日誌分析系統ELK安裝(單機)

原創 DavidLee9 2020-07-08 10:31

下載ElasticSearch、Logstash、Kibana安裝包。
百度雲地址: 鏈接:https://pan.baidu.com/s/104Qae0x5epXJO39iQzaoNw
提取碼:2cl5

ElK + Filebeat安裝

部署架構圖

架構

elasticsearch

安裝elasticsearch

因爲elasticsearch不允許root用戶啓動,所以需要創建新的用戶和組。
不能用root用戶啓動

#創建組
groupadd elasticsearch
#創建用戶
useradd elasticsearch
#設置密碼
passwd elasticsearch
#將用戶添加到組
usermod -G elasticsearch elasticsearch
#給用戶elasticsearch添加elasticsearch目錄的權限
chown -R elasticsearch /home/elasticsearch

#解壓elasticsearch安裝包
tar -xvf elasticsearch-7.6.0-linux-x86_64.tar.gz -C /home/elasticsearch/
#修改elasticsearch-7.6.0的權限給elasticsearch用戶和組
chown -R elasticsearch:elasticsearch /home/elasticsearch/elasticsearch-7.6.0

權限修改成功

使用elasticsearch自帶jdk運行

liunx修改elasticsearch-7.6.0/bin/elasticsearch-env配置文件

vi /home/elasticsearch/elasticsearch-7.6.0/elasticsearch-env

將以下內容

# now set the path to java
if [ ! -z "$JAVA_HOME" ]; then
  JAVA="$JAVA_HOME/bin/java"
  JAVA_TYPE="JAVA_HOME"
else
  if [ "$(uname -s)" = "Darwin" ]; then
    # macOS has a different structure
    JAVA="$ES_HOME/jdk.app/Contents/Home/bin/java"
  else
    JAVA="$ES_HOME/jdk/bin/java"
  fi
  JAVA_TYPE="bundled jdk"
fi

if [ ! -x "$JAVA" ]; then
    echo "could not find java in $JAVA_TYPE at $JAVA" >&2
    exit 1
  fi

修改成

# now set the path to java
if [ "$(uname -s)" = "Darwin" ]; then
  # macOS has a different structure
  JAVA="$ES_HOME/jdk.app/Contents/Home/bin/java"
else
  JAVA="$ES_HOME/jdk/bin/java"
fi
JAVA_TYPE="bundled jdk"

額外說明以下windows修改方法
打開 elasticsearch-env.bat文件:
將以下內容

if defined JAVA_HOME (
  set JAVA="%JAVA_HOME%\bin\java.exe"
) else (
  set JAVA="%ES_HOME%\jdk\bin\java.exe"
  set JAVA_HOME="%ES_HOME%\jdk"
)

修改成

set JAVA="%ES_HOME%\jdk\bin\java.exe"
set JAVA_HOME="%ES_HOME%\jdk"

最後啓動腳本

cd /home/elasticsearch/elasticsearch-7.6.0/bin
#後臺運行elasticsearch 使用elasticsearch運行
nohup ./elasticsearch &

訪問地址: http://127.0.0.1:9200
訪問成功

配置ES遠程訪問

vi /home/elasticsearch/elasticsearch-7.6.0/config/elasticsearch.yml
#取消network.host註釋,並修改成下面樣子
network.host: 0.0.0.0

#查出elasticsearch
ps -ef | grep elasticsearch

查進程

#kill掉elasticsearch進程
kill -9 3097
#再次執行查詢
ps -ef | grep elasticsearch

在這裏插入圖片描述

#啓動elasticsearch 使用elasticsearch運行
nohup ./elasticsearch &

重啓錯誤
查看日誌重啓報錯
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
切換root用戶

vi /etc/security/limits.conf
#在倒數第二行添加以下內容
*               soft    nofile          65536
*               hard    nofile          65536

[2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
(elasticsearch用戶擁有的內存權限太小,至少需要262144;)

vi /etc/sysctl.conf
#添加以下內容
vm.max_map_count=262144

[3]: the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured
修改elasticsearch.yml

#取消註釋保留一個節點
cluster.initial_master_nodes: ["node-1"]

#啓動elasticsearch
nohup ./elasticsearch &

遠程訪問

Logstash

Logstash介紹

Logstash 是開源的服務器端數據處理管道,能夠同時 從多個來源採集數據、轉換數據,然後將數據發送到Elasticsearch中。

Logstash安裝

logstash依賴java環境

tar -xvf logstash-7.6.0-linux-x86_64.tar.gz -C /elk/
cd /elk/logstash-7.6.0/bin
#啓動logstash
nohup ./logstash -f ../config/logstash-sample.conf &

