2. 程式人生 > >elk日誌上報

elk日誌上報

阿新 發佈:2018-12-30

(一)ELK介紹:

Elasticsearch + Logstash + Kibana(ELK)是一套開源的日誌管理方案
Logstash:負責日誌的收集,處理和儲存
Elasticsearch:負責日誌檢索和分析
Kibana:負責日誌的視覺化

工作流程:

elk

nginx日誌格式分析

log_format  main  '$host $remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent $upstream_response_time "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for" "$uid_got" "$uid_set" "$http_x_tencent_ua" "$upstream_addr"';

解析nginx日誌格式

$host           客戶端請求的時輸入域名或IP
$remote_addr    客戶端的IP
$remote_user    客戶的名稱
[$time_local]   傳送請求時的本地時間
$request        請求的url和使用http協議版本
$status         對於此次請求返回的狀態
$body_bytes_sent  此次請求得到的位元組數(不包含頭部)
$upstream_response_time upstream  響應這次請求的時間
$http_referer          請求的頁面是從哪個頁面跳轉過來的
$http_user_agent       客戶端使用的瀏覽器型別
$http_x_forwarded_for  使用代理後,能夠記錄真實使用者的IP地址
$uid_got   收到的客戶端的cookie標識
$uid_set   傳送給客戶端的cookie標識
$http_x_tencent_ua 
$upstream_addr  真實處理這次請求的主機ip

關於nginx中logstash中grok規則

%{IP:ServerHost} %{IP:agencyip} - - \[(?<localTime>.*)\] \"(?<verb>\w{3,4}) (?<site>.*?(?=\s)) (?<httpprotcol>.*?)\" (?<statuscode>\d{3}) (?<bytes>\d+) (?<responsetime>(\d+|-)) \"(?<referer>.*?)\" \"(?<agent>.*?)\" \"(?<realclientip
 
>(-|\d+))\" \"(?<uid_got>(-|\d+))\" \"(?<uid_set>(-|\d+))\" \"(?<tencent_ua>(-|\d+))\" \"(?<upstream_ip>(-|\d+))\"

(二)實現elk收集Nginx日誌

1、filebeat

安裝

#wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.2.2-linux-x86.tar.gz
# tar xvf filebeat-5.2.2-linux-x86.tar.gz

配置

#vim filebeat.yml
    - input_type: log
      paths:
         - /var/log/nginx/*log
    output.logstash:
          hosts: ["192.168.1.141:5044"]

啟動

# ./filebeat  -e -c filebeat.yml

2、logstash

安裝

#wget https://artifacts.elastic.co/downloads/logstash/logstash-5.2.2.tar.gz
# tar xvf logstash-5.2.2.tar.gz

logstash配置:grok的正則

[[email protected] logstash-5.2.2]# vim patterns/test
#對訪問日誌的匹配

ACCESSLOG %{HOSTNAME:http_host} %{IPORHOST:remote_addr} - (%{USERNAME:user}|-) \[%{HTTPDATE:log_timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{BASE10NUM:http_status} (?:%{BASE10NUM:body_bytes_sent}|-) (%{BASE16FLOAT:upstream_response_time}|-) "(%{DATA:http_referer}|-)" %{QS:client_agent} "(%{DATA:http_x_forwarded_for}|-)" "(%{DATA:uid_got}|-)" %{DATA:uid_set} "(%{DATA:http_x_tencent_ua}|-)" "(?:%{DATA:upstream_add}|-)"

對錯誤日誌的匹配

ERRORLOG %{DATESTAMP:timestamp} \[%{LOGLEVEL:err_level}\] %{GREEDYDATA:err_mess}

配置檔案

# cat conf.d/nginx.conf 
input {
    beats {
        port => 5044 
    }
}

filter {
           if ([source] =~ "access")
           {
            grok {
              patterns_dir => "/usr/local/logstash-5.2.2/patterns/"
              match => {"message" => "%{ACCESSLOG}"}
             }

           date {
                  match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
                 }
           }

           if ([source] =~ "error" )
           { 
             grok{
              patterns_dir => "/usr/local/logstash-5.2.2/patterns/"
              match => {"message" => "%{ERRORLOG}"}
             }

            date {
                match => ["log_timestamp","yy/MM/dd HH:mm:ss"]
               } 
           }
}

output {
     elasticsearch { hosts => ["192.168.1.134:9200"] }
     stdout { codec=>rubydebug}  #輸出到螢幕
}

啟動logstash: 

# bin/logstash -f conf.d/mytest.conf --config.test_and_exit
# bin/logstash -f conf.d/nginx.conf

3、ElasticSearch

安裝

#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.2.2.zip
unzip elasticsearch-5.2.2.zip
cd elasticsearch-5.2.2/

elasticsearch配置

[[email protected] elasticsearch-5.2.2]$ cat config/elasticsearch.yml |grep -Ev "^#|^$" 
network.host: 192.168.1.134
http.port: 9200
discovery.zen.ping.unicast.hosts: ["192.168.1.134"]
discovery.zen.minimum_master_nodes: 1
bootstrap.system_call_filter: false

