ELK日誌分析平臺實戰（一） ES搜索引擎

ELK主要由三個重要組件：

• elasticsearch搜索分析引擎
• logstash數據採集
• kibana可視化

一、elasticsearch實戰

簡介

• Elasticsearch 是一個開源的分佈式搜索分析引擎,建立在一個全
  文搜索引擎庫 Apache Lucene基礎之上。
• Elasticsearch 不僅僅是 Lucene,並且也不僅僅只是一個全文搜索
  引擎:
  • 一個分佈式的實時文檔存儲,每個字段 可以被索引與搜索
  • 一個分佈式實時分析搜索引擎
  • 能勝任上百個服務節點的擴展,並支持 PB 級別的結構化或者非結構
  化數據

基礎模塊	作用
cluster:	管理集羣狀態,維護集羣層面的配置信息。
alloction:	封裝了分片分配相關的功能和策略。
discovery:	發現集羣中的節點,以及選舉主節點。
gateway:	對收到master廣播下來的集羣狀態數據的持久化存儲。
indices:	管理全局級的索引設置。
http:	允許通過JSON over HTTP的方式訪問ES的API。
transport:	用於集羣內節點之間的內部通信。
engine:	封裝了對Lucene的操作及translog的調用。

• elasticsearch應用場景:

1. 信息檢索
2. 日誌分析
3. 業務數據分析
4. 數據庫加速
5. 運維指標監控

• 官網:https://www.elastic.co/cn/

我們下載軟件時可以去這個網站下載，比較快。
https://elasticsearch.cn/download/

elasticsearch安裝與配置

[root@server4 ~]# rpm -ivh elasticsearch-7.6.1.rpm		# 安裝ES
# 修改配置文件:
[root@server4 elasticsearch]# vim /etc/elasticsearch/elasticsearch.yml
luster.name: my-es 		#集羣名稱
node.name: server4		 #主機名需要解析
path.data: /var/lib/elasticsearch		 #數據目錄
path.logs: /var/log/elasticsearch 		#日誌目錄
bootstrap.memory_lock: true		#鎖定內存分配
network.host: 172.25.0.4		#主機ip
http.port: 9200				#http服務端口
cluster.initial_master_nodes: ["server4"]			#

做了這些設定後我們是起不來服務的因爲我們沒有對系統進行設定，不滿足要求。

修改系統限制:
[root@server4 elasticsearch]# vim /etc/security/limits.conf
elasticsearch  -  nofile  65535			# 限定文件數量，不得大於內核限制（sysctl -a | grep file）
elasticsearch  -  nproc 4096			# 進程數
elasticsearch soft memlock unlimited
elasticsearch hard memlock unlimited

由於服務有systemd 啓用，所以我們去指定systemd的系統限制：
[root@server4 elasticsearch]#  vim /usr/lib/systemd/system/elasticsearch.service
## 在service語句塊下添加
LimitNOFILE=65535

LimitMEMLOCK=infinity

# 修改java虛擬機限制
[root@server4 elasticsearch]# cd /etc/elasticsearch/
[root@server4 elasticsearch]# vim jvm.options
-Xms1g
-Xmx1g

Xmx設置不超過物理RAM的50%,以確保有足夠的物理RAM留給內核文件系統緩存。但不要超過32G。
這裏我們應該給這臺虛擬機2G的內存。

然後我們去禁用交換分區，會影響數據的交互：

[root@server4 elasticsearch]# echo 0 > /proc/sys/vm/swappiness 			數值越大月傾向於使用swap分區
[root@server4 elasticsearch]# swapoff -a
[root@server4 elasticsearch]# vim /etc/fstab  
#/dev/mapper/rhel-swap   swap                    swap    defaults        0 0		# 禁用掉開機自啓

現在就可以啓動了：

[root@server4 ~]# systemctl daemon-reload
[root@server4 ~]# systemctl start elasticsearch.service
[root@server4 elasticsearch]# curl 172.25.254.4:9200
{
  "name" : "server4",
  "cluster_name" : "my-es",		# 可以訪問了
  "cluster_uuid" : "UHOmLiHiQ1CwOx2J6R3Kxg",

elasticsearch插件安裝

但是這樣還不夠刺激，我們想要給它加一個圖形界面：
我們需要去下載插件：
下載elasticsearch-head插件

• wget https://github.com/mobz/elasticsearch-head/archive/master.zip

  head插件本質上是一個nodejs的工程,因此需要安裝node:

• wget https://mirrors.tuna.tsinghua.edu.cn/nodesource/rpm_9.x/el/7/x86_64/nodejs9.11.2-1nodesource.x86_64.rpm

[root@server4 ~]# ls
 master.zip		# 需要這個插件
[root@server4 ~]# unzip master.zip 
[root@server4 ~]# ls
 elasticsearch-head-master  master.zip
然後我們需要進入這個目錄裏面執行 npm 這個命令，這時我們安裝node包
[root@server4 ~]# rpm -ivh nodejs-9.11.2-1nodesource.x86_64.rpm 
warning: nodejs-9.11.2-1nodesource.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 34fa74dd: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:nodejs-2:9.11.2-1nodesource      ################################# [100%]

然後我們進入目錄，由於npm install 很慢，所以我們更換一個倉庫下載
[root@server4 ~]# cd elasticsearch-head-master/
[root@server4 elasticsearch-head-master]# npm install --registry=https://registry.npm.taobao.org
PhantomJS not found on PATH		# 發現環境變量少了一個東西，
Downloading https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
Saving to /tmp/phantomjs/phantomjs-2.1.1-linux-x86_64.tar.bz2
# 讓去這裏下載


[root@server4 ~]# ls
 phantomjs-2.1.1-linux-x86_64.tar.bz2		#下載好了
 [root@server4 ~]# tar jxf phantomjs-2.1.1-linux-x86_64.tar.bz2 
 [root@server4 ~]# cd phantomjs-2.1.1-linux-x86_64/


[root@server4 phantomjs-2.1.1-linux-x86_64]# ls
bin  ChangeLog  examples  LICENSE.BSD  README.md  third-party.txt
[root@server4 phantomjs-2.1.1-linux-x86_64]# cd bin/			
[root@server4 bin]# ls
phantomjs
[root@server4 bin]# cp phantomjs /usr/local/bin/		# 複製這個二進制文件到環境變量就可以使用這個命令了


[root@server4 ~]# phantomjs 
phantomjs: error while loading shared libraries: libfontconfig.so.1:		# 又缺少了一個庫文件
[root@server4 ~]# yum install fontconfig-2.13.0-4.3.el7.x86_64 -y
[root@server4 ~]# phantomjs 
phantomjs> 
phantomjs> 
# 就代表成功了

在重新npm install
[root@server4 elasticsearch-head-master]# npm install --registry=https://registry.npm.taobao.org


我們還要修改ES主機ip和端口：
[root@server4 elasticsearch-head-master]# cd _site/
[root@server4 _site]# ls
app.css  app.js  background.js  base  fonts  i18n.js  index.html  lang  manifest.json  vendor.css  vendor.js
[root@server4 _site]# vim app.js 

[root@server4 _site]# npm run start &			# 啓動head插件
[1] 3732
[root@server4 _site]# 
> [email protected] start /root/elasticsearch-head-master
> grunt server

(node:3742) ExperimentalWarning: The http2 module is an experimental API.
Running "connect:server" (connect) task
Waiting forever...
Started connect web server on http://localhost:9100		#	訪問的9100

在瀏覽器訪問是這樣的，但是連接不成功，因爲不允許跨域訪問，所以我們應該修改ES跨域主持

[root@server4 _site]# vim /etc/elasticsearch/elasticsearch.yml
# Set a custom port for HTTP:
#
http.port: 9200

http.cors.enabled: true			# 是否支持跨域
http.cors.allow-origin: "*"		# *表示支持所有域名

systemctl restart elasticsearch.service		# 重啓服務

就連接上了。
創建一個索引：

刷新一下：

加粗的是主分片，細的是輔分片，健康狀態變成了黃色，代表主分片存在，輔分片丟失。如過變成了紅色，就代表沒有可用分片了。

elasticsearch分佈式部署

以相同的方法再安裝兩個ES節點,配置如下:

[root@server4 _site]# ssh-keygen
[root@server4 _site]# ssh-copy-id server1
[root@server4 _site]# ssh-copy-id server2		# 做免密,然後將配置的文件全部複製過去
[root@server4 ~]# scp elasticsearch-7.6.1-x86_64.rpm server1:
[root@server4 ~]# scp elasticsearch-7.6.1-x86_64.rpm server2:
[root@server4 elasticsearch]# scp -p /etc/elasticsearch/elasticsearch.yml server1:/etc/elasticsearch/                                                                                                                                                             
[root@server4 elasticsearch]# scp -p /etc/elasticsearch/elasticsearch.yml server2:/etc/elasticsearch/
[root@server4 security]# scp /etc/security/limits.conf server1:/etc/security/
[root@server4 security]# scp /etc/security/limits.conf server2:/etc/security/
[root@server4 system]# scp /usr/lib/systemd/system/elasticsearch.service server1:/usr/lib/systemd/system/
[root@server4 system]# scp /usr/lib/systemd/system/elasticsearch.service server2:/usr/lib/systemd/system/