上面使用的logstash-sample.conf內容以下所示
logstash
上面輸出路徑host爲elasticsearch地址,input中的beats port 爲filebeat端口號 ,根據你本地環境自行修改。

Filebeat

Filebeat簡介

    Filebeat由兩個主要組成部分組成:prospector(探勘者)和 harvesters(礦車)。這些組件一起工作來讀取
    文件並將事件數據發送到指定的output。
 	- prospector: 負責找到所有需要進行讀取的數據源
    - harvesters:負責讀取單個文件的內容,並將內容發送到output中,負責文件的打開和關閉。

Filebeat安裝

tar -xvf filebeat-7.6.0-linux-x86_64.tar.gz -C /elk/
cd /elk
mv filebeat-7.6.0-linux-x86_64 filebeat-7.6.0
#修改filebeat.yml output elasticsearch改爲logstash
vi /elk/filebeat-7.6.0/filebeat.yml
#註釋掉以下內容
#output.elasticsearch:
  # Array of hosts to connect to.
  #hosts: ["localhost:9200"]

  # Protocol - either `http` (default) or `https`.
  #protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  #username: "elastic"
  #password: "changeme"

#把logstash放開,將蒐集的日誌發送給logstash
output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

  # Optional SSL. By default is off.
  # List of root certificates for HTTPS server verifications
  #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]

  # Certificate for SSL client authentication
  #ssl.certificate: "/etc/pki/client/cert.pem"

  # Client Certificate Key
  #ssl.key: "/etc/pki/client/cert.key"

#後臺運行
nohup ./filebeat -e -c filebeat.yml > filebeat.log &

Kibana

Kibana簡介

Kibana是一個針對Elasticsearch的開源分析及可視化平臺,用來搜索、查看交互存儲在Elasticsearch索引中的數據。使用Kibana,可以通過各種圖表進行高級數據分析及展示。

Kibana安裝

tar -xvf kibana-7.6.0-linux-x86_64.tar.gz  -C /elk/
cd /elk
mv kibana-7.6.0-linux-x86_64 kibana-7.6.0
vi /elk/kibana-7.6.0/config/kibana.yml
#解除註釋,並修改成以下內容
server.port: 5601
server.host: "0.0.0.0"     #允許遠程訪問
elasticsearch.hosts: ["http://localhost:9200"]    //修改成自己集羣的地址
#Kibana should not be run as root. 可以新建個kibana用戶和組與elasticsearch一樣,這裏我們直接以root用戶運行
nohup ./kibana --allow-root &

運行成功
主頁

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

無需重新學習,使用 Kibana 查詢/可視化 SLS 數據

作者:荊磊 場景 現在通過 SLS 的 ES 兼容能力,可以很方便地實現用 Kibana 來查詢和可視化 SLS 的數據。對於從 ES 遷移到 SLS 的用戶可以繼續保留原來的 Kibana 使用習慣。下面來演示如何通過 Kibana 來訪

原創 2024-04-28 21:12:20

更優性能與性價比,從自建 ELK 遷移到 SLS 開始

作者:荊磊 背景 ELK (Elasticsearch、Logstash、Kibana) 是當下開源領域主流的日誌解決方案,在可觀測場景下有比較廣泛的應用。 隨着數字化進程加速,機器數據日誌增加,自建 ELK 在面臨大規模數據、查詢性能等方

原創 2024-04-15 21:12:22

甲方安全建設之日誌採集實操乾貨

前言 沒有永遠的安全,如何在被攻擊的情況下,快速響應和快速溯源分析攻擊動作是個重要的話題。想要分析攻擊者做了什麼、怎麼攻擊進來的、還攻擊了誰,那麼日誌是必不可少的一項,因此我們需要儘可能採集多的日誌來進行分析攻擊者的動作,甚至在攻擊者剛落

原創 2024-04-07 22:46:03

如何保障服務的高可用:提升可觀測性

保障服務的高可用,必不可少的措施,就是需要對服務資源使用度量情況、運行異常、邏輯錯誤、請求鏈路、等各項度量指標、日誌和鏈路瞭如指掌,並且通過對服務的實時監控和分析,配置指標預警值,對異常進行告警,通知到相關負責人,通過可觀測性的提升,預防和

