2019獨角獸企業重金招聘Python工程師標準>>>

https://my.oschina.net/itblog/blog/547250

摘要: 前段時間研究的Log4j+Kafka中，有人建議把Kafka收集到的日志存放于ES（ElasticSearch，一款基于Apache Lucene的開源分布式搜索引擎）中便于查找和分析，在研究此方案可行性的時候，我發現ELK（ElasticSearch, Logstash, Kibana）平臺恰好可以同時實現日志收集、日志搜索和日志分析的功能，于是又去學習了一番。之后發現如果使用這三者，收集日志也可以不再使用Kafka了，Logstash就可以幫我們完成。當然，雖然Logstash也支持使用Kafka作為數據源輸入，但是使用這三者就沒有必要再增加系統復雜度了。

ELK平臺介紹

在搜索ELK資料的時候，發現這篇文章比較好，于是摘抄一小段：

以下內容來自：http://baidu.blog.51cto.com/71938/1676798

日志主要包括系統日志、應用程序日志和安全日志。系統運維和開發人員可以通過日志了解服務器軟硬件信息、檢查配置過程中的錯誤及錯誤發生的原因。經常分析日志可以了解服務器的負荷，性能安全性，從而及時采取措施糾正錯誤。

通常，日志被分散的儲存不同的設備上。如果你管理數十上百臺服務器，你還在使用依次登錄每臺機器的傳統方法查閱日志。這樣是不是感覺很繁瑣和效率低下。當務之急我們使用集中化的日志管理，例如：開源的syslog，將所有服務器上的日志收集匯總。

集中化管理日志后，日志的統計和檢索又成為一件比較麻煩的事情，一般我們使用grep、awk和wc等Linux命令能實現檢索和統計，但是對于要求更高的查詢、排序和統計等要求和龐大的機器數量依然使用這樣的方法難免有點力不從心。

開源實時日志分析ELK平臺能夠完美的解決我們上述的問題，ELK由ElasticSearch、Logstash和Kiabana三個開源工具組成。官方網站：https://www.elastic.co/products

• Elasticsearch是個開源分布式搜索引擎，它的特點有：分布式，零配置，自動發現，索引自動分片，索引副本機制，restful風格接口，多數據源，自動搜索負載等。

• Logstash是一個完全開源的工具，他可以對你的日志進行收集、過濾，并將其存儲供以后使用（如，搜索）。

• Kibana 也是一個開源和免費的工具，它Kibana可以為 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以幫助您匯總、分析和搜索重要數據日志。

----------------------------摘抄內容結束-------------------------------

畫了一個ELK工作的原理圖：

如圖：Logstash收集AppServer產生的Log，并存放到ElasticSearch集群中，而Kibana則從ES集群中查詢數據生成圖表，再返回給Browser。

?

ELK平臺搭建

系統環境

System: Centos release 6.7 (Final)

ElasticSearch: 2.1.0

Logstash: 2.1.1

Kibana: 4.3.0

Java: openjdk version ?"1.8.0_65"

注：由于Logstash的運行依賴于Java環境， 而Logstash 1.5以上版本不低于java 1.7，因此推薦使用最新版本的Java。因為我們只需要Java的運行環境，所以可以只安裝JRE，不過這里我依然使用JDK，請自行搜索安裝。

ELK下載：https://www.elastic.co/downloads/

?

ElasticSearch

配置ElasticSearch：

tar?-zxvf?elasticsearch-2.1.0.tar.gz cd?elasticsearch-2.1.0

安裝Head插件（Optional）：

./bin/plugin?install?mobz/elasticsearch-head

然后編輯ES的配置文件：

vi?config/elasticsearch.yml

修改以下配置項：

cluster.name=es_cluster node.name=node0 path.data=/tmp/elasticsearch/data path.logs=/tmp/elasticsearch/logs #當前hostname或IP，我這里是centos2 network.host=centos2 network.port=9200

其他的選項保持默認，然后啟動ES：

./bin/elasticsearch

可以看到，它跟其他的節點的傳輸端口為9300，接受HTTP請求的端口為9200。

使用ctrl+C停止。當然，也可以使用后臺進程的方式啟動ES：

./bin/elasticsearch?&

然后可以打開頁面localhost:9200，將會看到以下內容：

返回展示了配置的cluster_name和name，以及安裝的ES的版本等信息。

剛剛安裝的head插件，它是一個用瀏覽器跟ES集群交互的插件，可以查看集群狀態、集群的doc內容、執行搜索和普通的Rest請求等。現在也可以使用它打開localhost:9200/_plugin/head頁面來查看ES集群狀態：

可以看到，現在，ES集群中沒有index，也沒有type，因此這兩條是空的。

?

Logstash

Logstash的功能如下：

其實它就是一個收集器而已，我們需要為它指定Input和Output（當然Input和Output可以為多個）。由于我們需要把Java代碼中Log4j的日志輸出到ElasticSearch中，因此這里的Input就是Log4j，而Output就是ElasticSearch。

配置Logstash：

tar?-zxvf?logstash-2.1.1.tar.gz cd?logstash-2.1.1

編寫配置文件(名字和位置可以隨意，這里我放在config目錄下，取名為log4j_to_es.conf)：

mkdir?config vi?config/log4j_to_es.conf

輸入以下內容：

#?For?detail?structure?of?this?file #?Set:?https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html input?{#?For?detail?config?for?log4j?as?input,?#?See:?https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.htmllog4j?{mode?=>?"server"host?=>?"centos2"port?=>?4567} } filter?{#Only?matched?data?are?send?to?output. } output?{#?For?detail?config?for?elasticsearch?as?output,?#?See:?https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.htmlelasticsearch?{action?=>?"index"?????? #The?operation?on?EShosts??=>?"centos2:9200" #ElasticSearch?host,?can?be?array.index??=>?"applog"????? #The?index?to?write?data?to.} }

logstash命令只有2個參數：

因此使用agent來啟動它（使用-f指定配置文件）：

./bin/logstash?agent?-f?config/log4j_to_es.conf

到這里，我們已經可以使用Logstash來收集日志并保存到ES中了，下面來看看項目代碼。

?

