在运维系统中，经常遇到如下情况:

①开发人员不能登录线上服务器查看详细日志

②各个系统都有日志，日志数据分散难以查找

③日志数据量大，查询速度慢，或者数据不够实时

④一个调用会涉及多个系统，难以在这些系统的日志中快速定位数据

我们可以采用目前比较流行的ELKStack来满足以上需求。

ELK Stack组成部分:

原理流程图如下:

系统环境:

IP地址	运行程序	角色	备注
10.0.0.41	elasticsearch	node01
10.0.0.42	elasticsearch	node02
10.0.0.43	elasticsearch	node03
10.0.0.44	redis kibana	kibana
10.0.0.9	nginx logstash	web01
10.0.0.10	logstash	logstash

实战操作:

①下载安装包安装Java环境以及配置环境变量:

安装jdk(在本次实验中所有服务器上做同样的操作安装jdk,这里以node01为例):

②安装配置elasticsearch（node01、node02、node03上做同样操作）

修改配置文件如下:

创建对应的目录:

 

③启动elasticsearch服务

如果要elasticsearch在后台运行则只需要添加-d，即:

启动之后查看端口状态:

访问查看状态信息:

④管理elasticsearch服务的脚本(该部分可选)

根据提示，这里我们将其安装到系统启动项中:

通过service命令来启动elasticsearch服务

如果启动报错，即输入如下内容: 

通过启动日志排查问题:

根据上述提示，根据实际配置环境将对应参数修改为红色部分，然后重启

检查启动状态：

⑤JAVA API

node client

Transport client

⑥RESTful API

⑦javascript，.NET,PHP,Perl,Python,Ruby

查询例子:

插件能额外扩展elasticsearch功能，提供各类功能等等。有三种类型的插件：

    1. java插件

只包含JAR文件，必须在集群中每个节点上安装而且需要重启才能使插件生效。

    2. 网站插件

这类插件包含静态web内容，如js、css、html等等，可以直接从elasticsearch服务，如head插件。只需在一个节点上安装，不需要重启服务。可以通过下面的URL访问，如：http://node-ip:9200/_plugin/plugin_name

    3. 混合插件

顾名思义，就是包含上面两种的插件。

安装elasticsearch插件Marvel:

安装完成之后通过浏览器访问查看集群状况:

下面是集群节点和索引状况:

选择Dashboards菜单:

点击sense进入如下界面:

编写测试内容:

记录右边生成的id，然后在左边通过id进行查询

如果要进一步查询，则可以做如下操作:

⑧集群管理插件安装

安装完成后，通过浏览器访问:

http://10.0.0.41:9200/_plugin/head/

部署另外一个节点node02，需要在elasticsearch的配置文件中修改node.name: "node02"即可，其他与node01保持一致

安装管理elasticsearch的管理工具elasticsearch-servicewrapper

提示:set.default.ES_HEAP_SIZE值设置小于服务器的物理内存，不能等于实际的内存，否则就会启动失败

接上操作，刷新 http://10.0.0.42:9200/_plugin/head/

查看node01的信息:

概览:

索引:

数据浏览:

基本信息：

符合查询:

以上步骤在上述三个节点node01、node02、node03中分别执行

logstash快速入门

 

官方建议yum安装:

Download and install the public signing key:

rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

Add the following in your /etc/yum.repos.d/ directory in a file with a .repo suffix, for example logstash.repo

[logstash-2.2]

name=Logstash repository for 2.2.x packages

baseurl=http://packages.elastic.co/logstash/2.2/centos

gpgcheck=1

gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch

enabled=1

And your repository is ready for use. You can install it with:

yum install logstash

我这里采用源码解压安装: web01上部署nginx和logstash

logstash配置文件格式:

配置文件结构:

# This is a comment. You should use comments to describe

# parts of your configuration.

插件的结构:

插件的数据结构:

数组array

Example:

  path => [ "/var/log/messages", "/var/log/*.log" ]

  path => "/data/mysql/mysql.log"

布尔类型

Example:

  ssl_enable => true

字节

Examples:

  my_bytes => "1113"   # 1113 bytes

  my_bytes => "10MiB"  # 10485760 bytes

  my_bytes => "100kib" # 102400 bytes

  my_bytes => "180 mb" # 180000000 bytes

codeC

Example:

  codec => "json"

HASH

Example:

match => {

  "field1" => "value1"

  "field2" => "value2"

  ...

}

Number

Numbers must be valid numeric values (floating point or integer).

Example:

  port => 33

Password

A password is a string with a single value that is not logged or printed.

Example:

  my_password => "password"

Pathedit

A path is a string that represents a valid operating system path.

