美文网首页
Linux学习elk日志收集工具

Linux学习elk日志收集工具

作者: 亮仔_c1b5 | 来源:发表于2020-03-22 20:19 被阅读0次

    elk日志收集工具

    1、 日志在工作当中的重要性

    1、分析日志监控系统运行的状况
    2、分析日志帮助开发人员定位bug
    3、分析web服务的日志,监控网站访问的情况
    4、分析数据库的日志,知道那些查询语句是慢查询语句
    。。。。。
    

    2、使用数据库在搜索查询

    1、通过全表扫描,用时间很比较长,查询的效率不高
    

    3、日志收集工具有那几种

    1、日志易,是一款收费软件
    2、splunk国外的一款收费软件
    3、elk工具,免费的工具,也有些功能是收费(监控功能,日志审计)
    

    4、elk的简单介绍

    1、elk组合的工具elasticsearch  、logstash(日志收集filebeat)、kibana
       elasticsearch:是一款数据库软件(非关系型的数据库)
       logstaash:收集日志的工具
       kibana:对收集后的日志展示的作用
    

    5、elasticsearch的特点及搜索的原理、及应用的场景

    1、es特点:
       数据的存储、数据的分析、数据的搜索
       高性能:水平扩展方便,可以支持一主多从
       高可用:把数据分片的方式,分布存储到集群中的每台节点上面(平均)
       es功能丰富,配置简单
       采用restful风格的接口,可以通过http发起请求
    2、es实现的原理
       es是在lucene的基础之上,做了二次开发
       es采用的是倒排索引
    3、应用的场景
       电商平台(搜索功能)
       高亮显示(github)
       日志分析和数据挖掘(elk)
    

    6、如何部署es(elasticsearch)

    6.1、es的部署方法

    1、tar包的方式:安装后的文件比较集中,便于管理。手写启动脚本
    2、rpm包的方式:安装比较简单,安装后的文件路径比较分散
    3、docker的方式:下载镜像,通过run命令的方式来启动一个容器
    

    6.2、安装jdk流程

    #安装jdk环境
    mkdir /opt/es-software
    #安装jdk包
    rpm -ivh jdk-8u102-linux-x64.rpm
    #检查安装jdk信息
    java -version
    

    6.3、安装elasticserch包

    #进入安装目录(通过清华源下载安装包)
    cd /opt/es-software
    #安装
    rpm -ivh elasticsearch-6.6.0.rpm
    #介绍es相关的配置文件信息
    /etc/elasticsearch/elasticsearch.yml#es的主要配置文件
    /etc/elasticsearch/jvm.options#调整java虚拟机的配置文件
    /etc/init.d/elasticsearch#启动的脚本文件
    /etc/sysconfig/elasticsearch#配置关于es的相关环境变量
    /usr/lib/sysctl.d/elasticsearch.conf#配置关于es的相关系统的变量
    /usr/lib/systemd/system/elasticsearch.service
    

    6.4、修改es的主要配置文件

    vim /etc/elasticsearch/elasticsearch.yml
    [root@es01 es-software]# egrep -v '^$|#' /etc/elasticsearch/elasticsearch.yml 
    node.name: oldboy01
    path.data: /var/lib/elasticsearch
    path.logs: /var/log/elasticsearch
    bootstrap.memory_lock: true
    network.host: 10.0.0.240
    http.port: 9200
    #修改关于java虚拟机的内存配置文件
    -Xms512m
    -Xmx512m
    #启动es服务
    systemctl start elasticsearch
    
    

    6.5、处理报错问题

    [2020-03-23T13:23:39,222][ERROR][o.e.b.Bootstrap          ] [oldboy01] node validation exception
    [1] bootstrap checks failed
    [1]: memory locking requested for elasticsearch process but memory is not locked
    #解决方法,可参考官方文档
    https://www.elastic.co/guide/en/elasticsearch/reference/6.6/setting-system-settings.html#sysconfig
    #添加一个配置文件
    systemctl edit elasticsearch
    [Service]
    LimitMEMLOCK=infinity
    #重新载入
    systemctl deamon-reload
    #重新启动es服务
    systemctl restart elasticsearch
    

    6.6、确认es服务正常启动

    1、curl http://10.0.0.240:9200
    
    image.png

    7、如何往es数据库写入数据

    7.1、熟悉几个概念

    1、索引:相当于MySQL的一个数据库
    2、类型:相当于一个数据库中的一张表
    3、docs:相当于表当中的每行的数据
    

    7.2、通过命令行的方式往es数据库中写入数据

    #创建一个索引
    curl -XPUT http://10.0.0.240:9200/oldboy?pretty
    #往索引里面写入一条数据
    curl -XPUT '10.0.0.240:9200/oldboy/student/1?pretty' -H 'Content-Type: application/json' -d'
    {
        "first_name" : "zhang",
        "last_name": "san",
        "age" : 28,
        "about" : "I love to go rock climbing", 
        "interests": [ "sports" ]
    }'
    #写入第二条数据
    curl -XPUT  '10.0.0.240:9200/oldboy/student/2?pretty' -H 'Content-Type: application/json' -d' {
    "first_name": "li",
    "last_name" : "si",
    "age" : 32,
    "about" : "I like to collect rock albums", 
    "interests": [ "music" ]
    }'
    #不指定id写入数据
    curl -XPOST  '10.0.0.240:9200/oldboy/student/?pretty' -H 'Content-Type: application/json' -d' {
    "first_name": "li", 
    "last_name" : "mingming",
    "age" : 45,
    "about": "I like to swime", 
    "interests": [ "reading" ]
    }'
    #使用命令查询数据
    curl -XGET  '10.0.0.240:9200/oldboy/student/1?pretty'
    #查询oldboy索引下面所有的数据
    curl -XGET  '10.0.0.240:9200/oldboy/_search/?pretty'
    #删除一条数据
    curl -XDELETE  '10.0.0.240:9200/oldboy/student/1?pretty'
    #
    

