簡(jiǎn)介

日志服務(wù)器

提高安全性
集中存放日志
缺陷：對(duì)日志的分析困難

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比昌平網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式昌平網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋昌平地區(qū)。費(fèi)用合理售后完善，10余年實(shí)體公司更值得信賴。

ELK日志分析系統(tǒng)

Elasticsearch：存儲(chǔ)，索引池   
Logstash：日志收集器
Kibana：數(shù)據(jù)可視化

日志處理步驟

1，將日志進(jìn)行集中化管理
2，將日志格式化（Logstash）并輸出到Elasticsearch
3，對(duì)格式化后的數(shù)據(jù)進(jìn)行索引和存儲(chǔ)（Elasticsearch）
4，前端數(shù)據(jù)的展示（Kibana）

Elasticsearch的概述

 提供了一個(gè)分布式多用戶能力的全文搜索引擎

Elasticsearch的概念

 接近實(shí)時(shí)
 集群
 節(jié)點(diǎn)
 索引：索引(庫)-->類型(表)-->文檔(記錄)
 分片和副本

Logstash介紹

 一款強(qiáng)大的數(shù)據(jù)處理工具，可以實(shí)現(xiàn)數(shù)據(jù)傳輸、格式處理、格式化輸出
 數(shù)據(jù)輸入、數(shù)據(jù)加工(如過濾，改寫等)以及數(shù)據(jù)輸出

LogStash主要組件

 Shipper
 Indexer
 Broker
 Search and Storage
 Web Interface

Kibana介紹

 一個(gè)針對(duì)Elasticsearch的開源分析及可視化平臺(tái)
 搜索、查看存儲(chǔ)在Elasticsearch索引中的數(shù)據(jù)
 通過各種圖表進(jìn)行高級(jí)數(shù)據(jù)分析及展示

Kibana主要功能

 Elasticsearch無縫之集成
 整合數(shù)據(jù)，復(fù)雜數(shù)據(jù)分析
 讓更多團(tuán)隊(duì)成員受益
 接口靈活，分享更容易
 配置簡(jiǎn)單，可視化多數(shù)據(jù)源
 簡(jiǎn)單數(shù)據(jù)導(dǎo)出

實(shí)驗(yàn)拓?fù)?/h2>

實(shí)驗(yàn)環(huán)境

Apache服務(wù)器 192.168.13.128 （Logstash）
Node1服務(wù)器 192.168.13.129 （Elasticsearch，Kibana）
Node2服務(wù)器 192.168.13.130 （Elasticsearch）

1，在node1，node2上安裝elasticsearch

[root@node1 ~]# vim /etc/hosts  ##配置解析名
192.168.13.129 node1
192.168.13.130 node2
[root@node1 ~]# java -version  ##查看是否支持Java
[root@node1 ~]# mount.cifs //192.168.100.3/LNMP-C7 /mnt/
Password for root@//192.168.100.3/LNMP-C7:  
[root@node1 mnt]# cd /mnt/elk/
[root@node1 elk]# rpm -ivh elasticsearch-5.5.0.rpm   ##安裝
[root@node1 elk]# systemctl daemon-reload  ##重載守護(hù)進(jìn)程
[root@node1 elk]# systemctl enable elasticsearch.service   ##開機(jī)自啟
[root@node1 elk]# cd /etc/elasticsearch/
[root@node1 elasticsearch]# cp elasticsearch.yml elasticsearch.yml.bak  ##備份
[root@node1 elasticsearch]# vim elasticsearch.yml  ##修改配置文件
cluster.name: my-elk-cluster  ##集群名
node.name: node1    ##節(jié)點(diǎn)名，第二個(gè)節(jié)點(diǎn)為node2
path.data: /data/elk_data   ##數(shù)據(jù)存放位置
path.logs: /var/log/elasticsearch/  ##日志存放位置
bootstrap.memory_lock: false  ##不在啟動(dòng)時(shí)鎖定內(nèi)存
network.host: 0.0.0.0   ##提供服務(wù)綁定的IP地址，為所有地址
http.port: 9200  ##端口號(hào)為9200
discovery.zen.ping.unicast.hosts: ["node1", "node2"]  ##集群發(fā)現(xiàn)通過單播實(shí)現(xiàn)
[root@node1 elasticsearch]# mkdir -p /data/elk_data   ##創(chuàng)建數(shù)據(jù)存放點(diǎn)
[root@node1 elasticsearch]# chown elasticsearch.elasticsearch /data/elk_data/  ##給權(quán)限
[root@node1 elasticsearch]# systemctl start elasticsearch.service   ##開啟服務(wù)
[root@node1 elasticsearch]# netstat -ntap | grep 9200  ##查看開啟情況
tcp6     0    0 :::9200        :::*          LISTEN      2166/java

