`

用Kibana和logstash快速搭建实时日志查询、收集与分析系统

 
阅读更多

Logstash是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用(如,搜索),您可以使用它。说到搜索,logstash带有一个web界面,搜索和展示所有日志。
kibana 也是一个开源和免费的工具,他可以帮助您汇总、分析和搜索重要数据日志并提供友好的web界面。他可以为 Logstash 和 ElasticSearch 提供的日志分析的 Web 界面
说到这里,我们看看 kibana 和 logstash到底能为我们做些什么呢?下面是kibana的界面


 

  简单来讲他具体的工作流程就是 logstash agent 监控并过滤日志,将过滤后的日志内容发给redis(这里的redis只处理队列不做存储),logstash index将日志收集在一起交给
全文搜索服务ElasticSearch 可以用ElasticSearch进行自定义搜索 通过Kibana 来结合 自定义搜索进行页面展示,下图是 Kibana官网上的流程图



 

 

好了 让我们一步步的把这套环境搭建起来吧,先看看都需要安装什么软件包
ruby 运行Kibana 必须,
rubygems 安装ruby扩展必须
bundler 功能类似于yum
JDK 运行java程序必须 
redis 用来处理日志队列
logstash 收集、过滤日志
ElasticSearch 全文搜索服务(logstash集成了一个)
kibana 页面展示

这里有三台服务器
192.168.233.128 logstash index,ElasticSearch,kibana,JDK
192.168.233.129 logstash agent,JDK
192.168.233.130 redis


首先到 logstash index服务器上面,logstash分为 index和aget ,agent负责监控、过滤日志,index负责收集日志并将日志交给ElasticSearch 做搜索

此外 logstash 的收集方式分为 standalone 和 centralized。
standalone 是所有功能都在一个服务器上面,自发自收,centralized 就是集中收集,一台服务器接收所有shipper(个人理解就是logstash agent)的日志。
其实 logstash本身不分 什么 shipper 和 collector ,只不过就是配置文件不同而已,我们这次按照集中的方式来测试


