ELFK日誌平臺入門5---Logstash+Filebeat集羣搭建

原創 斑马工 2020-06-20 17:03

ELFK日誌平臺入門1---架構設計

ELFK日誌平臺入門2---Elasticseach集羣搭建   

ELFK日誌平臺入門3---Kibana搭建

ELFK日誌平臺入門4---Kafka集羣搭建

ELFK日誌平臺入門5---Logstash+Filebeat集羣搭建

這個章節我們介紹下logstash+filebeat集羣搭建。

 1、環境準備

 資源規劃:

 2、Logstash集羣部署

      下面操作均在三臺機器操作:

  • 解壓Logstash安裝包:
# tar zxf logstash-6.7.1.tar.gz && mv logstash-6.7.1/ /usr/local/logstash

# mkdir /usr/local/logstash/conf.d
  • 修改Logstash配置:
# vim /usr/local/logstash/config/logstash.yml

http.host: "192.168.0.0"                    #填本機ip
http.port: 9600
  • 配置Logstash服務:

       新增服務配置文件:

# vim /etc/default/logstash

LS_HOME="/usr/local/logstash"
LS_SETTINGS_DIR="/usr/local/logstash"
LS_PIDFILE="/usr/local/logstash/run/logstash.pid"
LS_USER="elk"
LS_GROUP="elk"
LS_GC_LOG_FILE="/usr/local/logstash/logs/gc.log"
LS_OPEN_FILES="16384"
LS_NICE="19"
SERVICE_NAME="logstash"
SERVICE_DESCRIPTION="logstash"

      新增服務文件:

# vim /etc/systemd/system/logstash.service

[Unit]
Description=logstash

[Service]
Type=simple
User=elk
Group=elk
# Load env vars from /etc/default/ and /etc/sysconfig/ if they exist.
# Prefixing the path with '-' makes it try to load, but if the file doesn't
# exist, it continues onward.
EnvironmentFile=-/etc/default/logstash
EnvironmentFile=-/etc/sysconfig/logstash
ExecStart=/usr/local/logstash/bin/logstash "--path.settings" "/usr/local/logstash/config" "--path.config" "/usr/local/logstash/conf.d"
Restart=always
WorkingDirectory=/
Nice=19
LimitNOFILE=16384

[Install]
WantedBy=multi-user.target

      管理服務:

# mkdir /usr/local/logstash/{run,logs} && touch /usr/local/logstash/run/logstash.pid

# touch /usr/local/logstash/logs/gc.log && chown -R elk:elk /usr/local/logstash

# systemctl daemon-reload

# systemctl enable logstash

  3、Filebeat部署

  • 解壓Filebeat安裝包:
# tar zxf filebeat-6.2.4-linux-x86_64.tar.gz && mv filebeat-6.2.4-linux-x86_64 /usr/local/filebeat
  • 配置filebeat服務 :

       新增服務配置文件:

# vim /usr/lib/systemd/system/filebeat.service

[Unit]
Description=Filebeat sends log files to Logstash or directly to Elasticsearch.
Documentation=https://www.elastic.co/products/beats/filebeat
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/local/filebeat/filebeat -c /usr/local/filebeat/filebeat.yml -path.home /usr/local/filebeat -path.config /usr/local/filebeat -path.data /usr/local/filebeat/data -path.logs /usr/local/filebeat/logs
Restart=always

[Install]
WantedBy=multi-user.target

      管理服務:

# mkdir /usr/local/filebeat/{data,logs}

# systemctl daemon-reload

# systemctl enable filebeat

 3、與Kafka結合

      這裏以收集/app/log/app.log目錄下日誌爲例:

  • 配置filebeat:
# vim /usr/local/filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /app/log/app.log                 #日誌路徑
  fields:
    log_topics: app-service-log
  
output.kafka:
  enabled: true
  hosts: ["192.168.0.0:9092","192.168.0.1:9092","192.168.0.2:9092"]
  topic: '%{[fields][log_topics]}'
  • Kafka集羣創建topic:
# /usr/local/kafka/bin/kafka-topics.sh --create --zookeeper 192.168.0.0:2181 --replication-factor 3 --partitions 1 --topic app-service-log

Created topic app-service-log.
  • 配置Logstash:
# vim /usr/local/logstash/conf.d/messages.conf

input {
    kafka {
        bootstrap_servers => "192.168.0.0:9092,192.168.0.1:9092,192.168.0.2:9092"
        group_id => "app-service"     #默認爲logstash
        topics => "app-service-log"
        auto_offset_reset => "latest"               #從最新的偏移量開始消費
        consumer_threads => 5               #消費的線程數
        decorate_events => true                #在輸出消息的時候回輸出自身的信息,包括:消費消息的大小、topic來源以及consumer的group信息
        type => "app-service"
    }
}

output {
    elasticsearch {
        hosts => ["192.168.0.0:9200","192.168.0.1:9200","192.168.0.2:9200"]
        index => "sys_messages.log-%{+YYYY.MM.dd}"
    }
}

      安裝logstash-input-kafka插件:

# chown -R elk:elk /usr/local/logstash

# /usr/local/logstash/bin/logstash-plugin install logstash-input-kafka
  • 啓動相關服務:
# systemctl start filebeat                  #啓動filebeat

# systemctl start logstash                  #啓動kafka
  • 瀏覽器訪問Kibana,新增索引查詢:

  4、Elasticsearch數據定時清理

      由於生產環境日誌量較大,長期存放Elasticsearch,會導致磁盤空間爆滿風險,那如何保留近兩天的日誌呢?