2，在瀏覽器上檢查健康和狀態(tài)

3，在node1，node2上安裝node組件依賴包

[root@node1 elasticsearch]# yum install gcc gcc-c++ make -y  ##安裝編譯工具
[root@node1 elasticsearch]# cd /mnt/elk/
[root@node1 elk]# tar zxvf node-v8.2.1.tar.gz -C /opt/  ##解壓插件
[root@node1 elk]# cd /opt/node-v8.2.1/
[root@node1 node-v8.2.1]# ./configure   ##配置
[root@node1 node-v8.2.1]# make && make install   ##編譯安裝

4，在node1，node2上安裝phantomjs前端框架

[root@node1 elk]# tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
##解壓到/usr/local/src下
[root@node1 elk]# cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin/
[root@node1 bin]# cp phantomjs /usr/local/bin/   ##編譯系統(tǒng)識(shí)別

5，在node1，node2上安裝elasticsearch-head數(shù)據(jù)可視化

[root@node1 bin]# cd /mnt/elk/
[root@node1 elk]# tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/  ##解壓
[root@node1 elk]# cd /usr/local/src/elasticsearch-head/
[root@node1 elasticsearch-head]# npm install  ##安裝

6，修改配置文件

[root@node1 elasticsearch-head]# vim /etc/elasticsearch/elasticsearch.yml
##末行加入
http.cors.enabled: true  ##開啟跨域訪問支持，默認(rèn)為false
http.cors.allow-origin: "*"    ##跨域訪問允許的域名地址
[root@node1 elasticsearch-head]# systemctl restart elasticsearch.service  ##重啟
[root@node1 elasticsearch-head]# cd /usr/local/src/elasticsearch-head/
[root@node1 elasticsearch-head]# npm run start &   ##后臺(tái)運(yùn)行數(shù)據(jù)可視化服務(wù)
[1] 82515
[root@node1 elasticsearch-head]# netstat -ntap | grep 9100
tcp        0      0 0.0.0.0:9100    0.0.0.0:*      LISTEN      82525/grunt  
[root@node1 elasticsearch-head]# netstat -ntap | grep 9200
tcp6       0    0 :::9200              :::*        LISTEN      82981/java

7，在瀏覽器上查看健康值狀態(tài)

8，在node1上創(chuàng)建索引

[root@node2 ~]# curl -XPUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'
##創(chuàng)建索引信息

9，在Apache服務(wù)器上安裝logstash，多elasticsearch進(jìn)行對(duì)接

[root@apache ~]# yum install httpd -y   ##安裝服務(wù)
[root@apache ~]# systemctl start httpd.service   ##啟動(dòng)服務(wù)
[root@apache ~]# java -version
[root@apache ~]# mount.cifs //192.168.100.3/LNMP-C7 /mnt/   ##掛載
Password for root@//192.168.100.3/LNMP-C7:
[root@apache ~]# cd /mnt/elk/
[root@apache elk]# rpm -ivh logstash-5.5.1.rpm   ##安裝logstash
[root@apache elk]# systemctl start logstash.service 
[root@apache elk]# systemctl enable logstash.service   ##自啟
[root@apache elk]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/  ##便于系統(tǒng)識(shí)別
[root@apache elk]# logstash -e 'input { stdin{} } output { stdout{} }'  ##標(biāo)準(zhǔn)輸入輸出
The stdin plugin is now waiting for input:
16:58:11.145 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com   ##輸入
2019-12-19T08:58:35.707Z apache www.baidu.com
www.sina.com.cn  ##輸入
2019-12-19T08:58:42.092Z apache www.sina.com.cn
[root@apache elk]# logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
##使用rubydebug顯示詳細(xì)輸出，codec為一種編解碼器
The stdin plugin is now waiting for input:
17:03:08.226 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com   ##格式化的處理
{
        "@timestamp" => 2019-12-19T09:03:13.267Z,
            "@version" => "1",
                    "host" => "apache",
             "message" => "www.baidu.com"
}
[root@apache elk]# logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.13.129:9200"] } }'
##使用logstach將信息寫入elasticsearch中
The stdin plugin is now waiting for input:
17:06:46.846 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}
www.baidu.com     ##輸入信息
www.sina.com.cn