在 logstash index上安装基础的软件环境

  1. [192.168.233.128 root@nodec:~] 
  2. # cd /soft/ 
  3. [192.168.233.128 root@nodec:/soft] 
  4. # wget http://down1.chinaunix.net/distfiles/jdk-6u13-dlj-linux-i586.bin 
  5. 从oracle下载实在是太慢了,从CU下载会快一些,如果需要最新版本请访问这里 
  6. http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html 
  7. [192.168.233.128 root@nodec:/soft] 
  8. # sh jdk-6u13-dlj-linux-i586.bin 
  9. 输入yes 便开始安装了 
  10. 安装完成后设置一下 JAVA_HOME 
  11. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  12. # vim /etc/profile 
  13. export JAVA_HOME=/usr/java 
  14. export PATH=$JAVA_HOME/bin:$PATH 
  15. export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH 
  16.  
  17. 安装ruby 就比较简单了(Kibana需要ruby 1.8.7以上版本) 
  18. [192.168.233.128 root@nodec:/soft] 
  19. # yum install ruby rubygems 
  20. ..... 安装内容省略 
  21. 安装完成后用 rubygems 来安装bundler 
  22. [192.168.233.128 root@nodec:/soft] 
  23. # /usr/bin/gem install bundler 
  24. ..... 
  25.  
  26. ok 这样基本的环境就已经有了,下面就是安装kibana 和 logstash 
  27. 其实logstash 就是一个java脚本,不需要安装... 下载即用 
  28. [192.168.233.128 root@nodec:/soft] 
  29. # wget http://logstash.objects.dreamhost.com/release/logstash-1.1.0-monolithic.jar 
  30. 现在看看 这个脚本应该怎么去执行 
  31. [192.168.233.128 root@nodec:/soft] 
  32. # java -jar /soft/logstash-1.1.0-monolithic.jar -h 
  33. No such command "-h" 
  34. Available commands: 
  35.   -v 
  36.   -V 
  37.   --version 
  38.   agent 
  39.   web 
  40.   test 
  41. 显然没有 -h 参数,不过列出了能用的参数,但是logstash的参数可不止这些, 
  42. java -jar /soft/logstash-1.1.0-monolithic.jar agent --help 
  43. 这些是在agent模式下的命令参数 
  44. -f, --config CONFIGFILE 
  45.     Load the logstash config from a specific file, directory, or a wildcard. If given a directory or wildcard, config files will be read in order lexigraphically. 
  46. -e CONFIGSTRING 
  47.     Use the given string as the configuration data. Same syntax as the config file. If not input is specified, 'stdin { type => stdin }' is default. If no output is specified, 'stdout { debug => true }}' is default
  48. -w, --filterworks COUNT 
  49.     Run COUNT filter workers (default: 1) 
  50. --watchdog-timeout TIMEOUT 
  51.     Set watchdog timeout value. 
  52. -l, --log FILE 
  53.     Log to a given path. Default is to log to stdout 
  54. -v 
  55.     Increase verbosity. There are multiple levels of verbosity available with '-vv' currently being the highest 
  56. --pluginpath PLUGIN_PATH 
  57.     A colon-delimted path to find other logstash plugins in 
  58. java -jar /soft/logstash-1.1.0-monolithic.jar web --help 
  59. 下面的是在web界面的参数 
  60. --log FILE 
  61.     Log to a given path. Default is stdout. 
  62. --address ADDRESS 
  63.     Address on which to start webserver. Default is 0.0.0.0. 
  64. --port PORT 
  65.     Port on which to start webserver. Default is 9292. 
  66. -B, --elasticsearch-bind-host ADDRESS 
  67.     Address on which to bind elastic search node. 
  68. -b, --backend URL 
  69.     The backend URL to use. Default is elasticsearch:/// (assumes multicast discovery). You can specify elasticsearch://[host][:port]/[clustername] 
如果上面的这些命令都能执行正常的话就表示 logstash可以使用了,但要让他启动还需要一个配置文件

  1. [192.168.233.128 root@nodec:/soft] 
  2.  
  3. # vim redis.conf 
  4.  
  5. input {
  6. redis { 
  7.   host => '192.168.233.130' 
  8.   data_type => 'list' 
  9.   port => "6379" 
  10.   key => 'logstash:redis' 
  11.   type => 'redis-input' 
  12.        } 
  13.        }
  14.  
  15. output { 
  16.     elasticsearch { 
  17.     embedded => true 
  18.                   } 
  19.        } 
解释一下 logstash的配置文件由 input filter output 等几个基本的部分组成,顾名思义 input 就是在那收集数据,output就是输出到哪,filter代表一个过滤规则意思是什么内容
会被收集。
上面这段是让 logstash 去192.168.233.130 这个redis服务器上去收集日志 redis端口为6379,key是 logstash:redis 类型为 redis-input ,(注意:这几个值必须跟logstash agent的
output 所对应),收集完成后输出到 elasticsearch ,embedded => true 的意思是使用logstash 内嵌的 elasticsearch。如果有独立的elasticsearch服务器,需要将 这条改为
host => 'elasticsearch的ip' port => 端口
好了,这个简单的配置文件可以让logstash开始启动了