    7.3、使用head插件的方式来和es交互

    #添加epel
    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
    #安装nodejs npm openssl screen 
    yum install nodejs npm openssl screen -y#配置nodejs环境
    node -v
    npm -v
    #把npm转为cnpm为了使用淘宝源
    npm install -g cnpm --registry=https://registry.npm.taobao.org 
    #克隆head插件的代码
    git clone git://github.com/mobz/elasticsearch-head.git
    cd elasticsearch-head
    cnpm install   #版本不对出错了,接着下面搞
    
    yum remove -y nodejs
    cd /opt/es-software/
    tar xf node-v12.13.0-linux-x64.tar.xz -C /opt
    ln -s /opt/node-v12.13.0-linux-x64/ /opt/node
    vim /etc/profile
    export PATH=/opt/node/bin:$PATH
    . /etc/profile
    node -v
    cd elasticsearch-head/
    cnpm install
    
    screen -S es-head
    cnpm run start
    #使用nodejs的方式来部署head插件有个问题要解决
    vim /etc/elasticsearch/elasticsearch.yml(在配置文件的最下方)
    http.cors.enabled: true
    http.cors.allow-origin: "*"
    #重启es服务
    systemctl restart elasticsearch
    
    image.png

    8、使用kibana来和es交互

    8.1、安装kibana流程

    #上传安装包
    cd /opt/es-software
    #安装
    rpm -ivh kibana-6.6.0-x86_64.rpm 
    #修改kibana配置文件
    vim /etc/kibana/kibana.yml
    server.port: 5601
    server.host: "10.0.0.240"
    elasticsearch.hosts: ["http://10.0.0.240:9200"]
    kibana.index: ".kibana"
    #启动kibana服务
    systemctl start kibana
    
    image.png

    8.2、在kibana界面通过命令和es交互

    #创建索引
    PUT oldboy
    #写入一条数据
    PUT oldboy/student/1
    {
      "name": "zhang san",
      "age": "29",
      "xuehao": 1
    }
    #插入第二条数据
    PUT oldboy/student/2
    {
      "name": "wang wu",
      "age": "20",
      "xuehao": 2
    }
    #插入第三条数据
    PUT oldboy/student/3
    {
      "name": "li si",
      "age": "24",
      "xuehao": 3
    }
    #插入第四条数据
    #使用随机ID
    POST oldboy/student/
    {
      "name": "oldboy",
      "age": "19",
     "xuehao": 5
    }
    #在原有数据的基础上更新
    POST oldboy/student/2
    {
      "name": "wang wu",
      "age": "30",
      "xuehao": 2,
      "addr": "beijin"
    }
    #查询数据
    GET oldboy/student/1
    GET oldboy/_search
    #删除符合条件的数据
    POST oldboy/_delete_by_query
    {
      "query" : {
        "match":{
          "age":"29"
        }
      }
    }
    #删除数据
    DELETE oldboy/student/1
    #删除指定索引所有的数据
    DELETE oldboy
    
    #修改分片的数量
    PUT _template/template_http_request_record 
    {
     "index_patterns": ["*"],
     "settings": {
             "number_of_shards" : 3,
             "number_of_replicas" : 1
         }
     }
     
    #指定索引修改副本的数量 
    PUT /oldboy/_settings
    {
        "number_of_replicas": 2
    }
    

    备注:索引一旦被创建,就不能修改分片的数量,但是可以修改副本的数量

    9、如何部署es集群(安装方法和单点一样)

    9.1、修改es的主配置文件

    #修改es01的配置信息
    vim /etc/elasticsearch/elasticsearch.yml
    [root@es01 es-software]# grep -vE '^$|#' /etc/elasticsearch/elasticsearch.yml
    cluster.name: oldboy-cluster
    node.name: oldboy01
    path.data: /var/lib/elasticsearch
    path.logs: /var/log/elasticsearch
    bootstrap.memory_lock: true
    network.host: 10.0.0.240
    http.port: 9200
    discovery.zen.ping.unicast.hosts: ["10.0.0.240", "10.0.0.241"]
    discovery.zen.minimum_master_nodes: 2
    http.cors.enabled: true
    http.cors.allow-origin: "*"
    
    #修改es02的配置信息
    [root@es02 es-software]# egrep -v '^$|#' /etc/elasticsearch/elasticsearch.yml
    cluster.name: oldboy-cluster
    node.name: oldboy02
    path.data: /var/lib/elasticsearch
    path.logs: /var/log/elasticsearch
    bootstrap.memory_lock: true
    network.host: 10.0.0.241
    http.port: 9200
    discovery.zen.ping.unicast.hosts: ["10.0.0.241", "10.0.0.242"]
    discovery.zen.minimum_master_nodes: 2
    
