`
bingtang5
  • 浏览: 12855 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

ELK日志分析平台搭建 + Beats

阅读更多

ELK

E = Elasticsearch,一款基于的Lucene的分布式搜索引擎,我们熟悉的github,就是由ElastiSearch提供的搜索,据传已经有10TB+的数据量。 

L = Logstash , 一款分布式日志收集系统,支持多输入源,并内置一些过滤操作,支持多输入元 

K = Kibana , 一款配合ElasticSearch的web可视化界面,内置非常各种查询,聚合操作,并拥有漂亮的图形化展示功能 

官网地址:https://www.elastic.co

这里再介绍一个很好用的轻量级的产品 Beats,支持同logstash和elasticsearch进行交互

Filebeat   Real-time insight into log data.
Packetbeat   Analyze network packet data.
Winlogbeat   Analyze Windows event logs.
Metricbeat   Ship and analyze metrics.

下面是官方的产品结构图

由上图可见可以用K+E+Logstash

也可以 K+E+Beats组成

下面将一一介绍搭建方法

本例介绍如何搭建配置最新的 5.0版本

环境搭建

ELK的搭建

环境依赖 java 1.8 及以上版本

yum -y install java-1.8.0-openjdk

 

本例在Centos7 x64上root用户yum方式安装,也可以自己下载tar包解压手动运行,具体安装方式见官网教程

https://www.elastic.co/guide/en/logstash/current/installing-logstash.html

https://www.elastic.co/guide/en/elasticsearch/reference/current/install-elasticsearch.html

https://www.elastic.co/guide/en/kibana/current/install.html

 

配置repo源

vim /etc/yum.repos.d/elastic.repo

添加下面内容

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

:x

然后安装

yum -y install elasticsearch kibana logstash

到此安装结束

 

EKB的搭建

配置好repo源后

yum -y install elasticsearch kibana

然后下载 beat的rpm包或者tar包,这里介绍rpm包安装

需要依赖curl,没有的yum安装

Filebeats

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.0.1-x86_64.rpm
rpm -vi filebeat-5.0.1-x86_64.rpm

Metricbeats

curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-5.0.1-x86_64.rpm
rpm -vi metricbeat-5.0.1-x86_64.rpm

到此EKB安装结束

 

环境配置

 

elastic的产品都用yaml做的配置,所以配置文件都是目录下的 .yml文件

产品的配置文件分别是

/etc/elasticsearch/elasticsearch.yml

/etc/kibana/kibana.yml

/etc/logstash/logstash.yml

/etc/filebeat/filebeat.yml

/etc/metricbeat/metricbeat.yml

 

下面列出各个组件中需要注意的地方

 

Kibana配置

server.port: 5601

server.host: "localhost" 

elasticsearch.url: "http://localhost:9200"

需要配置ssl的里边有相应项目,自己看吧不列举了

 

Elasticsearch配置

network.host: 192.168.0.1

http.port: 9200

 

Logstash配置

这个本身yml文件需要配置的不多,主要是跟elastic链接的配置

logstash的配置文件目录 /etc/logstash/conf.d/

新建 nb-pipeline.conf

input {
  beats {
    port => 5044
  }
  file {
        path => "/path/to/target/file"
    }
}
 
output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

input

input可以是beats可以是file,支持multiple的

具体见官网详细介绍吧

https://www.elastic.co/guide/en/logstash/current/input-plugins.html

output

同样支持很多种输出,定义index,不过一般都输出到elasticsearch,不多做介绍,见官网

https://www.elastic.co/guide/en/logstash/current/output-plugins.html

 

Filebeat配置

文件的位置

- input_type: log

# Paths that should be crawled and fetched. Glob based paths.
paths:
- /var/log/*.log

这里有两处output位置,根据需要自己选择

#----------------------------- Logstash output --------------------------------

hosts: ["localhost:5043"]

#-------------------------- Elasticsearch output ------------------------------

hosts: ["localhost:9200"]

 