$ cat config/jvm.options |grep -Ev "^#|^$" 
-Xmx128M
-Xms128M
.......(預設配置)

es切換到普通使用者啟動

#useradd es -p 123456
#su - es
$bin/elasticsearch

4、kibana

#kibana-5.2.2-windows-x86.zip
#解壓後進入目錄編輯配置檔案
server.port: 5601
server.host: "192.168.3.57"
elasticsearch.url: "http://192.168.1.134:9200"
啟動 
#bin\kibana.bat
驗證
瀏覽器輸入: 192.168.3.57:5601
可以檢視到收集的nginx日誌資訊

(三)elk安裝報錯與解決

1、logstash測試報錯

[2017-03-20T14:53:41,781][ERROR][logstash.agent           ] Cannot load an invalid configuration {:reason=>"Expected one of #, input, filter, output at line 1, column 19 (byte 19) after "}

解決:

 bin/logstash -e 'input { stdin { } } output { stdout {codec=>rubydebug} }'

2、啟動elasticsearch失敗

[[email protected] elasticsearch-5.2.2]# bin/elasticsearch
Error: encountered environment variables that are no longer supported
Use jvm.options or ES_JAVA_OPTS to configure the JVM
ES_HEAP_SIZE=512m: set -Xms512m and -Xmx512m in jvm.options or add "-Xms512m -Xmx512m" to ES_JAVA_OPTS

解決jvm:

$ vim config/jvm.options 
-Xmx128M
-Xms128M
#sh -x bin/elasticsearch

3、啟動elasticsearch失敗

# ./bin/elasticsearch
[2017-03-21T09:49:15,924][WARN ][o.e.b.ElasticsearchUncaughtExceptionHandler] [] uncaught exception in thread [main]
org.elasticsearch.bootstrap.StartupException: java.lang.RuntimeException: can not run elasticsearch as root
at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:125) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:112) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.cli.SettingCommand.execute(SettingCommand.java:54) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:122) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.cli.Command.main(Command.java:88) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:89) ~[elasticsearch-5.2.2.jar:5.2.2]
at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:82) ~[elasticsearch-5.2.2.jar:5.2.2]
Caused by: java.lang.RuntimeException: can not run elasticsearch as root

解決:

#useradd es -p 123456
#su - es
$ ./bin/elasticsearch

4、修改network=IP報錯

ERROR: bootstrap checks failed
initial heap size [130023424] not equal to maximum heap size [134217728]; this can cause resize pauses and prevents mlockall from locking the entire heap
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

解決:

[[email protected] elasticsearch-5.2.2]# sysctl -w 
vm.max_map_count=262144
vm.max_map_count = 262144
[[email protected] elasticsearch-5.2.2]# sysctl -a |grep vm.max_map_count
vm.max_map_count = 262144

# tail -1  /etc/sysctl.conf
vm.max_map_count=262144
# sysctl -p

5、bookstrap checks failed失敗

ERROR: bootstrap checks failed
max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]
system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

解決:

# tail -2 /etc/security/limits.conf
es soft nofile 65536
es hard nofile 65536

6、bookstrap checks failed失敗

[FMOoYUT] bound or publishing to a non-loopback or non-link-local address, enforcing bootstrap checks
ERROR: bootstrap checks failed
system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

解決:

# tail -1 config/elasticsearch.yml
 bootstrap.system_call_filter: false

相關推薦

elk日誌上報

(一)ELK介紹: Elasticsearch + Logstash + Kibana(ELK)是一套開源的日誌管理方案 Logstash:負責日誌的收集,處理和儲存 Elasticsearch:負責日誌檢索和分析 Kibana:負責日誌的視覺化

Docker下ELK三部曲之三:K8S上的ELK和應用日誌上報

本章是《Docker下ELK三部曲》系列的終篇,前面章節已經詳述了ELK環境的搭建以及如何製作自動上報日誌的應用映象,今天我們把ELK和web應用釋出到K8S環境下,模擬多個後臺server同時上報日誌的場景; 前文連結 關於K8S 基礎結

K8S上的ELK和應用日誌上報實戰

com 其他 aml ssh ide 1.8 再次 svc 瀏覽器 來源:DevOps ID:Idevops168 本次實戰的基礎結構如下圖所示: 一共有兩個Pod:ELK和web應用; ELK的Pod會暴露兩個服務,一個暴露logstash的50

ELK日誌分析系統 介紹 安裝配置

elkELK日誌分析系統一、ELK介紹 ELK顧名思義:是由Elasticsearch,Logstash 和 Kibana三部分組成的。 其中Elasticsearch 是一個實時的分布式搜索和分析引擎,它可以用於全文搜索,結構化搜索以及分析。它是一個建立在全文搜索引擎 Apache Lucene

ELK 日誌服務器安裝部署

搜索引擎 應用程序 服務器 安全性 數據源 高清原文 烏龜運維 wuguiyunwei.com簡單介紹:ELK是三個開源工具組成,簡單解釋如下:Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式,零配置,自動發現,索引自動分片,索引副本機制,restful風格接口,多數據

ELK日誌分析系統搭建配置

elk我們主要用ELK日誌分析系統來分析Nginx訪問日誌,mysql慢查詢日誌,tomcat運行日誌以及系統日誌等。介紹:ELK:ElasticSearch+LogStash+Kibana=ElkStackElasticSearch:存儲、收索、分析(可以用solr替代)LogStash:收集器,輸入,處理

ELK日誌平臺---老男孩教育筆記

elk日誌平臺環境的困境(原因)1、開發人員不能登錄線上服務器查看相信日誌;2、各個系統都有日誌,日誌數據分散難以查找;3、日誌數據量大,查詢速度慢,或者數據不夠及時。(狀態碼 400 的 top10)收集->存儲->統計->報警、、、Elastic Search + Logstash +K

ELK日誌平臺----解耦配置文件

elk日誌分析平臺本文記錄了三個配置文件:第一個:all.conf 通過一個配置文件,配置輸入輸出,實例;第二個:shipper.conf配置logstash收集日誌內容到redis裏;第三個:indexer.conf配置logstash從redis裏讀取日誌內容輸出到Elasticsearch裏。第二個跟第

ELK 日誌分析系統

日誌 elk 分析系統 轉自:http://467754239.blog.51cto.com/4878013/1700828/ 一、簡介1、核心組成ELK由Elasticsearch、Logstash和Kibana三部分組件組成;Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式

第二十三周微職位elk日誌系統

elk+nginx日誌系統利用ELK+redis搭建一套nginx日誌分析平臺。logstash,elasticsearch,kibana 怎麽進行nginx的日誌分析呢?首先,架構方面,nginx是有日誌文件的,它的每個請求的狀態等都有日誌文件進行記錄。其次,需要有個隊列,redis的list結構正好可以作

ELK日誌分析平臺搭建全程

elk環境: OS:Centos 6.6 elasticsearch-5.6.3.tar.gzjdk-8u151-linux-x64.tar.gzkibana-5.6.3-linux-x86_64.tar.gzlogstash-5.6.3.tar.gznode-v6.11.4-linux-x64.tar

Linux的企業-ELK日誌分析

elk日誌分析一、簡介1、核心組成ELK由Elasticsearch、Logstash和Kibana三部分組件組成;Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式,零配置,自動發現,索引自動分片,索引副本機制,restful風格接口,多數據源,自動搜索負載等。Logstash是一個完全開

Windows搭建Log4Net+FileBeat+ELK日誌分析系統過程以及問題總結

程序 列表 dia could 重新 font 無法 elk 遇到 安裝流程: 稍後補充 參考內容:http://udn.yyuap.com/thread-54591-1-1.html ; https://www.cnblogs.com/ya

Windows系統下Log4Net+FileBeat+ELK日誌分析系統問題總結

主機 2-0 ngs 提示 編碼 規則 ast 進行 同步問題 問題如下:1.FileBeat日誌報 "dial tcp 127.0.0.1:5544: connectex: No connection could be made because the target ma

centos7 部署 ELK 日誌系統

stash 修改配置 ali 分享 install .cn data entos 生產環境 =============================================== 2017/12/17_第1次修改 ccb

ELK日誌收集平臺部署

elk 日誌收集需求背景 一位朋友的公司研發最近有一些苦惱。由於他們公司的後臺服務有三臺,每當後臺服務運行異常,需要看日誌排查錯誤的時候,都必須開啟3個ssh窗口進行查看,研發們覺得很不方便,於是便有了統一日誌收集與查看的需求。 這裏,我用ELK集群,通過收集三臺後臺服務的日誌,再統

ELK日誌分析平臺部署實錄

linux elk [root@king01 ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch[root@king01 ~]# vim /etc/yum.repos.d/elasticsearch.repo[elas

debian安裝ELK日誌服務器配置apt鏡像源

debian安裝ELK日誌服務器apt elk鏡像源;elk 網上有很多寫Ubantua安裝ELK日誌服務的文檔資料,但是很少有Debian安裝的文檔。因為前期對ELK接觸很少,使用Debian安裝總是在配置apt安裝源的時候無法進行安裝。經過扒翻資料,終於找到ELK官網給出的正解。如下:1、安裝ja

filebeat+redis+elk日誌平臺搭建

filebeat elk redisfilebeat+redis+elk系統:centos7.1 x86_64filebeat: 6.2.3logstash: 6.2.3elasticsearch: 6.2.3kibana: 6.2.3架構如下:配置yum源:導入驗證文件rpm --import http

ELK日誌系統:Elasticsearch+Logstash+Kibana搭建教程

htpasswd ins 4.2 httpd 2.3 ted location parser oracle ELK日誌系統:Elasticsearch + Logstash + Kibana 搭建教程 安裝配置JDK環境 JDK安裝(不能安裝JRE) JDK下載地址:htt