---

一、ELK概述

什么是ELK?

通俗来讲，ELK 是由 Elasticsearch、Logstash、Kibana 三个开源软件的组成的一个组合体，ELK 是 elastic 公司研发的一套完整的日志收集、分析和展示的企业级解决方案，在这三个软件当中，每个软件用于完成不同的功能，ELK 又称为ELK stack，官方域名为 elastic.co，ELK stack 的主要优点有如下几个：处理方式灵活： elasticsearch 是实时全文索引，具有强大的搜索功能配置相对简单：elasticsearch 的 API 全部使用 JSON 接口，logstash 使用模块配置，kibana 的配置文件部分更简单。检索性能高效：基于优秀的设计，虽然每次查询都是实时，但是也可以达到百亿级数据的查询秒级响应。集群线性扩展：elasticsearch 和 logstash 都可以灵活线性扩展前端操作绚丽：kibana 的前端设计比较绚丽，而且操作简单。

什么是Elasticsearch
Elasticsearch是一个高度可扩展的开源全文搜索和分析引擎，它可实现数据的实时全文搜索、支持分布式可实现高可用、提供 API 接口，可以处理大规模日志数据，比如 Nginx、Tomcat、系统日志等功能。Elasticsearch 使用 Java 语言开发，是建立在全文搜索引擎 Apache Lucene 基础之上的搜索引擎。https://lucene.apache.org/

Elasticsearch 的特点：

• 实时搜索、实时分析
• 分布式架构、实时文件存储
• 文档导向，所有对象都是文档
• 高可用，易扩展，支持集群，分片与复制
• 接口友好，支持 json

什么是Logstash
Logstash 是一个具有实时传输能力的数据收集引擎，其可以通过插件实现日志收集和转发，支持日志过滤，支持普通 log、自定义 json 格式的日志解析，最终把经过处理的日志发送给 elasticsearch。

什么是kibana
Kibana 为 elasticsearch 提 供 一 个 查 看 数 据 的 web 界面 ，其 主 要 是 通 过elasticsearch 的 API 接口进行数据查找，并进行前端数据可视化的展现，另外还可以针对特定格式的数据生成相应的表格、柱状图、饼图等。

为什么使用ELK？

ELK 组件在海量日志系统的运维中，可用于解决以下主要问题：

• 分布式日志数据统一收集，实现集中式查询和管理
• 故障排查
• 安全信息和事件管理
• 报表功能

日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。
往往单台机器的日志我们使用grep、awk等工具就能基本实现简单分析，但是当日志被分散的储存不同的设备上。如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理，例如：开源的syslog，将所有服务器上的日志收集汇总。集中化管理日志后，日志的统计和检索又成为一件比较麻烦的事情，一般我们使用 grep、awk和wc等Linux命令能实现检索和统计，但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。
一般大型系统是一个分布式部署的架构，不同的服务模块部署在不同的服务器上，问题出现时，大部分情况需要根据问题暴露的关键信息，定位到具体的服务器和服务模块，构建一套集中式日志系统，可以提高定位问题的效率。

ELK的优势
ELK组件在大数据运维系统中，主要可解决的问题如下：

• 日志查询，问题排查，故障恢复，故障自愈
• 应用日志分析，错误报警
• 性能分析，用户行为分析

ELK的工作原理

（1）在所有需要收集日志的服务器上部署Logstash；或者先将日志进行集中化管理在日志服务器上，在日志服务器上部署 Logstash。
（2）Logstash 收集日志，将日志格式化并输出到 Elasticsearch 群集中。
（3）Elasticsearch 对格式化后的数据进行索引和存储。
（4）Kibana 从 ES 群集中查询数据生成图表，并进行前端数据的展示。
总结：logstash作为日志搜集器，从数据源采集数据，并对数据进行过滤，格式化处理，然后交由Elasticsearch存储，kibana对日志进行可视化处理。

二、安装部署ELK

前期准备

架构
一主一备，一个客户端。
准备java环境

安装部署Elasticsearch 软件

准备软件。

修改配置文件

17 cluster.name: my-elk-cluster
修改集群名字
23 node.name: node1
24 node.master: true
25 node.data: true
设置 节点名称 主从之间不能一致    24作为主节点   25作为数据节点
45 bootstrap.memory_lock: true
内存锁开启  禁止使用  swa
59 network.host: 0.0.0.0
监听地址
60 http.port: 9200
默认使用端口
61 transport.tcp.port: 9300
内部传输端口
73 discovery.zen.ping.unicast.hosts: ["192.168.232.10:9300", "192.168.232.20:9300"]
自动集群发现，加入主机名  使用单播 类似心跳线

修改系统配置

性能调优参数

vim /etc/security/limits.conf
*  soft    nofile          65536
*  hard    nofile          65536
*  soft    nproc           32000
*  hard    nproc           32000
*  soft    memlock         unlimited
*  hard    memlock         unlimited