    #修改es03的配置信息
    [root@es03 es-software]#  egrep -v '^$|#' /etc/elasticsearch/elasticsearch.yml
    cluster.name: oldboy-cluster
    node.name: oldboy03
    path.data: /var/lib/elasticsearch
    path.logs: /var/log/elasticsearch
    bootstrap.memory_lock: true
    network.host: 10.0.0.242
    http.port: 9200
    discovery.zen.ping.unicast.hosts: ["10.0.0.240", "10.0.0.242"]
    discovery.zen.minimum_master_nodes: 2
    
    #在每台服务上重启es服务
    systemctl restart elasticsearch
    

    9.2、在head界面检查集群是否正常运行

    image.png

    9.4、分片和副本的作用

    1、主分片:凡是粗框的都是主分片,响应来至于修改索引数据的请求,响应来至于查询数据的请求
    2、副本分片:就是主分片的备份,主要是响应查询数据的请求
    3、分片的作用:就是把索引给几块,分布存储到集群当中每台机器上面
    

    9.5、有3台的集群最多可以宕几台机器

    1、第一种:
       前提是一个副本,然后一台一台的宕机,最多可宕机2台(手动的修改配置文件)
    2、第二种
       前提还是一个副本,但是同时宕机2台机器,数据也会丢失
    3、第三种
       前提是有2个副本,最多也是可以宕机2台,并且是同进宕机
    

    9.6、针对集群相关名词介绍

    1、分片、副本分片
    2、集群健康值
    3、主节点和从节点
    4、索引
    
    image.png

    9.7、部署elasticdump工具流程

    官网地址:
    https://github.com/taskrabbit/elasticsearch-dump
    1、安装nodejs环境
    cd /opt/es-software
    tar xf node-v12.13.0-linux-x64.tar.xz -C /opt
    2、做软件链接
    ln -s /opt/node-v12.13.0-linux-x64 /opt/node
    3、添加环境变量
    vim /etc/profile
    export PATH=/opt/node/bin:$PATH
    4、把加入的环境变量生效
    source /etc/profile
    5、检查nodejs环境是否生效
    node -v
    [root@es01 opt]# node -v
    v12.13.0
    6、把npm转换成cnpm使用淘宝镜像源
    npm install -g cnpm --registry=https://registry.npm.taobao.org
    7、安装elasticdump工具
    cnpm  install elasticdump -g
    
    

    9.8、备份比较重要的索引信息

    1、指定索引备份,存储在统一目录下面
    mkdir /data
    elasticdump \
      --input=http://10.0.0.240:9200/oldboy \
      --output=/data/oldboy.json \
      --type=data
    也可把索引备份成为一个压缩文件
    
    2、测试恢复数据
    elasticdump \
    --input=/data/oldboy.json \
    --output=http://10.0.0.240:9200/oldboy
    

    备注:索引一旦创建成功分片的数量无法修改,副本的数量是可以修改的

    修改虚拟机的内存的时候,最大不能超32G(可以一次增加8G,也可一次性32G)

    9.9、如何监控集群的运行状态

    #使用查看当前集群运行的情况
    curl '10.0.0.240:9200/_cluster/health?pretty'
    {
      "cluster_name" : "oldboy-cluster",
      "status" : "green",
      "timed_out" : false,
      "number_of_nodes" : 3,
      "number_of_data_nodes" : 3,
      "active_primary_shards" : 15,
      "active_shards" : 35,
      "relocating_shards" : 0,
      "initializing_shards" : 0,
      "unassigned_shards" : 0,
      "delayed_unassigned_shards" : 0,
      "number_of_pending_tasks" : 0,
      "number_of_in_flight_fetch" : 0,
      "task_max_waiting_in_queue_millis" : 0,
      "active_shards_percent_as_number" : 100.0
    }
    #当发现node节点的数量和集群的数量不一致或者集群健康值不是green时,都发报警
    

    10、中文分词器

    10.1、中文分词的作用

    1、为了让中文相关的词语做合理的划分,
    2、把一些人为的不是词语的词当成一个完整的词语,比如‘老男孩’
    
    

    10.2、如何安装中文分词器(集群中每台服务器都要安装)

    #上传中文分词的软件包
    cd /opt/es-software
    #进入到/usr/share/elasticsearch
    ./bin/elasticsearch-plugin install file:///opt/es-software/elasticsearch-analysis-ik-6.6.0.zip
    #重启es服务
    systemctl restart elasticsearch
    #在没有应用中文分词模板之前,之前写入的数据没有按中文的要求来划分词语
    #应用中文分词器的模板(首先要索引创建)
    PUT new
    curl -XPOST http://10.0.0.240:9200/new/text/_mapping -H 'Content-Type:application/json' -d'
    {
            "properties": {
                "content": {
                    "type": "text",
                    "analyzer": "ik_max_word",
                    "search_analyzer": "ik_smart"
                }
            }
    }'
    #往new索引里面写入几条数据
    POST /new/text/1
    {"content":"美国留给伊拉克的是个烂摊子吗"}
    
    POST /new/text/2
    {"content":"公安部:各地校车将享最高路权"}
    
    POST /new/text/3
    {"content":"中韩渔警冲突调查:韩警平均每天扣1艘中国渔船"}
    
    POST /new/text/4
    {"content":"中国驻洛杉矶领事馆遭亚裔男子枪击 嫌犯已自首"}
    #通过查询检查词语是否划分成功
    POST /new/_search
    {
        "query" : { "match" : { "content" : "中国" }},
        "highlight" : {
            "pre_tags" : ["<tag1>", "<tag2>"],
            "post_tags" : ["</tag1>", "</tag2>"],
            "fields" : {
                "content" : {}
            }
        }
    }
    
