ELK-介绍及Elasticsearch集群搭建

ELK是三个开源软件的缩写，分别为Elasticsearch、Logstash、kibana它们都是开源软件。后来新增了一个FileBeat，它是一个轻量及的日志收集处理工具，因为Logstash由java程序开发，比较消耗内存资源，后来将Logstash使用go语言重新编译，升级为了FileBeat。
Elasticsearch是一个基于Lucene搜索引擎的NoSql数据库，用于存储Logstash（日志管道工具）收集来的数据，最后由Kibana图形化界面工具来呈现出来，它工作在Elasticsearch之上。
Es集群中没有中心节点，从外部来看ES集群在逻辑上是一个整体，你与任何一个节点的通信和与整个es集群通信都是等价的。
Elasticsearch集群：
- 1）节点（node）：一个节点是集群中的一台服务器，是集群的一部分。它存储数据，参与集群的索引和搜索功能。集群中有一个主节点，主节点通过ES集群内部选举产生。
- 2）集群（cluster）：一组节点组织在一起称为一个集群，它们共同持有整个的数据，并一起提供索引和搜索功能。
- 3）分片（shards）：ES可以把完整的索引分成多个分片，分别存储在不同的节点上。
- 4）副本（replicas）：ES可以为每个分片创建副本，提高查询效率，保证在分片数据丢失后的恢复。
- 分片数量只能在索引创建时指定，索引创建后不能再更改分片数量，但可以改变副本的数量。
本章实验环境介绍：
- 三台服务器：
  - 192.168.8.5、192.168.8.6、192.168.8.7
  - elasticsearch 软件版本：6.6.0
- 开始部署：
  - 三台主机分别安装es：
    - 软件包下载路径：wget https://mirrors.tuna.tsinghua.edu.cn/elasticstack/6.x/yum/6.6.0/elasticsearch-6.6.0.rpm
    - 安装软件包（无需依赖包）：
      - rpm -ivh elasticsearch-6.6.0.rpm
    - elasticsearch目录和文件讲解:
      - /etc/elasticsearch/elasticsearch.yml #配置文件
      - /etc/elasticsearch/jvm.options #java虚拟机
      - /etc/init.d/elasticsearch #服务启动脚本
      - /etc/sysconfig/elasticsearch #elasticsearch服务变量
      - /usr/lib/sysctl.d/elasticsearch.conf #设置elasticsearch用户使用的内存大小
      - /usr/lib/systemd/system/elasticsearch.service #添加系统服务文件
      - /var/log/elasticsearch/elasticsearch.log #日志文件路径
    - 修改配置文件：
      - vim /etc/elasticsearch/elasticsearch.yml
        去掉以下几行前边的注释：
        node.name: node-1 #群集中本机节点名
        
        path.data: /data/elasticsearch #数据目录
        
        path.logs: /var/log/elasticsearch #日志目录
        
        bootstrap.memory_lock: true #锁定内存，需要和/etc/elasticsearch/jvm.options关联
        
        network.host: 192.168.8.10,127.0.0.1 #监听的ip地址
        
        http.port: 9200 #端口号
    - 创建数据目录，并修改权限：
      - mkdir -p /data/elasticsearch
      - chown -R elasticsearch.elasticsearch /data/elasticsearch/
    - 加载重启服务：
      - systemctl daemon-reload
      - systemctl restart elasticsearch
    - 查看9200端口是否开启：
      - netstat -anput | grep 9200
    - 第一台部署成功后，使用浏览器下载插件访问8.5主机：
      - 直接访问可以看到它的状态信息
      - 下载es-head插件：GitHub - mobz/elasticsearch-head: A web front end for an elastic search cluster
      - 谷歌浏览器示范：
        谷歌-扩展程序-管理扩展程序
        