Java項目

照例先看項目結構圖：

pom.xml，很簡單，只用到了Log4j庫：

<dependency><groupId>log4j</groupId><artifactId>log4j</artifactId><version>1.2.17</version> </dependency>

log4j.properties，將Log4j的日志輸出到SocketAppender，因為官網是這么說的：

log4j.rootLogger=INFO,console#?for?package?com.demo.elk,?log?would?be?sent?to?socket?appender. log4j.logger.com.demo.elk=DEBUG,?socket#?appender?socket log4j.appender.socket=org.apache.log4j.net.SocketAppender log4j.appender.socket.Port=4567 log4j.appender.socket.RemoteHost=centos2 log4j.appender.socket.layout=org.apache.log4j.PatternLayout log4j.appender.socket.layout.ConversionPattern=%d?[%-5p]?[%l]?%m%n log4j.appender.socket.ReconnectionDelay=10000#?appender?console log4j.appender.console=org.apache.log4j.ConsoleAppender log4j.appender.console.target=System.out log4j.appender.console.layout=org.apache.log4j.PatternLayout log4j.appender.console.layout.ConversionPattern=%d?[%-5p]?[%l]?%m%n

注意：這里的端口號需要跟Logstash監聽的端口號一致，這里是4567。

Application.java，使用Log4j的LOGGER打印日志即可：

package?com.demo.elk;import?org.apache.log4j.Logger;public?class?Application?{private?static?final?Logger?LOGGER?=?Logger.getLogger(Application.class);public?static?void?main(String[]?args)?throws?Exception?{for?(int?i?=?0;?i?<?10;?i++)?{LOGGER.error("Info?log?["?+?i?+?"].");Thread.sleep(500);}} }

用Head插件查看ES狀態和內容

運行Application.java，先看看console的輸出（當然，這個輸出只是為了做驗證，不輸出到console也可以的）：

再來看看ES的head頁面：

切換到Browser標簽：

單擊某一個文檔（doc），則會展示該文檔的所有信息：

可以看到，除了基礎的message字段是我們的日志內容，Logstash還為我們增加了許多字段。而在https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html中也明確說明了這一點：

上面使用了ES的Head插件觀察了ES集群的狀態和數據，但這只是個簡單的用于跟ES交互的頁面而已，并不能生成報表或者圖表什么的，接下來使用Kibana來執行搜索并生成圖表。

?

Kibana

配置Kibana:

tar?-zxvf?kibana-4.3.0-linux-x86.tar.gz cd?kibana-4.3.0-linux-x86 vi?config/kibana.yml

修改以下幾項（由于是單機版的，因此host的值也可以使用localhost來代替，這里僅僅作為演示）：

server.port:?5601 server.host:?“centos2” elasticsearch.url:?http://centos2:9200 kibana.index:?“.kibana”

啟動kibana：

./bin/kibana

用瀏覽器打開該地址：

為了后續使用Kibana，需要配置至少一個Index名字或者Pattern，它用于在分析時確定ES中的Index。這里我輸入之前配置的Index名字applog，Kibana會自動加載該Index下doc的field，并自動選擇合適的field用于圖標中的時間字段：

點擊Create后，可以看到左側增加了配置的Index名字：

接下來切換到Discover標簽上，注意右上角是查詢的時間范圍，如果沒有查找到數據，那么你就可能需要調整這個時間范圍了，這里我選擇Today：

接下來就能看到ES中的數據了：

執行搜索看看呢：

點擊右邊的保存按鈕，保存該查詢為search_all_logs。接下來去Visualize頁面，點擊新建一個柱狀圖（Vertical Bar Chart），然后選擇剛剛保存的查詢search_all_logs，之后，Kibana將生成類似于下圖的柱狀圖（只有10條日志，而且是在同一時間段的，比較丑，但足可以說明問題了：) ?）：

你可以在左邊設置圖形的各項參數，點擊Apply Changes按鈕，右邊的圖形將被更新。同理，其他類型的圖形都可以實時更新。

點擊右邊的保存，保存此圖，命名為search_all_logs_visual。接下來切換到Dashboard頁面：

單擊新建按鈕，選擇剛剛保存的search_all_logs_visual圖形，面板上將展示該圖：

如果有較多數據，我們可以根據業務需求和關注點在Dashboard頁面添加多個圖表：柱形圖，折線圖，地圖，餅圖等等。當然，我們可以設置更新頻率，讓圖表自動更新：

如果設置的時間間隔夠短，就很趨近于實時分析了。

到這里，ELK平臺部署和基本的測試已完成。

?

參考：

http://baidu.blog.51cto.com/71938/1676798

http://blog.csdn.net/cnweike/article/details/33736429

轉載于:https://my.oschina.net/qiangzigege/blog/845430

總結

以上是生活随笔為你收集整理的网友写的ELK安装步骤的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。