一、ELK 概述
1. 为什么要使用 ELK
日志主要包括系统日志、应用程序日志和安全日志。系统远维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。
往往单台机器的日志我们使用 grep、awk 等工具就能基本实现简单分析,但是当日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的 rsysiocg,将所有服务器上的日志收集汇总。集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用 grep、awk 和 wc 等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。
一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以提高定位问题的效率。
总结:服务器多的情况下很难去获取日志,使用 rsyslog 或者 脚本查看也很麻烦,这个时候就需要使用 ELK。
2. 完整日志系统基本特征
- 收集:能够采集多种来源的日志数据;
- 传输:能够稳定的把日志数据解析过滤并传输到存储系统;
- 存储:存储日志数据;
- 分析:支持UI分析;
- 警告:能够提供错误报告,监控机制。
3. ELK 简介
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。
3.1 ElasticSearch(ES)
ElasticSearch是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
Elasticsearch是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大容量的日志数据,也可用于搜索许多不同类型的文档。
总结:Elasticsearch 类似于数据库,存储日志数据,内置搜索引擎用作日志全文检索。
3.2 Kiabana
Kibana 通常与 Elasticsearch 一起部署,Kibana 是 Elasticsearch 的一个功能强大的数据可视化 Dashboard,Kibana 提供图形化的 web 界面来浏览 Elasticsearch 日志数据,可以用来汇总、分析和搜索重要数据。
总结:Kibana对ES数据库存储的日志数据进行可视化一种工具。
3.3 Logstash
Logstash作为数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置,一般会发送给 Elasticsearch。
Logstash 由 Ruby 语言编写,运行在 Java 虚拟机(JVM)上,是一款强大的数据处理工具, 可以实现数据传输、格式处理、格式化输出。Logstash 具有强大的插件功能,常用于日志处理。
总结:Logstash是一种日志处理工具,从数据库收集数据,对日志数据进行过滤、格式化输出等操作。
3.4 其它组件
Filebeat
轻量级的开源日志文件数据搜集器。通常在需要采集数据的客户端安装 Filebeat,并指定目录与日志格式,Filebeat 就能快速收集数据,并发送给 logstash 进行解析,或是直接发给 Elasticsearch 存储,性能上相比运行于 JVM 上的 logstash 优势明显,是对它的替代。常应用于 EFLK 架构或者 ELFK 架构当中。
Filebeat 结合 Logstash 带来好处
- 通过 Logstash 具有基于磁盘的自适应缓冲系统,该系统将吸收传入的吞吐量,从而减轻 Elasticsearch 持续写入数据的压力;
- 从其他数据源(例如数据库,S3对象存储或消息传递队列)中提取;
- 将数据发送到多个目的地,例如S3,HDFS(Hadoop分布式文件系统)或写入文件;
- 使用条件数据流逻辑组成更复杂的处理管道。
总结:filebeat 是一款轻量级日志收集工具,可以和 logstash 结合使用从而减少 Elasticsearch 的写入压力。
缓存/消息队列
缓存/消息队列( redis、kafka、RabbitMQ 等)可以对高并发日志数据进行流量削峰和缓冲,这样的缓冲可以一定程度的保护数据不丢失,还可以对整个架构进行应用解耦。
总结:kafka作为消息队列,实现流量削峰、缓冲。
Fluentd
Fluentd是一个流行的开源数据收集器。由于 logstash 太重量级的缺点,Logstash 性能低、资源消耗比较多等问题,随后就有 Fluentd 的出现。相比较 logstash,Fluentd 更易用、资源消耗更少、性能更高,在数据处理上更高效可靠,受到企业欢迎,成为 logstash 的一种替代方案,常应用于 EFK 架构当中。在 Kubernetes 集群中也常使用 EFK 作为日志数据收集的方案。
在 Kubernetes 集群中一般是通过 DaemonSet 来运行 Fluentd,以便它在每个 Kubernetes 工作节点上都可以运行一个 Pod。 它通过获取容器日志文件、过滤和转换日志数据,然后将数据传递到 Elasticsearch 集群,在该集群中对其进行索引和存储。
总结:fluentd工具用来日志收集和传输。
4. ELK 的工作原理
(1)在所有需要收集日志的服务器上部署Logstash;或者先将日志进行集中化管理在日志服务器上,在日志服务器上部署 Logstash。
(2)Logstash 收集日志,将日志格式化并输出到 Elasticsearch 群集中。
(3)Elasticsearch 对格式化后的数据进行索引和存储。
(4)Kibana 从 ES 群集中查询数据生成图表,并进行前端数据的展示。
总结:logstash作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交由Elasticsearch存储,kibana对日志进行可视化处理。
5. Linux 系统内核日志消息的优先级别
数字等级越小,优先级越高,消息越重要文章来源:https://www.toymoban.com/news/detail-557344.html
| 数字等级 | 优先级 | 消息内容 |
|---|---|---|
| 0 | EMERG (紧急) | 会导致主机系统不可用的情况。如系统崩溃。 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题。如数据库被破坏 |
| 2 | CRIT(严重) | 比较严重的情况。如硬盘错误,可能会阻碍程序的部分功能。 |
| 3 | ERR(错误)) | 运行出现错误。不是非常紧急,尽快修复的 |
| 4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件。不是错误,如磁盘用了85%等。 |
| 5 | NOTICE (注意) | 不会影响正常功能,但是需要注意的事件。无需处理。 |
| 6 | INEO(信息) | 一般信息。正常的系统信息。 |
| 7 | DEBUG(调试) | 程序或系统调试信息等。包含详细开发的信息,调试程序时使用。 |
| - | none | 没有优先级,不记录任何日志消息。 |
二、 部署 ELK 集群服务器架构
1. 服务器设置
node1节点(2C/4G):node1/192.168.145.15 Elasticsearch
node2节点(2C/4G):node2/192.168.145.30 Elasticsearch
Apache节点:apache/192.168.145.45 Logstash Kibana Apache
systemctl stop firewalld
setenforce 0
文章来源地址https://www.toymoban.com/news/detail-557344.html
2. ELK Elasticsearch 集群部署
2.1 环境准备
#设置Java环境
java -version #如果没有安装,yum -y install java
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-b12)
OpenJDK 64-Bit到了这里,关于【Distributed】分布式ELK日志文件分析系统(一)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