  1. [192.168.233.128 root@nodec:/soft] 
  2. # java -jar /soft/logstash-1.1.0-monolithic.jar agent -f /soft/redis.conf -- web --backend elasticsearch:///?local & 
  3. [1] 5205 
  4. ...这里要等待约5秒钟... 为什么?去问开发者吧 
  5. [192.168.233.128 root@nodec:/soft] 
  6. # I, [2013-03-19T03:23:10.749000 #5205]  INFO -- : Using beta plugin 'redis'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status  {"timestamp":"2013-03-19T03:23:10.732000 -0700","message":"Using beta plugin 'redis'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status ","level":"info"} 
  7. file:/soft/logstash-1.1.0-monolithic.jar!/gems/rack-1.3.4/lib/rack/backports/uri/common_192.rb:53 warning: already initialized constant WFKV_ 
  8. Mizuno 0.5.0 (Jetty 8.0.y.z-SNAPSHOT) listening on 0.0.0.0:9292 
  9. 解释一下 上面的命令 agent 代理模式 -f 指定配置文件 --web 其实是个分隔符等于又启动了一个命令,后面的参数就是开启一个web页面默认端口是9292,这个命令如果拆成两个就是这个样子 
  10. java -jar /soft/logstash-1.1.0-monolithic.jar agent -f /soft/redis.conf & 
  11. java -jar /soft/logstash-1.1.0-monolithic.jar web --backend elasticsearch:///?local & (其实如果用kibana来做web界面的话这一步完全可以省掉了)
好了,看到9292 端口启动就代表 启动成功了,检查一下

  1. [192.168.233.128 root@nodec:/soft] 
  2. # lsof -i:9292 
  3. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  4. java    5205 root  465u  IPv4 130805       TCP *:armtechdaemon (LISTEN) 
  5. 其实logstash还启动了一个端口9200,因为启动了内嵌的 elasticsearch,这个9200是 elasticsearch在监听 
  6. [192.168.233.128 root@nodec:/soft] 
  7. # lsof -i:9200 
  8. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  9. java    5205 root  160u  IPv4 130682       TCP *:wap-wsp (LISTEN) 
现在可以通过浏览器访问一下 http://192.168.233.128:9292 看看logstash是的页面是个什么样子


现在还不能搜索因为现在还没有数据,其实这个时候 http://192.168.233.128:9200 也是可以访问的,
很多开发自己写代码来调用elasticsearch 来实现他们自己的需要,这里就不多说了
192.168.233.128 这台logstash index的操作暂时告一段落,下面开始配置logstash的agent
登录到 服务器 192.168.233.129 安装基本软件包和logstash

  1. [192.168.233.129 root@noded:~] 
  2. # cd /soft/ 
  3. [192.168.233.129 root@noded:/soft] 
  4. # wget http://down1.chinaunix.net/distfiles/jdk-6u13-dlj-linux-i586.bin 
  5. [192.168.233.129 root@noded:/soft] 
  6. # sh jdk-6u13-dlj-linux-i586.bin 
  7. 设置 JAVA_HOME 
  8. [192.168.233.129 root@noded:/soft] 
  9. # vim /etc/profile 
  10. export JAVA_HOME=/usr/java 
  11. export PATH=$JAVA_HOME/bin:$PATH 
  12. export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH 
  13. [192.168.233.129 root@noded:/soft] 
  14. # yum install ruby 
  15. 192.168.233.129 root@noded:/soft] 
  16. # wget http://logstash.objects.dreamhost.com/release/logstash-1.1.0-monolithic.jar 
  17. [192.168.233.129 root@noded:/soft] 
  18. # vim redis.conf 
  19. input { 
  20.     file { 
  21.     type => "producer" 
  22.     path => "/soft/apache.log" 
  23.     } 
  24.     file { 
  25.     type => "php-log" 
  26.     path => "/soft/php.log" 
  27.     } 
  28. filter { 
  29.        grep { 
  30.        match => [ "@message""mysql|GET|error" ] 
  31.             } 
  32.        } 
  33.  
  34. output { 
  35.       redis { 
  36.       host => '192.168.233.130' 
  37.       data_type => 'list' 
  38.       key => 'logstash:redis' 
  39.        } 
  40.        } 


   大概说一下这个配置文件 input 里的file就是要监视的文件了 这里我监视了两个文件,如果这两个文件有追加的内容就会通过下面的output设置发给 redis服务器
filter 里的grep 意思就是 grep...  后面这段就是 日志内容里面只要有匹配 mysql或GET或error的内容就会被过滤出来,发送到 logstash index
以上就是一个比较简单的配置文件了,让我们启动他