Example:

  my_path => "/tmp/logstash"

String

A string must be a single character sequence. Note that string values are enclosed in quotes, either double or single. Literal quotes in the string need to be escaped with a backslash if they are of the same kind as the string delimiter, i.e. single quotes within a single-quoted string need to be escaped as well as double quotes within a double-quoted string.

Example:

  name => "Hello world"

  name => 'It\'s a beautiful day'

Comments

Comments are the same as in perl, ruby, and python. A comment starts with a # character, and does not need to be at the beginning of a line. For example:

# this is a comment

input { # comments can appear at the end of a line, too

  # ...

}

logstash版本不同，插件也会不同，我这里用的logstash-2.1.3.tar.gz

https://www.elastic.co/guide/en/logstash/2.1/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-hosts 

logstash的启动方式为:

/usr/local/logstash/bin/logstash  -f /usr/local/logstash/logstash.conf  &

使用方法如下:

07-logstash-file-redis-es

redis的安装和配置：

修改bind地址，为本机ip地址

[root@kibana ~]#redis-server /application/redis/conf/redis.conf &

切换到node01，登录node02的redis服务

修改web01上logstash配置文件如下:

这里用nginx访问日志作为测试，定义输入文件为"/application/nginx/logs/access.log ",输出文件存储到redis里面，定义key为 "system-messages",host为10.0.0.44,端口6379，存储数据库库为db=0。

保证nginx是运行状态:

登录redis，查看数据是否已经传入到redis上:

发现通过浏览器访问的日志已经存入到了redis中，这一步实现日志的转存，下一步实现日志的从redis中通过logstash转存到elasticsearch中

以上实现了数据从数据源（access.log）中转存到redis中，下一步实现从redis中转存到elasticsearch中

这里在logstash上开启一个logstash，并且编写配置文件/usr/local/logstash/logstash.conf

说明:定义数据写入文件为redis,对应的键和主机以及端口如下:

 

数据输出到 elasticsearch中，具体配置为:

启动logstash进行日志收集

再回过来查看redis的db中的数据是否已经转存过去（即存储到elasticserach中）

从上述输入可以知道数据应转存到elasticsearch中，下面我可以进行查看:

进一步查看日志信息:

logstash收集json格式的nginx日志，然后将日志转存到elasticsearch中

json格式分割nginx日志配置参数:

log_format logstash_json '{ "@timestamp": "$time_local", '

                         '"@fields": { '

                         '"remote_addr": "$remote_addr", '

                         '"remote_user": "$remote_user", '

                         '"body_bytes_sent": "$body_bytes_sent", '

                         '"request_time": "$request_time", '

                         '"status": "$status", '

                         '"request": "$request", '

                         '"request_method": "$request_method", '

                         '"http_referrer": "$http_referer", '

                         '"body_bytes_sent":"$body_bytes_sent", '

                         '"http_x_forwarded_for": "$http_x_forwarded_for", '

                         '"http_user_agent": "$http_user_agent" } }';

修改后的nginx配置文件为:

启动nginx：

通过ab命令访问本地nginx服务:

访问nginx产生的日志为:

logstash的配置文件文件为:

重启logstash

连接redis查看日志是否写入：

通过ab命令访问nginx，

再次检查redis是否写入数据:

数据成功写入redis，接下来将redis数据写入elasticsearch中

在logstash主机上编写logstash配置文件

测试文件是否正确，然后重启logstash

 

用ab进行测试访问:

 

redis查看数据写入

查看elasticsearch数据

进一步查看数据

数据格式为键值形式，即json格式

运用kibana插件对elasticsearch+logstash+redis收集到的数据进行可视化展示

解压:

配置:

修改为:

将kibana放入后台运行

查看启动状态

浏览器输入http://192.168.0.44:5601/

点击“create”创建nginx-access-log索引

切换到discover

在这里可以选择"today、Laster minutes等时间"，例如我们选择"Laster minutes";

点击“Laster minutes”

y因为我们创建的索引是在15分钟以内的，所以这里显示找不到结果，这里选择today，时间选长一点，再看

点击“today”

下面是根据需要列出以前实验的操作步骤，仅供参考

如果根据需求显示（默认是显示全部):这里用add来选择要显示的内容

搜索功能，比如搜索状态为404的

搜索状态为200的

总结ELKStack工作流程

元数据（tomcat、Apache、PHP等服务器的日志文件log）-------->logstash将原始数据写入到redis中，然后通过logstash将redis中的数据写入到elasticsearch，最后通过kibana对elasticsearch数据进行分析整理，并展示出来

补充elasticsearch配置文件注释: