Linux的企業-ELK日誌分析
一、簡介
1、核心組成
ELK由Elasticsearch、Logstash和Kibana三部分組件組成;
Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式,零配置,自動發現,索引自動分片,索引副本機制,restful風格接口,多數據源,自動搜索負載等。
Logstash是一個完全開源的工具,它可以對你的日誌進行收集、分析,並將其存儲供以後使用
kibana 是一個開源和免費的工具,它可以為 Logstash 和 ElasticSearch 提供的日誌分析友好的 Web 界面,可以幫助您匯總、分析和搜索重要數據日誌。
2、四大組件
Logstash: logstash server端用來搜集日誌;
Elasticsearch: 存儲各類日誌;
Kibana: web化接口用作查尋和可視化日誌;
Logstash Forwarder: logstash client端用來通過lumberjack 網絡協議發送日誌到logstash server;
3、ELK工作流程
在 需要收集日誌的所有服務上部署logstash,作為logstash agent(logstash shipper)用於監控並過濾收集日誌,將過濾後的內容發送到Redis,然後logstash indexer將日誌收集在一起交給全文搜索服務ElasticSearch,可以用ElasticSearch進行自定義搜索通過Kibana 來結合自定義搜索進行頁面展示。
4、ELK的幫助手冊
ELK官網:https://www.elastic.co/
ELK官網文檔:https://www.elastic.co/guide/index.html
ELK中文手冊:http://kibana.logstash.es/content/elasticsearch/monitor/logging.html
註釋
ELK有兩種安裝方式
(1)集成環境:Logstash有一個集成包,裏面包括了其全套的三個組件;也就是安裝一個集成包。
(2)獨立環境:三個組件分別單獨安裝、運行、各司其職。(比較常用)
二.安裝配置
1.環境配置
server1:172.25.29.1 master
server2:172.25.29.2 data
server3:172.25.29.3 data
2.安裝
安裝java環境
3.配置server1
4.測試是否正常
三.安裝head插件,web訪問管理節點,增加數據存儲節點
1.安裝插件
查看插件是否安裝成功
2.網頁通過訪問管理節點172.25.29.1:9200/_plugin/head/
測試采集
3.增加第二臺主機server2
安裝配置服務,註意打開server1和server2的discovery選項,並修改正確的主機名
server1和server2都要修改
4.訪問master節點,server1和server顯示正常
Linux的企業-ELK日誌分析