修改systemd服务管理器

/etc/systemd/system.conf 文件是用于配置 systemd 的，这是一种用于 Linux 操作系统的系统和服务管理器。通过这个文件，你可以自定义与系统操作、性能和行为相关的各种设置。

• DefaultTimeoutStartSec=：设置启动服务的默认等待时间
• DefaultTimeoutStopSec=：设置停止服务的默认等待时间
• DefaultRestartSec=：设置在重新启动服务之前的默认休眠时间
• DefaultLimitNOFILE=：设置打开文件数量的默认限制
• DefaultLimitNPROC=：设置进程数量的默认限制
• DefaultLimitCORE=：设置核心文件大小的默认限制
• DefaultEnvironment=：指定服务的默认环境变量

修改内核参数
Lucene 是一个高性能、全功能的文本搜索引擎库，用于实现高效的文本索引和搜索。它是用 Java 编写的，可以嵌入到各种应用程序中，以提供强大的全文搜索功能。Lucene 是许多流行搜索平台的核心，如 Apache Solr 和 Elasticsearch。
以下是 Lucene 的一些关键特性和功能：

1. 文本索引：Lucene 提供了强大的文本索引功能，能够处理大规模文本数据并生成高效的索引。
2. 全文搜索：支持复杂的查询语法，包括布尔查询、短语查询、通配符查询、模糊查询等。
3. 可扩展性：Lucene 设计为模块化和可扩展的，允许用户根据需要扩展和定制其功能。
4. 分词和分析：提供了丰富的分词器和分析器，用于将文本分解为可索引和可搜索的词语。
5. 排序和评分：支持对搜索结果进行排序和评分，以提高搜索的准确性和相关性。
6. 多语言支持：支持多种语言的文本处理和搜索。

优化elasticsearch用户拥有的内存权限：
由于ES构建基于lucene, 而lucene设计强大之处在于lucene能够很好的利用操作系统内存来缓存索引数据，以提供快速的查询性能。lucene的索引文件segements是存储在单文件中的，并且不可变，对于OS来说，能够很友好地将索引文件保持在cache中，以便快速访问；因此，我们很有必要将一半的物理内存留给lucene ; 另一半的物理内存留给ES（JVM heap )。所以， 在ES内存设置方面，可以遵循以下原则：

• 当机器内存小于64G时，遵循通用的原则，50%给ES，50%留给操作系统，供lucene使用。
• 当机器内存大于64G时，遵循原则：建议分配给ES分配 4~32G 的内存即可，其它内存留给操作系统，供lucene使用。

vim /etc/sysctl.conf
一个进程可以拥有的最大内存映射区域数，参考数据（分配 2g/262144，4g/4194304，8g/8388608）
vm.max_map_count=262144

重启服务器，启动elasticsearch。

reboot
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
netstat -antp | grep 9200

查看节点信息

浏览器访问  http://192.168.91.100:9200  查看节点node1、node2的信息。
浏览器访问http://192.168.232.10:9200/_cluster/health?pretty
查看群集的健康情况，可以看到 status 值为 green（绿色）， 表示节点健康运行。
浏览器访问 http://192.168.232.10:9200/_cluster/state?pretty  检查群集状态信息

安装插件

谷歌浏览器插件


编译安装 Elasticsearch-head 插件
Elasticsearch 在 5.0 版本后，Elasticsearch-head 插件需要作为独立服务进行安装，需要使用npm工具（NodeJS的包管理工具）安装。
安装 Elasticsearch-head 需要提前安装好依赖软件 node 和 phantomjs。
node：是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
phantomjs：是一个基于 webkit 的JavaScriptAPI，可以理解为一个隐形的浏览器，任何基于 webkit 浏览器做的事情，它都可以做到。

编译安装组件

编译安装node组件
yum install gcc gcc-c++ make -y
tar zxvf node-v8.2.1.tar.gz
cd node-v8.2.1/
./configure
make && make install安装 phantomjs
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2
cd /opt/phantomjs-2.1.1-linux-x86_64/bin
ln -s  /opt/phantomjs-2.1.1-linux-x86_64/bin/phantomjs   /usr/bin安装 Elasticsearch-head  数据可视化工具
unzip elasticsearch-head-master.zip
cd /opt/elasticsearch-head/
npm install		 

修改 Elasticsearch 主配置文件

vim /etc/elasticsearch/elasticsearch.yml
http.cors.enabled: true 
开启跨域访问支持，默认为 false
http.cors.allow-origin: "*"	
指定跨域访问允许的域名地址为所有systemctl restart elasticsearch
重启elasticsearch  服务