    

    10.3、中文分词器自带的词语无法满足工作需要,如何额外添加自定义的词语

    #动态加载扩展的词典依据,当ETag和Last-Modified期中任何一个字段的值发生改变,就会加载扩展词典(F12)
    ETag: "5e81b60f-1e"
    Last-Modified: Mon, 30 Mar 2020 09:04:15 GMT
    1、可以手动修改中文分词自带的词典,加入我们需要的词语,重启es服务
    cd /etc/elasitcsearch/analysis-ik
    vim main.dic
    加入‘老男孩’
    2、动态加载扩展的词典
    #安装nginx服务
    yum install nginx -y
    #添加一个虚拟主机
    cd /etc/nginx/conf.d
    vim www.conf
    server {
        listen 80;
        server_name elk.oldboy.com;
        location / {
            root /usr/share/nginx/html/download;
            charset utf-8,gbk;
            autoindex on;
            autoindex_localtime on;
            autoindex_exact_size off;
          }
        }
    #检查nginx是否有语法错误
    nginx -t
    #创建download目录及扩展词典文件(把扩展的词语添加到dic.txt文件中)
    mkdir /usr/share/nginx/html/download
    touch /usr/share/nginx/html/download/dic.txt
    #启动nginx服务
    systemctl start nginx
    #本地解析域名(在windows主机上做解析)
    C:\Windows\System32\drivers\etc\hosts
    10.0.0.240 elk.oldboy.com
    #修改中文分词器的配置文件(集群中每台服务都要修改)
    cd /etc/elasticsearch/analysis-ik/
    vim IKAnalyzer.cfg.xml
    <entry key="remote_ext_dict">http://10.0.0.240/download/dic.txt</entry>
    #重启es服务
    systemctl restart elasticsearch
    #在kibana界面通过新添加信息,检查分词是否成功
    
    image.png

    11、使用filebeat来收集nginx日志

    1、查询今天上午10点前访问公司站点,排名前10的ip信息(在5分钟内给我信息)
    2、统计一下10点之前访问排名前10的url
    3、把昨天上午10点前访问的ip信息和今天10点前访问的ip对比一下,看看有那些异常(分析是否有爬虫的ip)
    4、用户访问公司的站点,响应时间有没有超过1s
    

    11.1、部署filebeat软件

    #上传filebeat软件包
    cd /opt/es-software
    #安装filebeat
    rpm -ivh filebeat-6.6.0-x86_64.rpm
    #修改filebeat的主配置文件
    cd /etc/filebeat
    mv filebeat.yml filebeat.yml.bak
    vim filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"]
    #启动filebeat服务
    systemctl start filebeat
    ps -ef |grep filebeat
    #产生nginx的访问日志
    #到head插件界面检查日志是否收集成功
    
    
    image.png

    11.2、针对filebeat索引优化

    参考官方文档
    https://www.elastic.co/guide/en/beats/filebeat/6.6/configuration-template.html
    #修改filebeat的主配置文件
    vim /etc/filebeat/filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"]
      index: "nginx-access-%{[beat.version]}-%{+yyyy.MM.dd}"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    #重启filebeat服务
    systemctl restart filebeat
    #产生nginx新的访问日志
    #head界面检查日志是否收集成功
    
    
    image.png

    11.3、把收集上来的日志通过kibana来展示

    1、在kibana界面-->management-->index patterns
    
    image.png image.png image.png image.png

    11.4、使用filebeat收集nginx的json日志

    1、修改nginx的日志格式
    vim /etc/nginx/nginx/conf
    log_format json '{ "time_local": "$time_local", '
                              '"remote_addr": "$remote_addr", '
                              '"referer": "$http_referer", '
                              '"request": "$request", '
                              '"status": $status, '
                              '"bytes": $body_bytes_sent, '
                              '"agent": "$http_user_agent", '
                              '"x_forwarded": "$http_x_forwarded_for", '
                              '"up_addr": "$upstream_addr",'
                              '"up_host": "$upstream_http_host",'
                              '"upstream_time": "$upstream_response_time",'
                              '"request_time": "$request_time"'
        ' }';
         access_log  /var/log/nginx/access.log  json;
    #检查nginx语法
    nginx -t
    #重启nginx服务
    systemctl restart nginx
    #把之前的老日志清空
    cat /dev/null >/var/log/nginx/access.log
    #再产生一些新的访问日志并验证日志是不为json格式
    https://www.sojson.com/
    #修改filebeat的配置文件(正常情况filebeat无法解析json格式的日志)
    vim /etc/filebeat/filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"] 
      index: "nginx-access-%{[beat.version]}-%{+yyyy.MM.dd}"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    #重启filebeat的服务
    systemctl restart filebeat
    #在head界面检查日志是否正常收集
    
    
    image.png

    11.5、在kibana界面展示收集的json格式的日志

    image.png image.png image.png

    12、优化filebeat生成的索引格式

    1、优化索引的日期格式
    vim /etc/filebeat/filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"]
      index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    2、重启filebeat服务
    systemctl  restart filebeat
    3、在head界面验证是否生效,重新生成新的日志
    