原創 2024-02-26 00:41:47

日誌架構演進:從集中式到分佈式的Kubernetes日誌策略

當我們沒有使用雲原生方案部署應用時採用的日誌方案往往是 ELK 技術棧。 這套技術方案比較成熟,穩定性也很高,所以幾乎成爲了當時的標配。 可是隨着我們使用 kubernetes 步入雲原生的時代後, kubernetes 把以往的操作系統

原創 2024-04-23 11:47:10

架構設計|基於 raft-listener 實現實時同步的主備集羣

背景以及需求 線上業務對數據庫可用性可靠性要求較高,要求需要有雙 AZ 的主備容災機制。 主備集羣要求數據和 schema 信息實時同步,數據同步平均時延要求在 1s 之內,p99 要求在 2s 之內。 主備集羣數據要求一致 要求能夠在主

原創 2024-04-18 01:07:18

美團外賣基於GPU的向量檢索系統實踐

到家搜索業務具有數據量大、過濾比高等特點,爲了在保證高召回率的同時進一步提高檢索性能,美團到家搜索技術團隊與基礎研發機器學習平臺團隊基於GPU實現了支持向量+標量混合檢索的通用檢索系統,召回率與檢索性能均有較大提升。本文將介紹我們在GPU

原創 2024-04-12 21:15:18

高維解碼|Redis 收緊許可證!開源軟件公司如何在雲時代生存?

最近,Redis 從開放源代碼的 BSD 許可證過渡到了更加限制性的 Server Side Public License (SSPLv1)。一石激起千層浪,Redis 的這一舉動,不僅分化了前 Redis 維護者,也再次引發業界對於“開

原創 2024-04-08 21:20:20

elasticsearch 監控查看活躍的search

GET _nodes/stats indexing 顯示已經索引了多少文檔。這個值是一個累加計數器。在文檔被刪除的時候,數值不會下降。還要注意的是,在發生內部 索引 操作的時候,這個值也會增加,比如說文檔更新。 還列出了索引操作耗費

原創 2024-04-07 13:07:02

阿里雲PAI大模型RAG對話系統最佳實踐

去年4月至9月,阿里雲人工智能平臺 PAI 團隊與大數據基礎工程技術團隊合作,構建了基於知識庫檢索增強的大模型答疑對話機器人,並在阿里雲官方答疑鏈路、研發小蜜、釘釘大數據技術服務助手等多個線上場景上線,顯著提升答疑效率。相關文檔:【萬字長文

原創 2024-03-15 00:43:34

KubeSphere 社區雙週報|2024.02.29-03.14

KubeSphere 社區雙週報主要整理展示新增的貢獻者名單和證書、新增的講師證書以及兩週內提交過 commit 的貢獻者,並對近期重要的 PR 進行解析,同時還包含了線上/線下活動和佈道推廣等一系列社區動態。 本次雙週報涵蓋時間爲:202

原創 2024-03-14 23:29:59

日誌服務 SLS 深度解析:擁抱雲原生和 AI,基於 SLS 的可觀測分析創新

10 月 31 日,杭州雲棲大會上,日誌服務 SLS 研發負責人簡志和產品經理孟威等發表了《日誌服務 SLS 深度解析:擁抱雲原生和 AI,基於 SLS 的可觀測分析創新》的主題演講,對阿里雲日誌服務 SLS 產品服務創新以及背後的技術積累

原創 2023-12-15 01:19:01

雲原生網關可觀測性綜合實踐

作者:鈺誠 可觀測性 可觀測性(Observability)是指系統、應用程序或服務的運行狀態、性能和行爲能夠被有效地監測、理解和調試的能力。 隨着系統架構從單體架構到集羣架構再到微服務架構的演進,業務越來越龐大,也越來越複雜。雲原生時代背

原創 2023-10-11 21:14:40

經緯恆潤重磅推出第七代前視單目攝像頭控制器

       隨着L2+自動駕駛功能的普及,整車架構的升級,以及越來越高的法規要求,ADAS產品的開發迎來了更高的挑戰:一方面,需要提高ADAS產品的整車性能,以應對更多的使用場景;另一方面,需要考慮ADAS的綜合成本,以應對量產壓力。據相

原創 2023-09-05 11:11:12

Java日誌框架學習

前言   Java開發者對於日誌框架,想必都不陌生。我自己使用過的有Log4j、logback。作爲Java開發者,應該都遇到因日誌包衝突導致的異常問題,排查過程也或多或少知曉 Java日誌接口包、橋接包、產品包的混亂關係,本篇目的是爲了

原創 2024-02-22 23:52:29