10，用瀏覽器查看信息

##在數(shù)據(jù)瀏覽中可以查看信息

11，將系統(tǒng)日志文件輸出到elasticsearch

[root@apache elk]# chmod o+r /var/log/messages   ##給其他用戶讀權(quán)限
[root@apache elk]# vim /etc/logstash/conf.d/system.conf  ##創(chuàng)建文件
input {
                file{
                path => "/var/log/messages"   ##輸出目錄
                type => "system"
                start_position => "beginning"
                }
}
output {
                elasticsearch {
                #輸入地址指向node1節(jié)點(diǎn)
                hosts => ["192.168.13.129:9200"]
                index => "system-%{+YYYY.MM.dd}"
                }
}
[root@apache elk]# systemctl restart logstash.service  ##重啟服務(wù)
##也可以用數(shù)據(jù)瀏覽查看詳細(xì)信息

12，在node1服務(wù)器上安裝kibana數(shù)據(jù)可視化

[root@node1 ~]# cd /mnt/elk/
[root@node1 elk]# rpm -ivh kibana-5.5.1-x86_64.rpm   ##安裝
[root@node1 elk]# cd /etc/kibana/
[root@node1 kibana]# cp kibana.yml kibana.yml.bak  ##備份
[root@node1 kibana]# vim kibana.yml   ##修改配置文件
server.port: 5601  ##端口號(hào)
server.host: "0.0.0.0"   ##監(jiān)聽任意網(wǎng)段
elasticsearch.url: "http://192.168.13.129:9200"  ##本機(jī)節(jié)點(diǎn)地址
kibana.index: ".kibana"   ##索引名稱
[root@node1 kibana]# systemctl start kibana.service   ##開啟服務(wù)
[root@node1 kibana]# systemctl enable kibana.service

13，瀏覽器訪問kibana

14，在apache服務(wù)器中對(duì)接apache日志文件，進(jìn)行統(tǒng)計(jì)

[root@apache elk]# vim /etc/logstash/conf.d/apache_log.conf  ##創(chuàng)建配置文件
input {
                file{
                path => "/etc/httpd/logs/access_log"   ##輸入信息
                type => "access"
                start_position => "beginning"
                }
                file{
                path => "/etc/httpd/logs/error_log"
                type => "error"
                start_position => "beginning"
                }
}
output {
                if [type] == "access" {     ##根據(jù)條件判斷輸出信息
                elasticsearch {
                hosts => ["192.168.13.129:9200"]
                index => "apache_access-%{+YYYY.MM.dd}"
                }
        }   
                if [type] == "error" {
                elasticsearch {
                hosts => ["192.168.13.129:9200"]
                index => "apache_error-%{+YYYY.MM.dd}"
                }
        }
}
[root@apache elk]# logstash -f /etc/logstash/conf.d/apache_log.conf  
##根據(jù)配置文件配置logstach

15，訪問網(wǎng)頁信息，查看kibana統(tǒng)計(jì)情況

##選擇management>Index Patterns>create index patterns
##創(chuàng)建apache兩個(gè)日志的信息

---

謝謝閱讀！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站題目：ELK日志分析系統(tǒng)——(實(shí)戰(zhàn)！)-創(chuàng)新互聯(lián)
URL分享：http://jinyejixie.com/article20/coisjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、定制開發(fā)、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)、品牌網(wǎng)站制作、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)