    
    image.png

    13、filebeat收集多种日志,如何生成不同的索引名称

    1、修改filebeat的配置文件
    vim /etc/filebeat/filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"] 
      indices:
        - index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/access.log"
        - index: "nginx-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/error.log"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    2、重启filebeat服务
    systemctl restart filebeat
    3、重新生成新的日志,把head界面之前的老索引删除
    4、在head界面验证是否生效
    5、在kibana界面添加新的index-patterns,展示日志信息
    
    image.png image.png

    14、使用filebeat收集tomcat的日志

    14.1、安装tomcat服务

    1、部署tomcat的服务,上传需要安装的软件包
    cd /opt/es-software
    2、安装jdk和tomcat
    rpm -ivh jdk-8u102-linux-x64.rpm
    java -version
    tar xf apache-tomcat-8.5.49.tar.gz -C /opt
    ln -s /opt/apache-tomcat-8.5.49/ /opt/tomcat
    3、启动tomcat服务
    cd /opt/tomcat/bin
    ./startup.sh
    4、在访问tomcat web界面后,会产生一些日志,但是这些日志不便于分析,需要修改tomcat的日志格式为json(替换原来的pattern)
    vim /opt/tomcat/conf/server.xml
    pattern="{&quot;clientip&quot;:&quot;%h&quot;,&quot;ClientUser&quot;:&quot;%l&quot;,&quot;authenticated&quot;:&quot;%u&quot;,&quot;AccessTime&quot;:&quot;%t&quot;,&quot;method&quot;:&quot;%r&quot;,&quot;status&quot;:&quot;%s&quot;,&quot;SendBytes&quot;:&quot;%b&quot;,&quot;Query?string&quot;:&quot;%q&quot;,&quot;partner&quot;:&quot;%{Referer}i&quot;,&quot;AgentVersion&quot;:&quot;%{User-Agent}i&quot;}"/>
    5、重启tomcat服务
    cd /opt/tomcat/bin
    ./shutdown.sh
    ./startup.sh
    6、把之前的老日志清空
    cat /dev/null > /opt/tomcat/logs/localhost_access_log.2020-04-13.txt
    cat /opt/tomcat/logs/localhost_access_log.2020-04-13.txt
    7、大浏览器页面访问tomcat服务,重新生成新的日志
    8、校验日志格式是否为真的json格式
    https://www.sojson.com/
    
    image.png

    14.2、使用filebeat收集tomcat日志

    1、修改filebeat的配置文件
    vim /etc/filebeat/filebeat.yml
    
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
      
    - type: log
      enabled: true
      paths:
        - /opt/tomcat/logs/localhost_access_log.*.txt
      json.keys_under_root: true
      json.overwrite_keys: true
      tags: ["tomcat"]
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"] 
      indices:
        - index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/access.log"
        - index: "nginx-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/error.log"
        - index: "tomcat-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            tags: "tomcat"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    2、重启filebeat服务
    systemctl restart filebeat
    3、在head界面验证索引是否生成
    4、在kibana界面添加index-patterns,展示日志信息
    
    image.png image.png image.png

    15、使用filebeat来收集java的日志

    15.1、安装java程序

    1、上传es安装包,并安装(依赖java环境)
    cd /opt/es-software
    rpm -ivh elasticsearch-6.6.0.rpm
    2、修改es的配置文件,人为的制造一些错误
    ttttnode.name: node-1
    3、启动es服务
    systemctl start elasticsearch
    4、发现es已经有报错的日志生成
    5、查询官网文档,解决如何收集多行报错的日志信息
    https://www.elastic.co/guide/en/beats/filebeat/6.6/multiline-examples.html
    
    
    

    15.2、修改filebeat配置文件

    vim /etc/filebeat/filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
      
    - type: log
      enabled: true
      paths:
        - /opt/tomcat/logs/localhost_access_log.*.txt
      json.keys_under_root: true
      json.overwrite_keys: true
      tags: ["tomcat"]
    - type: log
      enabled: true
      paths:
        - /var/log/elasticsearch/elasticsearch.log
      multiline.pattern: '^\['
      multiline.negate: true
      multiline.match: after
      tags: ["java"]
    output.elasticsearch:
      hosts: ["10.0.0.240:9200"] 
      indices:
        - index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/access.log"
        - index: "nginx-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/error.log"
        - index: "tomcat-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            tags: "tomcat"
        - index: "java-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            tags: "java"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    
    2、重启filebeat服务
    systemctl restart filebeat
    3、在head界面验证索引是否生成
    4、在kibana界面添加index-patterns,展示收集的日志信息
    
    image.png image.png

    16、使用filebeat的模块功能收集mysql慢日志

    16.1、安装数据库服务

    1、安装包文件
    yum install mariadb-server -y
    2、初始化数据库
    mysql_secure_installation
    初始化数据库
    mysql_secure_installation
    输入root用户当前密码
    设置root密码:n
    移除匿名用户:y
    移除test库及相关访问权限:y
    禁止root用户远程登陆:y
    重新载入权限表:y
    3、检查慢日志功能是否开启(首先要登陆mysql服务器)
     show variables like '%slow_query_log%';
     MariaDB [(none)]> show variables like '%slow_query_log%';
    +---------------------+----------------+
    | Variable_name       | Value          |
    +---------------------+----------------+
    | slow_query_log      | OFF            |
    | slow_query_log_file | web01-slow.log |
    +---------------------+----------------+
    4、开启慢日志功能,修改mysql配置文件
    vim  /etc/my.cnf
    