        此页面代表es1 服务部署成功，现在创建索引在es1服务器上
        curl -XPUT '192.168.8.5:9200/vipinfo/users/1?pretty&pretty' -H 'Content-Type: application/json' -d '{"name": "guofucheng","age": "45","job": "mingxing"}'
        
        在浏览器上查看是否有了刚才创建的索引：
        右上方黄色代表副本不完整
        
        elasticsearch群集：
        状态颜色：
        灰色：未连接
        
        绿色：数据完整态
        
        黄色：副本不完整
        
        红色：数据分片不完整
        
        紫色：数据分片复制过程
        
        群集主机角色：
        
        主节点master：负责管理调度
        
        工作节点：负责处理数据
        
        默认情况，所有节点都是工作节点，即主节点也处理数据
      - 向集群中添加第二台主机：192.168.8.6
        安装步骤与es1一样，配置文件需要修改：
        vim /etc/elasticsearch/elasticsearch.yml
        node.name: node-2
        
        path.data: /data/elasticsearch
        
        path.logs: /var/log/elasticsearch
        
        network.host: 192.168.8.20,127.0.0.1
        
        http.port: 9200
        
        discovery.zen.ping.unicast.hosts: ["192.168.8.6", "192.168.8.20"]
        
        discovery.zen.minimum_master_nodes: 2 #添加的值=节点数/2 + 1
        
        创建数据目录。并修改权限：
        mkdir -p /data/elasticsearch
        
        chown -R elasticsearch.elasticsearch /data/elasticsearch/
        
        启动服务：
        systemctl daemon-reload
        
        systemctl restart elasticsearch
        
        查看端口：
        netstat -anput | grep 9200
      - 向集群中添加第三台主机：192.168.8.7
        安装与es1一样，修改配置文件
        
        vim /etc/elasticsearch/elasticsearch.yml
        修改一下的配置：
        
        node.name: es3
        
        path.data: /data/elasticsearch
        
        path.logs: /var/log/elasticsearch
        
        bootstrap.memory_lock: true
        
        network.host: 192.168.8.7,127.0.0.1
        
        http.port: 9200
        
        discovery.zen.ping.unicast.hosts: ["192.168.8.5", "192.168.8.7"]
        
        discovery.zen.minimum_master_nodes: 2
        
        创建数据目录，并修改权限
        mkdir -p /data/elasticsearch
        
        chown -R elasticsearch.elasticsearch /data/elasticsearch/
        
        重启服务：
        systemctl daemon-reload
        
        systemctl restart elasticsearch
        
        查看端口是否存在
        netstat -anpt | grep 9200
        
        再次访问8.5群集，查看是否发生了变化
        
        常见群集管理监控命令
        
        （1）查看索引信息
        
        curl -XGET '192.168.8.5:9200/_cat/indices?pretty'
        
        （2）查看群集健康状态
        
        curl -XGET '192.168.8.5:9200/_cluster/health?pretty'
        
        （3）统计群集节点
        
        curl -XGET '192.168.8.5:9200/_cat/nodes?human&pretty'
        
        （4）查看群集所有节点详细信息
        
        curl -XGET '192.168.8.5:9200/_nodes/_all/info/jvm.process?human&pretty'
        
        注意：企业环境使用脚本监控群集健康状态是否为green 或节点数不匹配就邮件报警
        
        （5）创建索引index1时，修改分片为3和副本数为2
        curl -X PUT 192.168.8.5:9200/index1 -H 'Content-Type: application/json' -d '{
        
        "settings" : {
        
        "index" : {
        
        "number_of_shards" : 3,
        
        "number_of_replicas" : 2
        
        }
        
        }
        
        }'
        
        （6）针对已有索引，可修改副本数，不可改分片数。下面语句把index1的副本数由2改为1
        curl -X PUT '192.168.8.5:9200/index1/_settings?pretty' -H 'Content-Type: application/json' -d '{
        
        "settings": {
        
        "number_of_replicas": "1"
        
        }
        
        }'