  1. [192.168.233.129 root@noded:/soft] 
  2. # java -jar /soft/logstash-1.1.0-monolithic.jar agent -f /soft/redis.conf & 
  3. I, [2013-03-19T19:45:35.762000 #2721]  INFO -- : Using beta plugin 'file'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status  {"timestamp":"2013-03-19T19:45:35.752000 -0700","message":"Using beta plugin 'file'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status ","level":"info"} 
  4. I, [2013-03-19T19:45:35.778000 #2721]  INFO -- : Using beta plugin 'file'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status  {"timestamp":"2013-03-19T19:45:35.778000 -0700","message":"Using beta plugin 'file'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status ","level":"info"} 
  5. I, [2013-03-19T19:45:35.804000 #2721]  INFO -- : Using beta plugin 'grep'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status  {"timestamp":"2013-03-19T19:45:35.803000 -0700","message":"Using beta plugin 'grep'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status ","level":"info"} 
  6. I, [2013-03-19T19:45:35.854000 #2721]  INFO -- : Using beta plugin 'redis'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status  {"timestamp":"2013-03-19T19:45:35.853000 -0700","message":"Using beta plugin 'redis'. For more information about plugin statuses, see http://logstash.net/docs/1.1.0/plugin-status ","level":"info"} 


只要没有 warning 和 error就算是正常启动了
启动之前请确定 192.168.233.130的 redis服务器已经启动,不然会报错
下面登录到 192.168.233.130 上看看 redis服务的状态

  1. [192.168.233.130 root@nodea:/data/redis/etc] 
  2. # lsof -i:6379 
  3. COMMAND    PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  4. redis-ser 2732 root    4u  IPv4   7946       TCP *:6379 (LISTEN) 
  5. redis-ser 2732 root    5u  IPv4   7963       TCP localhost.localdomain:6379->localhost.localdomain:19214 (ESTABLISHED) 
  6. java      2733 root    9u  IPv4   7959       TCP localhost.localdomain:19214->localhost.localdomain:6379 (ESTABLISHED) 
  7. 状态正常,端口处于监听状态,我用的是最简单的 配置, 
  8. [192.168.233.130 root@nodea:/data/redis/etc] 
  9. # vim redis.conf 
  10. #this is the config file for redis 
  11. pidfile /var/run/redis.pid 
  12. port 6379 
  13. timeout 0 
  14. loglevel verbose 
  15. logfile /data/redis/log/redis.log 
  16. dbfilename dump.rdb 
  17. dir /data/redis/db/ 
  18. vm-swap-file /tmp/redis.swap 
  19. activerehashing yes 
  20. 启动命令如下 
  21. [192.168.233.130 root@nodea:/data/redis/etc] 
  22. # redis-server /data/redis/etc/redis.conf & 


下载安装就比较简单了

  1. [192.168.233.130 root@nodea:/soft] 
  2. # wget http://redis.googlecode.com/files/redis-2.4.14.tar.gz 
  3. [192.168.233.130 root@nodea:/data/redis/etc] 
  4. # make –j24 
  5. [192.168.233.130 root@nodea:/data/redis/etc] 
  6. # make install 


配置文件里的那几个路径要提前建好

最后我们回到 logstash agent 上面测试一下

  1. [192.168.233.129 root@noded:/soft] 
  2. # echo GET12313 >> apache.log 
  3. [192.168.233.129 root@noded:/soft] 
  4. # echo errorabcd >> apache.log 


ok 到 http://192.168.233.128:9292 去搜索一下 刚才的两个内容

 



 



 

嗯,就是这样了,我现在找个php的错误日志给他追加到php.log文件里 
[192.168.233.129 root@noded:/soft]
# cat php-error.log >> php.log
在看看 logstash的页面 搜索一下 error

 



 

 