    [mysqld]
    datadir=/var/lib/mysql
    socket=/var/lib/mysql/mysql.sock
    slow_query_log=ON
    slow_query_log_file=/var/log/mariadb/slow.log
    long_query_time=1
    5、保存文件,并重启mysql服务
     systemctl restart mariadb
    6、人为的产生慢日志
    mysqq
    select sleep(2) user,host from mysql.user;
    
    

    16.2、开启mysql模块

    1、修改文件名的方式来开启模块
    cd /etc/filebeat/modules.d
    mv mysql.yml.disabled mysql.yml
    2、使用命令方法开启模块
    filebeat modules enable mysql
    3、查询模块是否开启成功
    filebeat modules list
    

    16.3、修改模块配置文件

    1、配置mysql模块相关信息
    vim /etc/filebeat/modules.d/mysql.yml
    
    - module: mysql
      
      error:
        enabled: true
        var.paths: ["/var/log/mariadb/mariadb.log"]
      slowlog:
        enabled: true
        var.paths: ["/var/log/mariadb/slow.log"]
    

    16.4、修改filebeat的主配置文件

    1、修改filebeat的主配置文件
    vim /etc/filebeat/filebeat.yml
    
    output.elasticsearch:
      hosts: ["10.0.0.240:9200","10.0.0.241:9200","10.0.0.242:9200"]
      indices:
        - index: "mariadb-error%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/mariadb/mariadb.log"
        - index: "mariadb-slow-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/mariadb/slow.log"
    setup.template.name: "mariadb"
    setup.template.pattern: "mariadb-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    filebeat.config.modules:
      path: ${path.config}/modules.d/*.yml
      reload.enabled: true
      reload.period: 10s
    2、重启filebeat服务
    systemctl restart filebeat
    3、验证对应的索引信息是否生成
    4、在kibana界面添加index-patterns,展示日志信息
    
    image.png image.png image.png

    17、使用kibana画图分析日志信息

    1、上传老日志文件,并解压
    cd /opt/es-software
    tar xf access.tar.gz
    2、添加老日志到nginx的访问日志里
    cat /opt/es-software/access.log >> /var/log/nginx/access.log
    3、关闭mysql模块功能
    filebeat modules disable mysql
    4、修改filebeat的配置文件
    vim filebeat.yml
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
      
    - type: log
      enabled: true
      paths:
        - /opt/tomcat/logs/localhost_access_log.*.txt
      json.keys_under_root: true
      json.overwrite_keys: true
      tags: ["tomcat"]
    - type: log
      enabled: true
      paths:
        - /var/log/elasticsearch/elasticsearch.log
      multiline.pattern: '^\['
      multiline.negate: true
      multiline.match: after
      tags: ["java"]
    output.elasticsearch:
      hosts: ["10.0.0.240:9200","10.0.0.241:9200","10.0.0.242:9200"] 
      indices:
        - index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/access.log"
        - index: "nginx-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/error.log"
        - index: "tomcat-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            tags: "tomcat"
        - index: "java-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            tags: "java"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    filebeat.config.modules:
      path: ${path.config}/modules.d/*.yml  
      reload.enabled: true          
      reload.period: 10s
    5、重启filebeat服务
    systemctl restart filebeat
    6、在head界面验证日志是否收集成功
    7、在kibana界面添加index-patterns,展示日志已经被解析成功
    
    image.png image.png

    17.1、使用kibana生成一个数据表格图

    排名前10的访问ip信息

    image.png image.png image.png image.png

    排名前10的访问的url信息

    image.png image.png

    创建一个饼状图型

    image.png image.png image.png image.png image.png image.png

    创建一个水平bar

    image.png

    创建一个markdown文件类型的图

    image.png image.png image.png

    创建一个dashboard

    image.png image.png image.png

    18、使用filebeat模块功能收集nginx的普通日志

    18.1、开通nginx的模块功能

    1、使用命令的方式开通
    filebeat modules enable nginx
    #使用最简单的方式
    cd /etc/filebeat/modules.d/
    mv nginx.yml.disabled  nginx.yml
    2、检查是否开启成功
    filebeat modules list
    

    18.2、修改nginx模块的配置文件

    修改nginx模块的配置文件
    vim nginx.yml
    
    - module: nginx
      access:
        enabled: true
        var.paths: ["/var/log/nginx/access.log"]
    
      error:
        enabled: true
        var.paths: ["/var/log/nginx/error.log"]
    

    18.3、把nginx的日志格式还原成普通的日志格式

    1、把之前的老日志清空一下
    cat /dev/null > /var/log/nginx/access.log
    2、修改nginx的主配置文件(日志格式应用为原来的老模板)
    vim /etc/nginx/nginx.conf
    access_log  /var/log/nginx/access.log  main;
    3、检查nginx配置文件是否有误
    nginx -t
    4、重启nginx服务
    systemctl restart nginx
    5、重新产生一些访问日志
    
    