然後更改他們的配置文件：

vim /etc/elasticsearch/elasticsearch.yml 

server4：
discovery.seed_hosts: ["server4", "server1", "server2"]		# 改這裏，其它不變
cluster.initial_master_nodes: ["server4","server1","server2"]		# 需要多個master結點進行切換

server1：
node.name: server1
network.host: 172.25.254.1
discovery.seed_hosts: ["server4", "server1", "server2"]
cluster.initial_master_nodes: ["server4","server1","server2"]

server2：
node.name: server2
network.host: 172.25.254.2
discovery.seed_hosts: ["server4", "server2", "server1"]
cluster.initial_master_nodes: ["server4","server1","server2"]


然後在三個結點都
[root@server2 ~]# systemctl daemon-reload 
[root@server2 ~]# systemctl start elasticsearch.service			# server1是restart

查看ES集羣狀態

當前server4 是master結點，其他兩個是worker結點。

elasticsearch節點角色

• Master:
  • 主要負責集羣中索引的創建、刪除以及數據的Rebalance等操作。Master
    不負責數據的索引和檢索,所以負載較輕。當Master節點失聯或者掛掉的
    時候,ES集羣會自動從其他Master節點選舉出一個Leader。
• Data Node:
  • 主要負責集羣中數據的索引和檢索,一般壓力比較大。
• Coordinating Node:
  • 原來的Client node的,主要功能是來分發請求和合並結果的。所有節點默
    認就是Coordinating node,且不能關閉該屬性。
• Ingest Node:
  • 專門對索引的文檔做預處理

elasticsearch節點優化

• 在生產環境下,如果不修改elasticsearch節點的角色信息,在高數據量,高併發的場景下集羣容易出現腦裂等問題。
• 默認情況下,elasticsearch集羣中每個節點都有成爲主節點的資格,
  也都存儲數據,還可以提供查詢服務。
• 節點角色是由以下屬性控制:
  • node.master: false|true
  • node.data: true|false
  • node.ingest: true|false
  • search.remote.connect: true|false
    默認情況下這些屬性的值都是true。
    
    於是我們現在就有五種組合：
    

我們這樣設置：
在server4上：

# ------------------------------------ Node ------------------------------------
#
# Use a descriptive name for the node:
#
node.name: server4
node.master: true
node.data: false
node.ingest: false
search.remote.connect: false

# 讓他成爲master節點

server1上

# Use a descriptive name for the node:
#
node.name: server1
node.master: true
node.data: true
node.ingest: false
search.remote.connect: false

讓他可以接管master，也存儲數據

server2上

# Use a descriptive name for the node:
#
node.name: server1
node.master: true
node.data: true
node.ingest: false
search.remote.connect: false

讓他可以接管master，也存儲數據,這裏我們先不做預處理結點
然後重啓三臺服務，這時serve4是起不來的，是因爲我們設置 不做存儲結點，但是之前已經有數據了，所以我們要進行清理
[root@server4 elasticsearch]# cd /usr/share/elasticsearch/
[root@server4 elasticsearch]# cd bin/				# 裏面有命令
[root@server4 bin]# elasticsearch-node repurpose
[root@server4 bin]# systemctl restart elasticsearch.service 

• 生產集羣中可以對這些節點的職責進行劃分

  • 建議集羣中設置3臺以上的節點作爲master節點,這些節點只負責成爲主
    節點,維護整個集羣的狀態。
  • 再根據數據量設置一批data節點,這些節點只負責存儲數據,後期提供建
    立索引和查詢索引的服務,這樣的話如果用戶請求比較頻繁,這些節點的
    壓力也會比較大。
  • 所以在集羣中建議再設置一批協調節點,這些節點只負責處理用戶請求,
    實現請求轉發,負載均衡等功能。

• 節點需求

  • master節點:普通服務器即可(CPU、內存 消耗一般)
  • data節點:主要消耗磁盤、內存。
  • path.data: data1,data2,data3
    這樣的配置可能會導致數據寫入不均勻,建議只指定一個數據路徑,磁盤可以使
    用raid0陣列,而不需要成本高的 ssd。
  • Coordinating節點:對cpu、memory要求較高。

調整後的ES集羣狀態：