更多的配置见这里

https://www.elastic.co/guide/en/beats/filebeat/current/configuring-howto-filebeat.html

 

Metricbeat配置

Modules配置

支持很多,默认的是system,还支持mongodb(当前版本有个小问题)

本例采用默认的,其他见官网

https://www.elastic.co/guide/en/beats/metricbeat/current/metricbeat-modules.html

 

output

同样输出到elasticsearch

output.elasticsearch:
# Array of hosts to connect to.
hosts: ["10.10.6.83:9200"]

 

导入Dashboard

Metric beat内置了几种Dashboard,可以直接导入显示

操作方法

/usr/share/metricbeat/scripts/import_dashboards -es http://localhost:9200

详细参照

https://www.elastic.co/guide/en/beats/metricbeat/current/metricbeat-sample-dashboards.html

 

TroubleShooting

kibana安装完成后,无法创建索引

默认的索引是logstash-*,并且是按时间检索的

如果logstash直接解析传给elasticsearch的那没有问题,可以创建成功

如果是beat穿过去的,需要自己定义

比如filebeat传过去的,索引要用“filebeat-*”

metricbeat传过去的,索引用“metricbeat-*”

 

 

这里只是简单的介绍,ELK功能很强大,欢迎有兴趣的童鞋深入研究

https://www.elastic.co/guide/index.html

 

 

贴两张图

Filebeat > logstash > E > K

 

Metricbeat > E > K 监控windows进程

 

分享到:
评论

相关推荐

    linux平台centos7系统 - ELK+logback+kafka+nginx 搭建分布式日志分析平台.doc

    【Linux平台CentOS7系统 - ELK+logback+kafka+nginx搭建分布式日志分析平台】 在复杂的IT环境中,日志管理和分析对于诊断问题、优化性能以及确保系统稳定性至关重要。ELK栈(Elasticsearch、Logstash、Kibana)正是...

    elk日志分析系统搭建与配置

    ELK日志分析系统搭建与配置 ELK 日志分析系统是由 ElasticSearch、Logstash 和 Kibana 三个开源工具组成的,旨在解决日志集中化管理、信息查找、服务诊断和数据分析等问题。本文将指导用户搭建自己的 ELK 日志分析...

    ELK日志收集系统搭建

    《ELK日志收集系统搭建详解》 在现代IT环境中,日志管理是不可或缺的一环。日志数据包含了系统的运行状态、错误信息以及各种诊断数据,对于故障排查、性能优化和安全监控至关重要。ELK(Elasticsearch, Logstash, ...

    【华中科技大学软件学院】云计算实验:ELK实时日志分析平台环境搭建

    华中科技大学软件学院云计算实验ELK实时日志分析平台环境搭建 ...ELK实时日志分析平台环境搭建需要下载和安装ElasticSearch、Kibana、Logstash和Beats四个组件,并配置和启动它们,以搭建一个完整的日志分析平台环境。

    构建ELK海量日志分析平台视频教程.rar

    在“构建ELK海量日志分析平台视频教程”中,你可能会学习到以下关键知识点: 1. **环境搭建**:如何在Linux或Windows系统上安装和配置Elasticsearch、Logstash和Kibana,包括版本选择、依赖项管理、配置文件设置等...

    部署ELK分布式日志分析平台

    案例部署ELK分布式日志分析平台的过程中,首先要搭建Elasticsearch集群,然后配置Logstash来收集各种日志文件,并通过过滤器对数据进行格式化处理,最后通过Kibana创建仪表板展示数据。部署成功后,运维人员和开发...

    ELK日志归集 - 搭建及使用说明文档V1.0.docx

    1. **Elasticsearch**:是ELK堆栈的核心,是一个开源的分布式搜索引擎和数据分析平台。它提供实时的全文搜索、分析和存储功能,可以处理大量结构化和非结构化的数据,并以近乎实时的方式返回结果。在ELK日志归集中,...

    elk日志收集系统集群搭建资源包

    **ELK日志收集系统集群搭建** ELK是Elasticsearch、Logstash和Kibana三个开源工具的首字母缩写,它们共同构成了一个强大的日志管理和分析平台。ELK stack在IT运维、数据分析和安全监控等领域有广泛的应用,帮助用户...

    Centos7搭建ELK+filebeat.docx

    ELK(Elasticsearch、Logstash、Kibana)是一个流行的日志分析和管理系统,它允许用户收集、处理、存储和可视化各种来源的日志数据。Filebeat作为轻量级的日志收集代理,常被用于与ELK结合,以提高效率和资源利用率...

    ELK入门及集群搭建快速实践1

    对于大型或复杂的日志分析需求,可能还需要扩展ELK架构,例如使用Filebeat代替Logstash进行日志收集,或者使用更高级的过滤和处理规则。此外,还可以利用Elastic Stack的其他组件,如Metricbeat和Packetbeat,来收集...

    带Beats和Jenkins日志读取的Windows上ELK的基本实现

    即在Windows操作系统上搭建一个基础的ELK(Elasticsearch, Logstash, Kibana)堆栈,并利用Beats作为数据收集工具,特别是Winlogbeat,来读取系统日志,同时结合Jenkins的Logging插件进行日志管理和分析。...

    ELK-用户安装手册 _201904081

    ELK 实时日志分析平台环境搭建手册主要涉及了ELK(Elasticsearch, Logstash, Kibana)堆栈的组成部分以及相关的数据采集工具,如Packetbeat、Metricbeat和Winlogbeat。以下是详细的解释: 1. **Elasticsearch**:...

    ElasticStack(ELK)从入门到实践.pdf

    Elastic Stack,原名ELK Stack,是一个用于搜索、分析和可视化日志数据的开源工具套件。它由Elasticsearch、Logstash、Kibana和Beats这四个组件组成,分别承担不同功能。 首先,Elasticsearch是一个基于Lucene构建...

    ELK安装手册

    ### ELK Stack 安装与配置详解 #### 一、ELK Stack 概述 **ELK Stack** 是一套流行的开源日志...通过以上步骤,可以搭建出一个完整的 ELK Stack 日志管理平台,实现高效的数据采集、处理、存储及可视化分析等功能。

    ELK的Springboot 程序

    在IT行业中,ELK(Elasticsearch、Logstash、Kibana)栈是日志管理和分析的常用工具,尤其在Java应用中。本项目“ELK的Springboot程序”结合了Spring Boot框架与ELK技术,实现了日志的高效收集、处理和可视化。下面...

    elk-7.6.0-win-64.zip集合

    "ELK"是Elasticsearch、Logstash和Kibana三者的缩写,这是一个流行的开源日志分析和可视化解决方案。这个"elk-7.6.0-win-64.zip集合"包含了一系列针对Windows 64位系统的软件,用于搭建和运行ELK栈。 1. **Elastic...

    ELK-docker:具有Curator和Beats数据托运人支持的ELK监视堆栈的Docker配置

    总结起来,ELK-docker项目结合了Elasticsearch、Logstash、Kibana的强大力量,并通过Docker实现便捷的部署和管理,配合Curator和各种Beats,能够构建出一套完整的日志管理和分析平台,对于监控系统状态、追踪错误、...

    compose-elk.zip

    标题“compose-elk.zip”暗示了这是一个与使用Docker Compose部署ELK(Elasticsearch、Logstash、Kibana)堆栈相关的压缩文件...用户可以快速设置一个功能完备的日志分析环境,方便进行日志收集、处理、存储和可视化。

    ES7.6.2+ik7.6.2+head7.6.2+logstash-7.6.2.zip

    用户可以解压后在本地环境中部署整个 Elastic Stack,快速搭建起日志管理和数据分析平台。安装时,需按照正确的顺序进行:先启动 Elasticsearch,然后是 Logstash(配置好输入输出插件),接着是 Kibana(配置连接到...

Global site tag (gtag.js) - Google Analytics