    18.4、修改filebeat的主配置文件

    vim /etc/filebeat/filebeat.yml
    
    output.elasticsearch:
      hosts: ["10.0.0.240:9200","10.0.0.241:9200","10.0.0.242:9200"]
      indices:
        - index: "nginx-access-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/access.log"
        - index: "nginx-error-%{[beat.version]}-%{+yyyy.MM}"
          when.contains:
            source: "/var/log/nginx/error.log"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    filebeat.config.modules:
      path: ${path.config}/modules.d/*.yml
      reload.enabled: true
      reload.period: 10s
    #在head界面,清除之前的老索引信息
    curl -XDELETE http://10.0.0.240:9200/索引名称
    #重启filebeat的服务
    systemctl restart filebeat
    #发现filebeat无法收集nginx的日志
    2020-04-20T12:54:00.848+0800    ERROR   pipeline/output.go:100  Failed to connect to backoff(elasticsearch(http://10.0.0.240:9200)): Connection marked as failed because the onConnect callback failed: Error loading pipeline for fileset nginx/access: This module requires the following Elasticsearch plugins: ingest-user-agent, ingest-geoip. You can install them by running the following commands on all the Elasticsearch nodes:
        sudo bin/elasticsearch-plugin install ingest-user-agent
        sudo bin/elasticsearch-plugin install ingest-geoip
    #解决报错问题(如果集群有多台服务器,每台服务器上面都要安装)
    上传两个插件的安装包
    cd /opt/es-software
    #安装这两个插件
    /usr/share/elasticsearch/bin/elasticsearch-plugin install file:///opt/es-software/ingest-user-agent-6.6.0.zip
    /usr/share/elasticsearch/bin/elasticsearch-plugin install file:///opt/es-software/ingest-geoip-6.6.0.zip
    
    #重启es的服务
    systemctl restart elasticsearch
    #在head插件界面检查索引是否生成
    #kibana界面添加index-patterns,在discover界面展示收集的日志
    
    

    19、使用redis做缓存收集日志

    架构图

    image.png
    因为es集群处理日志会达到一个峰值,当无法处理时,日志被就会被丢弃,造成分析日志就不精确
    

    19.1、部署redis

    1、安装epel源
    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
    2、安装redis
    yum install redis -y
    3、修改redis的配置文件
    vim /etc/redis.conf
    bind 10.0.0.240
    4、启动redis服务
    systemctl start redis
    

    19.2、修改filebeat的配置文件,来收集nginx的json日志

    1、把nginx的日志模板应用为json格式
    vim /etc/nginx/nginx.conf
    access_log  /var/log/nginx/access.log  json;
    2、重启nginx服务
    systemctl restart nginx
    3、清空nginx之前的老日志
    >/var/log/nginx/access.log
    4、生成新的访问日志
    5、修改filebeat主配置文件
    vim /etc/filebeat/filebeat.yml
    
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
      tags: ["access"]
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
      tags: ["error"]
      
    output.redis:
      hosts: ["10.0.0.240"] 
      keys:
        - key: "nginx_access"
          when.contains:
            tags: "access"
        - key: "nginx_error"
          when.contains:
            tags: "error"
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    6、重启filebeat服务
    systemctl restart filebeat
    
    

    19.3、在redis服务上验证日志信息是否收到

    1、登陆redis服务kkd
    redis-cli -h 10.0.0.240
    info
    keys *
    #查看这个键的长度
    llen nginx_access
    #查看这个键对就有那些值
    lrang nginx_access 0 -1
    #0代表开头
    #-1代表结尾
    

    19.4、部署logstash

    1、上传安装包
    cd /opt/es-software
    2、安装logstash
    rpm -ivh logstash-6.6.0.rpm
    3、添加一个配置文件
    cd /etc/logstash/conf.d
    vim redis.conf
    
    input {
      redis {
        host => "10.0.0.240"
        port => "6379"
        db => "0"
        key => "nginx_access"
        data_type => "list"
      }
      redis {
        host => "10.0.0.240"
        port => "6379"
        db => "0"
        key => "nginx_error"
        data_type => "list"
      }
    }
    
    filter {
      mutate {
        convert => ["upstream_time", "float"]
        convert => ["request_time", "float"]
      }
    }
    
    output {
       stdout {}
       if "access" in [tags] {
          elasticsearch {
            hosts => "http://10.0.0.240:9200"
            manage_template => false
            index => "nginx-access-%{+yyyy.MM}"
          }
        }
        if "error" in [tags] {
          elasticsearch {
            hosts => "http://10.0.0.240:9200"
            manage_template => false
            index => "nginx-error-%{+yyyy.MM}"
          }
        }
    }
    #先在前台启动测试
    /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/redis.conf
    #把logstash服务放在后台运行
    systemctl start logstash
    systemctl enable logstash
    #在head界面确认索引是否生成
    #在kibana界面添加index-patterns,展示日志
    
    
    image.png

    20、使用kafka做缓存收集日志

    kafka原理图

    image.png
    1、生产者:产生日志的一方--filebeat
    2、消费者:取日志的一方---logstash
    3、broker:kafka的一个实例化,每一个kafka服务器都会到zookeeper集群注册,由 
       zookeeper来选择一个主节点 --kafka
    4、topic:存储日志的地方,存储到broker里面
    5、分片:是topic的分片,分片的数量可以自定义,并且每一个分片都有一个主分片和从分片
    