启动 elasticsearch-head 服务
必须 在解压后的 elasticsearch-head 目录下启动服务，进程会读取该目录下的 gruntfile.js 文件，否则可能启动失败。

cd /opt/elasticsearch-head/
npm run start &后台执行

测试插件

插入索引测试

curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'-x 指定方法
-H 添加请求头
-d 请求体

在应用服务器上部署 Logstash

安装logstash

rpm -ivh logstash-6.7.2.rpm    
systemctl enable --now logstash.service
ln -s  /usr/share/logstash/bin/logstash   /usr/bin/

使用logstash
Logstash 命令常用选项：
-f ：通过这个选项可以指定 Logstash 的配置文件，根据配置文件配置 Logstash 的输入和输出流。
-e ：从命令行中获取，输入、输出后面跟着字符串，该字符串可以被当作 Logstash 的配置（如果是空，则默认使用 stdin 作为输入，stdout 作为输出）。
-t ：测试配置文件是否正确，然后退出。

在命令行中收集日志数据，输入采用标准输入，输出采用标准输出（类似管道），新版本默认使用 rubydebug 格式输出。

logstash -e 'input { stdin{} } output { stdout{} }'

使用 Logstash 将信息写入 Elasticsearch 中

logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.232.10:9200"] } }'
结果不在标准输出显示，而是发送至 Elasticsearch 中，可浏览器访问 http://192.168.232.10:9100/ 查看索引信息和数据浏览。logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.232.10:9200","192.168.232.20:9200"]} }'

使用配置文件写入信息
Logstash 配置文件基本由三部分组成：input、output 以及 filter（可选，根据需要选择使用）

• input：表示从数据源采集数据，常见的数据源如Kafka、日志文件等
  file beats kafka redis stdin

• filter：表示数据处理层，包括对数据进行格式化处理、数据类型转换、数据过滤等，支持正则表达式
  grok 对若干个大文本字段进行再分割成一些小字段 (?<字段名>正则表达式) 字段名: 正则表达式匹配到的内容
  date 对数据中的时间格式进行统一和格式化
  mutate 对一些无用的字段进行剔除，或增加字段
  mutiline 对多行数据进行统一编排，多行合并或拆分

• output：表示将Logstash收集的数据经由过滤器处理之后输出到Elasticsearch。
  elasticsearch stdout

格式如下：
input {...}
filter {...}
output {...}#在每个部分中，也可以指定多个访问方式。例如，若要指定两个日志来源文件，则格式如下：
input {file { path =>"/var/log/messages" type =>"syslog"}file { path =>"/var/log/httpd/access.log" type =>"apache"}vim system.conf
input {file{path =>"/var/log/messages"type =>"system"start_position =>"beginning"# ignore_older => 604800sincedb_path => "/etc/logstash/sincedb_path/log_progress"add_field => {"log_hostname"=>"${HOSTNAME}"}}
}
path表示要收集的日志的文件位置
type是输入ES时给结果增加一个叫type的属性字段
start_position可以设置为beginning或者end，beginning表示从头开始读取文件，end表示读取最新的，这个要和ignore_older一起使用
ignore_older表示了针对多久的文件进行监控，默认一天，单位为秒，可以自己定制，比如默认只读取一天内被修改的文件
sincedb_path表示文件读取进度的记录，每行表示一个文件，每行有两个数字，第一个表示文件的inode，第二个表示文件读取到的位置（byteoffset）。默认为$HOME/.sincedb*
add_field增加属性。这里使用了${HOSTNAME}，即本机的环境变量，如果要使用本机的环境变量，那么需要在启动命令上加--alow-envoutput {elasticsearch {												输出到 elasticsearchhosts => ["192.168.232.10:9200","192.168.232.20:9200"]	指定 elasticsearch 服务器的地址和端口index =>"system-%{+YYYY.MM.dd}"							指定输出到 elasticsearch 的索引格式}
}

vim /etc/logstash/conf.d/system-log.conf 
nput {file {path => "/var/log/messages"type => "system"start_position => "beginning"}
}output {elasticsearch {hosts => [ "192.168.232.10:9200","192.168.232.20:9200" ]index => "system-%{+YYYY.MM.dd}"}
}chmod +r /var/log/messages 
添加权限
logstash   -f  system-log.conf 
以此文件启动。

安装 kibana

rpm -ivh kibana-6.7.2-x86_64.rpm 

修改配置

cd  /etc/kibana/
cp kibana.yml  kibana.yml.bak -a
vim kibana.yml
2  server.port: 5601          		
打开端口
7 server.host: "0.0.0.0"      	
监听端口
28  elasticsearch.hosts: ["http://192.168.232.10:9200", "http://192.168.232.20:9200"]  
elk服务器地址
37   kibana.index: ".kibana"        
打开索引
96   logging.dest: /var/log/k.log     
指定日志文件， 需要手动建立文件
114  i18n.locale: "zh-CN"             
中文设置chown kibana:kibana /var/log/k.log

访问192.168.232.10：5601