Linux的企业-ELK日志分析
一、简介 1、核心组成 ELK由Elasticsearch、Logstash和Kibana三部分组件组成; Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行收集、分析,并将其存储供以后使用 kibana 是一个开源和免费的工具,它可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。 2、四大组件 Logstash: logstash server端用来搜集日志; Elasticsearch: 存储各类日志; Kibana: web化接口用作查寻和可视化日志; Logstash Forwarder: logstash client端用来通过lumberjack 网络协议发送日志到logstash server; 3、ELK工作流程 在 需要收集日志的所有服务上部署logstash,作为logstash agent(logstash shipper)用于监控并过滤收集日志,将过滤后的内容发送到Redis,然后logstash indexer将日志收集在一起交给全文搜索服务ElasticSearch,可以用ElasticSearch进行自定义搜索通过Kibana 来结合自定义搜索进行页面展示。 4、ELK的帮助手册 ELK官网:https://www.elastic.co/ ELK官网文档:https://www.elastic.co/guide/index.html ELK中文手册:http://kibana.logstash.es/content/elasticsearch/monitor/logging.html 注释 ELK有两种安装方式 (1)集成环境:Logstash有一个集成包,里面包括了其全套的三个组件;也就是安装一个集成包。 (2)独立环境:三个组件分别单独安装、运行、各司其职。(比较常用) 二.安装配置 1.环境配置 server1:172.25.29.1 master server2:172.25.29.2 data server3:172.25.29.3 data 2.安装 安装java环境 3.配置server1 4.测试是否正常 三.安装head插件,web访问管理节点,配置节点server2 1.安装插件 查看插件是否安装成功 2.网页通过访问管理节点172.25.29.1:9200/_plugin/head/ 测试采集 3.增加第二台主机server2 安装配置服务,注意打开server1和server2的discovery选项,并修改正确的主机名 server1和server2都要修改 4.访问master节点,server1和server显示正常 四.添加server3数据存储节点 1.配置server1的/etc/elasticsearch/elasticsearch.yml 将server1节点设置为master,不储存数据 安装elasticsearch vim /etc/elasticsearch/elasticsearch.yml 2.配置server2的/etc/elasticsearch/elasticsearch.yml 将server2节点设置为只储存数据 为了安全,httpd访问关闭 3.配置server3的/etc/elasticsearch/elasticsearch.yml 将server3节点设置为只储存数据,关闭httpd 4.web端master管理端显示正常 五.Logstash日志采集工具 1.安装工具并启动(标准输入和标准输出) 2.可以查看到的信息选项 3.将输入输出写到conf文件中 标准输入,将输出导入到elasticsearch中 4.查询elasticsearch日志结果 5.以ruby语言的显示方式 6.以ruby语言的显示方式,并输出一份到/tmp/testfile 启动 六.配置采集server1的日志给elasticsearch 1.在server1上 vim syslog.conf server2采集的日志传给server1上的elasticsearch 2.在server2按配置接收日志端 3.重启服务,发送测试日志 4.server1启动logstash.conf文件,日志端口514打开 测试: 七.不同格式的日志采集和输出 1.在server1上 vim syslog.conf,不同的日志传给不同的地方 2.查看httpd日志权限是否能够读取 3.启动 八.设置采集elasticsearch日志 1.查看elasticsearch是否有权限读取日志 查看多段日志 2.vim demo.conf 多端输入,以beginning开始 九.采集日志存放在redis 1.在server2安装redis 2.配置 vim redis.conf,将采集日志存放在redis中,启动redis 查看server2 redis已经存入数据 注意:在根目录下会生成隐藏的记录文件,有时会影响的采集,需要删除 十.tcp日志的采集 测试: 1.写入设备 2.nc命令 十一.Kibana日志分析工具 1.kibana的安装配置 2.添加监控项目 启动httpd日志采集 3.添加httpd日志监控,加上不同来源的分析 调用过滤变量 添加到dashboard界面里,便于观察 压力测试,可以在监控图上看到哪个主机的访问的次数 左为链接次数,右为各个主机的连接次数 4.添加secure安全日志监控 添加到dashboard界面里,便于观察 设置更新频率 安全测试的是ssh连接失败的日志 保存dashboard监控模版为dashboard1 本文转自一百个小排 51CTO博客,原文链接:http://blog.51cto.com/anfishr/1979775,如需转载请自行联系原作者
.png)