    20.1、部署zookeeper

    1、上传安装包
    cd /opt/es-software
    2、安装zookeeper
    tar xf zookeeper-3.4.11.tar.gz -C /opt
    ln -s /opt/zookeeper-3.4.11/ /opt/zookeeper
    3、复制一个配置文件
    cp /opt/zookeeper/conf/zoo_sample.cfg /opt/zookeeper/conf/zoo.cfg
    4、创建数据目录
    mkdir /data/zookeeper
    5、修改zoo.cfg配置文件
    vim /opt/zookeeper/conf/zoo.cfg
    # 服务器之间或客户端与服务器之间维持心跳的时间间隔
    # tickTime以毫秒为单位
    tickTime=2000
    # 集群中的follower服务器(F)与leader服务器(L)之间的初始连接心跳数
    initLimit=10
    # 集群中的follower服务器与leader服务器之间请求和应答之间能容忍的最多心跳数
    syncLimit=5
    dataDir=/data/zookeeper
    # 客户端连接端口
    clientPort=2181
    # 三个接点配置,格式为: server.服务编号=服务地址、LF通信端口、选举端口
    server.1=10.0.0.240:2888:3888
    server.2=10.0.0.241:2888:3888
    server.3=10.0.0.242:2888:3888
    6、在集群当中每台服务器上面都追加一个唯一的id(每台服务器对应的id是不一样)
    echo "1" > /data/zookeeper/myid
    7、启动zookeeper服务
    /opt/zookeeper/bin/zkServer.sh start
    /opt/zookeeper/bin/zkServer.sh status
    

    20.2、部署kafka集群

    1、上传安装包
    cd /opt/es-software
    2、安装
    tar xf kafka_2.11-1.0.0.tgz -C /opt
    ln -s /opt/kafka_2.11-1.0.0/ /opt/kafka
    3、创建日志目录
    mkdir /opt/kafka/logs -p
    4、修改kafka配置文件
    vim /opt/kafka/config/server.properties
    
    broker.id=1
    listeners=PLAINTEXT://10.0.0.240:9092
    num.network.threads=3
    num.io.threads=8
    socket.send.buffer.bytes=102400
    socket.receive.buffer.bytes=102400
    socket.request.max.bytes=104857600
    log.dirs=/opt/kafka/logs
    num.partitions=1
    num.recovery.threads.per.data.dir=1
    offsets.topic.replication.factor=1
    transaction.state.log.replication.factor=1
    transaction.state.log.min.isr=1
    log.retention.hours=168
    log.segment.bytes=1073741824
    log.retention.check.interval.ms=300000
    zookeeper.connect=10.0.0.240:2181,10.0.0.241:2181,10.0.0.242:2181
    zookeeper.connection.timeout.ms=6000
    group.initial.rebalance.delay.ms=0
    5、在前台验证kafka服务能否正常启动
    /opt/kafka/bin/kafka-server-start.sh  /opt/kafka/config/server.properties
    6、创建一个主题
    /opt/kafka/bin/kafka-topics.sh --create  --zookeeper 10.0.0.241:2181,10.0.0.242:2181,10.0.0.240:2181 --partitions 3 --replication-factor 3 --topic kafkatest
    7、查看一个主题信息
    /opt/kafka/bin/kafka-topics.sh --describe --zookeeper 10.0.0.241:2181,10.0.0.242:2181,10.0.0.240:2181 --topic kafkatest
    8、把kafka服务放于后台运行
    /opt/kafka/bin/kafka-server-start.sh  -daemon /opt/kafka/config/server.properties
    

    20.3、修改filebeat的配置文件

    vim filebeat.yml
    
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/access.log
      json.keys_under_root: true
      json.overwrite_keys: true
      tags: ["access"]
    - type: log
      enabled: true
      paths:
        - /var/log/nginx/error.log
      tags: ["error"]
    output.kafka:
      hosts: ["10.0.0.240:9092", "10.0.0.241:9092", "10.0.0.242:9092"]
      topic: 'filebeat'  
    setup.template.name: "nginx"
    setup.template.pattern: "nginx-*"
    setup.template.enabled: false
    setup.template.overwrite: true
    #重启filebeat服务
    systemctl restart filebeat
    #验证topic是否能生成
    /opt/kafka/bin/kafka-topics.sh --describe --zookeeper 10.0.0.241:2181,10.0.0.242:2181,10.0.0.240:2181 --topic filebeat
    
    Topic:filebeat  PartitionCount:1    ReplicationFactor:1 Configs:
        Topic: filebeat Partition: 0    Leader: 1   Replicas: 1 Isr: 1
    
    

    20.4、给logstash添加一个配置文件

    cd /etc/logstash/conf.d/
    vim kafka.conf
    
    input {
      kafka{
        bootstrap_servers=>"10.0.0.240:9092"
        topics=>["filebeat"]
        group_id=>"logstash"
        codec => "json"
      }
    }
    
    filter {
      mutate {
        convert => ["upstream_time", "float"]
        convert => ["request_time", "float"]
      }
    }
    
    output {
       stdout {}
       if "access" in [tags] {
          elasticsearch {
            hosts => "http://10.0.0.240:9200"
            manage_template => false
            index => "nginx_access-%{+yyyy.MM}"
          }
        }
        if "error" in [tags] {
          elasticsearch {
            hosts => "http://10.0.0.240:9200"
            manage_template => false
            index => "nginx_error-%{+yyyy.MM}"
          }
        }
    }
    #重启logstash服务
    systemctl restart logstash
    #在head插件界面,验证索引信息是否生成
    #在kibana界面添加index-patterns,展示日志,并且画图
    
    image.png
    image.png

    相关文章

      网友评论

          本文标题:Linux学习elk日志收集工具

          本文链接:https://www.haomeiwen.com/subject/rxzvyhtx.html