OK,最后就是 Kibana了 ,我把Kibana装在了 logstash index上面
下载地址为 http://kibana.org/intro.html

  1. [192.168.233.128 root@nodec:/soft] 
  2. # tar xf Kibana-0.2.0.tar.gz 
  3. [192.168.233.128 root@nodec:/soft] 
  4. # cd Kibana-0.2.0 
  5. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  6. # bundle install 
  7. 直接安装就好了,非常简单,因为之前咱们已经安装好了 bundle 
  8. 编辑配置文件,指定 elasticsearch 的位置 
  9. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  10. # vim KibanaConfig.rb 
  11. ..... 
  12.   Elasticsearch = "localhost:9200" 
  13.   KibanaPort = 5601 
  14.   KibanaHost = '0.0.0.0' 
  15. ..... 
  16. 主要是这几个参数 
  17. 启动的话需要ruby 
  18. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  19. # /usr/bin/ruby kibana.rb & 
  20. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  21. # == Sinatra/1.3.5 has taken the stage on 5601 for development with backup from Thin 
  22. >> Thin web server (v1.5.0 codename Knife) 
  23. >> Maximum connections set to 1024 
  24. >> Listening on 0.0.0.0:5601, CTRL+C to stop 
  25. 如果ruby的东西都不缺的话,启动会很顺利,ok 现在看看5601端口的状态 
  26. [192.168.233.128 root@nodec:/soft/Kibana-0.2.0] 
  27. # lsof -i:5601 
  28. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  29. ruby    3116 root    5u  IPv4  28947       TCP *:esmagent (LISTEN) 


访问一下 试试看 http://192.168.233.128:5601 尝试搜索一下php的错误日志,比如mysql



 

 呵呵,要的就是这个效果,日志会实时的汇总到 logstash index 上供我们查询,当然这只是开始使用logstash的第一步而已,更多的高级功能可以看看官方文档

http://logstash.net/docs/1.1.9/
如果有问题大家可以一起探讨,我也是刚开始接触这个东东,收集日志是相当方便啊,据说还能跟nagios结合. 呵呵

本文出自 “story的天空” 博客,请务必保留此出处http://storysky.blog.51cto.com/628458/1158707

  • 大小: 113.8 KB
  • 大小: 112.7 KB
  • 大小: 43.9 KB
  • 大小: 58.2 KB
  • 大小: 57 KB
  • 大小: 100.9 KB
  • 大小: 60 KB
分享到:
评论

相关推荐

    Kibana和logstash

    使用Kibana和Logstash搭建实时日志查询、收集与分析系统的基本步骤如下: 1. **安装与配置Logstash**:在服务器上部署Logstash,配置输入插件监听日志源,过滤插件处理日志格式,输出插件将数据发送到Elasticsearch...

    Elasticsearch5.3.2Logstash5.3.2Kibana5.3.2Kafka-0.10.0.1打造开源实时日志分析系统v1.4

    在当今的IT架构中,日志管理与分析变得至关重要,由于日志数据量庞大且增长迅速,传统的日志处理手段往往难以满足实时性、高效性的需求。为了解决这一问题,ELK stack应运而生,它是由Elasticsearch、Logstash、...

    elk日志分析系统搭建与配置

    ELK日志分析系统搭建与配置 ELK 日志分析系统是由 ElasticSearch、Logstash 和 Kibana 三个开源工具组成的,旨在解决日志集中化管理、信息查找、服务诊断和数据分析等问题。本文将指导用户搭建自己的 ELK 日志分析...

    ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发

    在搭建ELK环境时,使用虚拟化工具如Virtualbox与Vagrant可以极大地方便我们进行环境配置与管理。 **1.1 Virtualbox安装** - **安装步骤**: - 在宿主机上下载并安装Virtualbox。 - 安装完成后,打开Virtualbox...

    OpenStack环境搭建ELK日志分析系统.zip

    ELK(Elasticsearch、Logstash和Kibana)组合提供了强大的日志收集、存储、搜索、分析和可视化功能。以下是关于这个主题的详细讲解。 首先,Elasticsearch是一个分布式、实时的搜索和分析引擎,它能够存储、搜索和...

    霍城延-ELK实时日志收集系统搭建.pdf

    ELK实时日志收集系统是目前业界常用的日志分析解决方案,由Elasticsearch、Logstash和Kibana三个主要组件构成。Elasticsearch是一个高效的分布式搜索引擎,它支持实时搜索、全文搜索及结构化搜索。Logstash是一个...

    基于ossec logstash es大数据安全关联分析

    Logstash的灵活性使其成为构建日志管理和分析系统的关键组件之一。 #### Elasticsearch简介 Elasticsearch是一个基于Lucene的分布式搜索和分析引擎,它提供了一种简单高效的方式来存储、搜索和分析大规模数据集。...

    ELK日志收集系统搭建

    4. 日志收集与分析:启动Logstash,开始收集日志。在Kibana中,可以创建视图和仪表板,以图形化方式展示日志数据。通过自定义搜索条件和过滤器,可以迅速定位问题,提升故障排查效率。 5. 扩展与优化:随着日志数据...

    elk:elasticsearch+logstash+kibana

    ELK(Elasticsearch, Logstash, Kibana)是一个流行的开源日志分析和可视化解决方案,广泛用于收集、解析、存储和展示各种日志数据。这个压缩包包含了ELK堆栈的主要组件,版本为7.6.1,适用于Linux x86_64架构。 **...

    资料包-最全ELK+项目【Elasticsearch Logstash Kibana】

    压缩包中的“项目源码”可能包含了使用ELK Stack搭建的具体应用示例或模板,这些源码可能涉及到配置文件、脚本、代码片段等,可以帮助用户更好地理解和实践ELK Stack的使用,例如日志收集的配置、Elasticsearch索引...

    kibana.rar

    5. **实时监控与分析**:通过Kibana的仪表板,我们可以实时查看应用程序的运行状态,监控特定指标,如错误率、响应时间等。此外,Kibana还支持高级查询和过滤,帮助我们深入挖掘日志数据,找出潜在的问题和优化点。 ...

    logstash-7.6.2.zip

    在7.6.2版本中,用户可以利用官方文档中的示例配置,快速搭建自己的日志处理系统。 **5. 整合Elastic生态** Logstash是Elastic Stack(又称ELK Stack,包括Elasticsearch、Logstash和Kibana)的关键组件,与...

    logstash-6.8.0.tar.gz

    通过 Logstash 处理日志数据,然后将其送入 Elasticsearch 存储,再利用 Kibana 进行可视化的分析和展示,可以有效地实现日志管理和监控。 在使用 "logstash-6.8.0.tar.gz" 压缩包时,首先需要解压文件,然后配置 ...

    kibana-8.4.3-windows-x86_64.zip

    Kibana是一款强大的开源分析和可视化平台,专为与Elasticsearch协同工作而设计。它提供了丰富的数据探索、仪表板创建以及数据可视化的功能,帮助用户理解存储在Elasticsearch中的海量数据。Kibana 8.4.3是这个平台的...

    ELK日志收集系统完全实现

    ELK(Elasticsearch, Logstash, Kibana)日志收集系统是一种广泛使用的日志管理和分析解决方案。它能够高效地收集、解析、存储和展示应用程序及系统的日志数据,帮助运维人员监控系统状态,排查问题,进行数据分析。...

    logstash book for logstash-v1.4.2

    读者通过阅读这本书可以掌握到如何使用Logstash来收集、处理和分析系统日志、应用日志以及网络监控数据,进而更好地监控和维护系统的健康状态。书中还介绍了一些常见的排错技巧,以及如何通过Kibana控制台来可视化...

    采用ELK搭建日志分析系统.docx

    ELK(Elasticsearch, Logstash, Kibana)栈是一种流行的日志分析和管理系统,它可以帮助企业收集、处理、存储和展示来自不同来源的日志数据。本文将详细介绍如何使用ELK搭建日志分析系统。 首先,我们从基础开始,...

Global site tag (gtag.js) - Google Analytics