstash
#檢查配置文件是否正確
./filebeat test config
#啟動(dòng)filebeat
nohup ./filebeat -e -c filebeat-log.yml >/dev/null 2>&1 &

注意:該方式啟動(dòng)娇斩,一段時(shí)間后filebeat服務(wù)會(huì)莫名的停掉仁卷,需要自己定義個(gè)servie啟動(dòng)

#創(chuàng)建filebeat.service
touch /usr/lib/systemd/system/filebeat.service
#編輯filebeat.service
vi /usr/lib/systemd/system/filebeat.service

filebeat.service內(nèi)容

[Unit]
Description=filebeat is a lightweight shipper for metrics.
Documentation=https://www.elastic.co/products/beats/filebeat
Wants=network-online.target
After=network-online.target

[Service]
Environment="BEAT_LOG_OPTS=-e"
Environment="BEAT_CONFIG_OPTS=-c /app/filebeat-7.10.0-linux-x86_64/filebeat-log.yml"
Environment="BEAT_PATH_OPTS=-path.home /app/filebeat-7.10.0-linux-x86_64 -path.config /app/filebeat-7.10.0-linux-x86_64 -path.data /app/filebeat-7.10.0-linux-x86_64/data -path.logs /app/filebeat-7.10.0-linux-x86_64/logs"
ExecStart=/app/filebeat-7.10.0-linux-x86_64/filebeat $BEAT_LOG_OPTS $BEAT_CONFIG_OPTS $BEAT_PATH_OPTS
Restart=always

[Install]
WantedBy=multi-user.target

執(zhí)行以下命令:

#重新加載服務(wù)配置文件
systemctl daemon-reload
#開(kāi)機(jī)自啟動(dòng)
systemctl enable filebeat
#啟動(dòng)filebeat
systemctl start filebeat

查看是否啟動(dòng)成功

systemctl status filebeat

啟動(dòng)失敗:

image.png

查看linux系統(tǒng)日志:

tail -333f /var/log/messages
發(fā)現(xiàn)是filebeat配置文件需要為當(dāng)前用戶


image.png

授權(quán)成洗,然后重新啟動(dòng)
chown -R root.root /app/filebeat-7.10.0-linux-x86_64/*
啟動(dòng)成功:


image.png

定時(shí)刪除elk日志五督,防止磁盤(pán)空間爆滿

1.編寫(xiě)腳本,創(chuàng)建定時(shí)任務(wù)刪除

vi elk_log_clear.sh
#!/bin/bash
#刪除ELK15天前的日志
DATE=`date -d "15 days ago" +%Y.%m.%d`
echo 'date:' ${DATE}
curl -s --user elastic:123456  -XGET http://127.0.0.1:9200/_cat/indices?v| grep $DATE | awk -F '[ ]+' '{print $3}' >/tmp/elk.log
for elk in `cat /tmp/elk.log`
do
   curl --user elastic:wcyq@2022 -X DELETE  "http://127.0.0.1:9200/$elk"
done

-----------------------------
創(chuàng)建定時(shí)任務(wù)
 crontab -e
#每天凌晨1點(diǎn)定時(shí)清理elk索引
00 01 * * * bash /app/elkb/scripts/elk_log_clear.sh &>/dev/null
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末瓶殃,一起剝皮案震驚了整個(gè)濱河市充包,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌遥椿,老刑警劉巖基矮,帶你破解...
    沈念sama閱讀 222,590評(píng)論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異冠场,居然都是意外死亡家浇,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,157評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門碴裙,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)钢悲,“玉大人点额,你說(shuō)我怎么就攤上這事≥毫眨” “怎么了还棱?”我有些...
    開(kāi)封第一講書(shū)人閱讀 169,301評(píng)論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)惭等。 經(jīng)常有香客問(wèn)我珍手,道長(zhǎng),這世上最難降的妖魔是什么辞做? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 60,078評(píng)論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任琳要,我火速辦了婚禮,結(jié)果婚禮上秤茅,老公的妹妹穿的比我還像新娘稚补。我一直安慰自己,他們只是感情好嫂伞,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,082評(píng)論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布孔厉。 她就那樣靜靜地躺著,像睡著了一般帖努。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上粪般,一...
    開(kāi)封第一講書(shū)人閱讀 52,682評(píng)論 1 312
  • 城市分裂傳說(shuō)
    那天拼余,我揣著相機(jī)與錄音,去河邊找鬼亩歹。 笑死匙监,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的小作。 我是一名探鬼主播亭姥,決...
    沈念sama閱讀 41,155評(píng)論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼顾稀!你這毒婦竟也來(lái)了达罗?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 40,098評(píng)論 0 277
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤静秆,失蹤者是張志新(化名)和其女友劉穎粮揉,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體抚笔,經(jīng)...
    沈念sama閱讀 46,638評(píng)論 1 319
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡扶认,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,701評(píng)論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了殊橙。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片辐宾。...
    茶點(diǎn)故事閱讀 40,852評(píng)論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡狱从,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出叠纹,到底是詐尸還是另有隱情季研,我是刑警寧澤,帶...
    沈念sama閱讀 36,520評(píng)論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布吊洼,位于F島的核電站训貌,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏冒窍。R本人自食惡果不足惜递沪,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,181評(píng)論 3 335
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望综液。 院中可真熱鬧款慨,春花似錦、人聲如沸谬莹。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,674評(píng)論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)附帽。三九已至埠戳,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間蕉扮,已是汗流浹背整胃。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,788評(píng)論 1 274
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留喳钟,地道東北人屁使。 一個(gè)月前我還...
    沈念sama閱讀 49,279評(píng)論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像奔则,于是被迫代替她去往敵國(guó)和親蛮寂。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,851評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容