      這邊要採用crontab來支持,Linux crontab是用來定期執行程序的命令。

  • 創建sh可執行文件:
# vi /user/local/elasticsearch/es-index-clear.sh

#!/bin/bash
LAST_DATA=`date -d "-2 days" "+%Y.%m.%d"`                  #兩天前的時間
curl -XDELETE http://192.168.0.0:9200/*-${LAST_DATA}       #刪除es兩天前數據

# chmod 777 es-index-clear.sh
  •  配置執行時間、文件路徑:
# crontab -e

10 00 * * * /usr/local/elasticsearch/es-index-clear.sh  #每天00點10分執行
  • 重啓crontab服務:
# service crond restart

 至此ELFK+Kafka集羣已經搭建完成,開始體驗日誌分析平臺帶來的快捷。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

日誌分析系統ELK安裝(單機)

下載ElasticSearch、Logstash、Kibana安裝包。 百度雲地址: 鏈接:https://pan.baidu.com/s/104Qae0x5epXJO39iQzaoNw 提取碼:2cl5 ElK + Filebe

DavidLee9 2020-07-08 10:31:09

ELK-filbeate收集tomcat日誌

filebeat作爲代理安裝在服務器上,監視指定的日誌文件或位置,收集日誌事件,並將他們轉發到logstash,elasticsearch,kafka等 input 我們要採集的日誌文件路徑, 收割機 harvester 監聽文件

寰宇001 2020-07-07 22:50:11

logstash常見數據清洗配置

ogstash通過插件的形式來配置input,filter,output,在消費數據後,如果需要對數據做處理,需要用到filter的很多功能。最近使用logstash傳遞kafka數據到es時,瞭解了一些logstash處理數據的方式,以

开飞机的舒克贝塔 2020-07-07 17:40:23

ELK filter 查詢

filter 查詢不計算相關性,同時可以 cache ,因此 filter 速度要快於 query. POST /lib4/items/_bulk {"index":{"_id":1}} {"price":40,"itemID":"ID1

daicooper 2020-07-07 16:07:22

filebeat+redis+elk日誌分析搭建

filebeat: 10.0.0.41 redis: 10.0.0.42 logstash: 10.0.0.43 elasticsearch: 10.0.0.44 kibana: 10.0.0.45 架構如下: 一、filebe

一纸情书ベ 2020-07-07 13:29:53

elk消費kafka數據延遲過大的問題

elk消費kafka數據延遲過大的問題 1.問題現象表述: 當前elk作爲日誌系統消費kafka日誌數據有很大的延遲,即elk的消費kafka中日誌的速度(200條/s)遠 遠低於maplearning生產日誌的速度(平均3000

fct2001140269 2020-07-07 00:27:52

spark監控streamingListener使用與監控告警

Spark-steaming監控設計與驗證方案 ​ created by fangchangtan | 2020/2/24 原創不易,謝絕白嫖,好的話就點

fct2001140269 2020-07-07 00:27:52

安裝elasticalert配置驗證文檔

docker 安裝、配置、驗證ElasticAlert ​ created by fangchangtan | 2020/2/24 1.elastalert的場景用途 ​ elastalert組件作爲elk中日

fct2001140269 2020-07-07 00:27:52

ElasticSearch CPU和內存佔用高的優化記錄出現GC

        公司最近使用ElasticSearch作爲數據報表彙總引擎.上線三個月累計數據800萬,但是今天突然大面積出現查詢超時,上服務器查看服務運行情況,發現cpu使用率高達300% mem 使用率也到了90%,下面記錄了整個排

王树民 2020-07-06 23:17:59

ElasticSearch6.3.2 中的JVM性能調優

  前一段時間被人問了個問題:在使用ES的過程中有沒有做過什麼JVM調優措施? 在我搭建ES集羣過程中,參照important-settings官方文檔來的,並沒有對JVM參數做過多的調整。但談到JVM配置參數,少不了操作系統層面上的一些

王树民 2020-07-06 23:17:59

elasticsearch實現冷熱數據分離

  目錄(?)[-] es架構 各節點的es配置 如何實現某索引數據寫到指定的node根據節點tag即可 如何實現數據從hot節點遷移到老的cold節點 cold節點數據保留1個月 優化點 logstash測試 關於es的index te

王树民 2020-07-06 23:17:59

elasticsearch 的日誌gc

    [2018-06-30T17:57:23,848][WARN ][o.e.m.j.JvmGcMonitorService] [qoo--eS] [gc][228384] overhead, spent [2.2s] collec

王树民 2020-07-06 23:17:59

Elasticsearch集羣模式知多少

01序言 Elasticsearch經過多年發展,集羣模式已經非常成熟,涵蓋的技術點非常多,對於使用者來說,掌握並熟練運用至關重要。那麼Elasticsearch有多少種集羣模式呢?當前適合哪種集羣模式?本文不涉及實戰操作,僅限集羣原理範

王树民 2020-07-06 23:17:59

Elasticsearch 7.7部署

 Elasticsearch(簡稱:ES)是一個開源的分佈式搜索引擎, Elasticsearch 還是一個分佈式文檔數據庫.並提供了大量數據的存儲功能快速的搜索與分析功能.   起源於 Lucene, 基於 Java 語言開發的搜索引擎

王树民 2020-07-06 23:17:59

一文掌握並應用Elasticsearch中的GC實現垃圾日誌處理

如果你關注過 Elasticsearch 的日誌,可能會看到如下類似的內容: [2018-06-30T17:57:23,848][WARN ][o.e.m.j.JvmGcMonitorService] [qoo--eS] [gc][22

王树民 2020-07-06 23:17:59