程序猿成长计划:ELK日志系统搭建与运维指南
ELK日志系统是程序猿成长计划中不可或缺的一环,它由Elasticsearch、Logstash和Kibana三大组件构成,能够帮助中小团队实现日志的集中式收集、处理和分析。本文将为你提供一份完整的ELK日志系统搭建与运维指南,让你快速掌握这一强大工具的使用方法。## 一、ELK日志系统简介ELK是三个开源项目的首字母缩写,分别是Elasticsearch、Logstash和Kibana。
程序猿成长计划:ELK日志系统搭建与运维指南
【免费下载链接】growing-up 程序猿成长计划 
项目地址: https://gitcode.com/gh_mirrors/gr/growing-up
ELK日志系统是程序猿成长计划中不可或缺的一环,它由Elasticsearch、Logstash和Kibana三大组件构成,能够帮助中小团队实现日志的集中式收集、处理和分析。本文将为你提供一份完整的ELK日志系统搭建与运维指南,让你快速掌握这一强大工具的使用方法。
一、ELK日志系统简介
ELK是三个开源项目的首字母缩写,分别是Elasticsearch、Logstash和Kibana。Elasticsearch是一个分布式搜索引擎,用于存储和检索日志数据;Logstash是一个日志收集和处理工具,能够从多种来源收集日志并进行过滤、转换;Kibana是一个数据可视化平台,用于展示和分析Elasticsearch中的数据。
二、ELK环境安装
2.1 准备工作
为了方便演示,我们使用vagrant创建两个centos/7的虚拟机进行演示:
- 虚拟机10.100.100.10安装整个ELK服务(单机版)
- 虚拟机10.100.100.11作为应用服务器,安装Filebeat进行日志收集
2.2 ELK服务安装
首先创建ELK服务虚拟机:
mkdir elk && cd elk
vagrant init centos/7
修改Vagrantfile:
Vagrant.configure("2") do |config|
config.vm.box = "centos/7"
config.vm.network "private_network", ip: "10.100.100.10"
config.vm.provider "virtualbox" do |vb|
vb.memory = "2048"
end
end
启动虚拟机并登录:
vagrant up
vagrant ssh
关闭防火墙:
sudo service firewalld stop
sudo systemctl disable firewalld
创建elk的yum仓库配置,保存为/etc/yum.repos.d/elk-6.repo:
[logstash-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
[kibana-6.x]
name=Kibana repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
安装JDK和ELK:
# 安装open JDK
sudo yum install java-1.8.0-openjdk -y
# 安装ELK
sudo yum install logstash elasticsearch kibana -y
三、Logstash配置
3.1 启动与关闭命令
CentOS 7使用Systemd:
sudo systemctl start logstash.service
sudo systemctl stop logstash.service
3.2 配置文件结构
Logstash的配置格式分为三段:input,filter,output。
- input:接收输入,可以聚合多个输入来源的日志
- filter:过滤规则,对日志数据按照规则过滤、分析
- output:输出,将处理后的日志数据输出到ElasticSearch等
3.3 配置示例
创建日志收集配置文件/etc/logstash/conf.d/biz-logs.conf:
3.3.1 Input配置
input {
beats {
port => 5044
}
}
3.3.2 Filter配置
针对不同类型的日志,我们可以使用不同的过滤规则:
PHP慢查询日志处理:
ruby {
code => "lines = event.get('message').split('\n')
occur_time, pool_name, pid = lines[0].match(/\[(.*?)\] \[pool (.*?)\] pid (\d+)/).captures
script_filename, = lines[1].match(/script_filename = (.*?)$/).captures
stacks = lines[2..-1].map {|line| line[21..-1]}
event.set('stacks', stacks)
event.set('script_filename', script_filename)
event.set('occur_time', occur_time)
event.set('pool_name', pool_name)
event.set('pid', pid)
"
}
date {
match => ["occur_time", "dd-MMM-yyyy HH:mm:ss"]
target => "occur_time"
}
MySQL慢查询日志处理:
grok {
match => {
"message" => "(?m)^#\s+User@Host:\s+%{USER:user}\[[^\]]+\]\s+@\s+(?:(?<clienthost>\S*) )?\[(?:%{IPV4:clientip})?\]\s+Id:\s+%{NUMBER:row_id:int}\n#\s+Query_time:\s+%{NUMBER:query_time:float}\s+Lock_time:\s+%{NUMBER:lock_time:float}\s+Rows_sent:\s+%{NUMBER:rows_sent:int}\s+Rows_examined:\s+%{NUMBER:rows_examined:int}\n\s*(?:use %{DATA:database};\s*\n)?SET\s+timestamp=%{NUMBER:occur_time};\n\s*(?<sql>(?<action>\w+)\b.*;)\s*(?:\n#\s+Time)?.*$"
}
remove_field => ["message"]
}
Nginx错误日志处理:
grok {
match => {
"message" => "(?<occur_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{TIME}) \[%{LOGLEVEL:log_level}\] %{POSINT:pid}#%{NUMBER}: %{GREEDYDATA:error_msg}"
}
remove_field => ["message"]
}
3.4 重要配置项
修改/etc/logstash/logstash.yml:
# 配置Logstash数据存储目录
path.data: /var/lib/logstash
# 配置Logstash日志文件目录
path.logs: /data/logs/logstash
四、ElasticSearch配置
4.1 启动与关闭命令
service elasticsearch start
service elasticsearch stop
4.2 重要配置项
修改ElasticSearch配置文件:
# 集群的名字
cluster.name: yunsom-log-elastic
# Elasticsearch数据存储目录
path.data: /data/elasticsearch
# Elasticsearch日志存储目录
path.logs: /data/logs/elasticsearch
# Elasticsearch请求端口
http.port: 9200
# ElasticSearch绑定的HTTP地址
network.host: 0.0.0.0
五、Kibana配置
5.1 启动与关闭命令
service kibana start
service kibana stop
5.2 重要配置项
修改Kibana配置文件:
# Kibana监听的地址
server.host: "0.0.0.0"
# Kibana监听的端口
server.port: 5601
# ElasticSearch服务地址
elasticsearch.url: "http://localhost:9200"
六、ELK系统运维
6.1 ElasticSearch索引定期清理
创建清理脚本/data/scripts/clear-elasticsearch-index.sh:
#!/bin/bash
#定时清除elk索引,15天
DATE=`date -d "15 days ago" +%Y.%m.%d`
curl -X DELETE "http://127.0.0.1:9200/logstash-$DATE"
curl -X DELETE "http://127.0.0.1:9200/nginx-access-$DATE"
curl -X DELETE "http://127.0.0.1:9200/php-slow-$DATE"
curl -X DELETE "http://127.0.0.1:9200/mysql-slow-$DATE"
增加可执行权限:
chmod +x /data/scripts/clear-elasticsearch-index.sh
配置定时任务:
# 定时每天1点清理过期的elastic日志索引
0 1 * * * /bin/bash /data/scripts/clear-elasticsearch-index.sh
6.2 常见问题解决
- 启动Vagrant时报错yum install执行失败: 忽略错误,登录后修改DNS:
# 修改dns服务器 sudo sh -c "echo 'nameserver 8.8.8.8' > /etc/resolv.conf" # 防止重启后dns被还原 sudo chattr +i /etc/resolv.conf
通过本文的指南,你已经掌握了ELK日志系统的搭建和基本运维方法。ELK作为程序猿成长计划中的重要工具,能够帮助你更好地管理和分析系统日志,提升问题排查效率。开始使用ELK,让你的日志管理工作变得更加简单高效吧!
【免费下载链接】growing-up 程序猿成长计划 项目地址: https://gitcode.com/gh_mirrors/gr/growing-up
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
14
0- 0
已为社区贡献43条内容
所有评论(0)