目录

一、ELK日志分析系统简介

二、Elasticsearch介绍

2.1Elasticsearch概述

三、Logstash介绍

四、Kibana介绍

五、ELK工作原理

六、部署ELK日志分析系统

 6.1ELK Elasticsearch 集群部署（在Node1、Node2节点上操作）

6.2部署 Elasticsearch 软件

6.3.创建数据存放路径并授权

6.4启动elasticsearch是否成功开启  

6.5查看节点信息  

 6.6安装 Elasticsearch-head 插件

6.6.1编译安装 node

6.6.2安装 phantomjs（前端的框架）

6.6.3安装 Elasticsearch-head 数据可视化工具

6.6.4修改 Elasticsearch 主配置文件

6.6.5启动 elasticsearch-head 服务

6.6.6通过 Elasticsearch-head 查看 Elasticsearch 信息

6.6.7插入索引

6.7 ELK Logstash 部署（在 Apache 节点上操作）

6.7.1更改主机名

6.7.2安装Apahce服务（httpd）

6.7.3安装Java环境

6.7.4安装logstash

6.7.5测试 Logstash

6.7.6定义 logstash配置文件

---

一、ELK日志分析系统简介

ELK是包含但不限于Elasticsearch（简称es）、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取（Logstash）、搜索分析（Elasticsearch）、数据展现（Kibana）的一整套解决方案，所以也称作ELK stack。

ELK是一个免费开源的日志分析架构技术栈总称，官网https://www.elastic.co/cn。包含三大基础组件，分别是Elasticsearch、Logstash、Kibana。

二、Elasticsearch介绍

2.1Elasticsearch概述

提供了一个分布式用户的全文搜索引擎。

 ElasticSearch：是基于Lucene（一个全文检索引擎的架构）开发的分布式存储检索引擎，用来存储各类日志。 Elasticsearch 是用 Java 开发的，可通过 RESTful Web 接口，让用户可以通过浏览器与 Elasticsearch 通信。 Elasticsearch是一个实时的、分布式的可扩展的搜索引擎，允许进行全文、结构化搜索，它通常用于索引和搜索大容量的日志数据，也可用于搜索许多不同类型的文档。 

三、Logstash介绍

作为数据收集引擎。它支持动态的从各种数据源搜集数据，并对数据进行过滤、分析、丰富、统一格式等操作，然后存储到用户指定的位置,一般会发送给 Elasticsearch。 Logstash 由 Ruby 语言编写，运行在 Java 虚拟机（JVM）上，是一款强大的数据处理工具， 可以实现数据传输、格式处理、格式化输出。Logstash 具有强大的插件功能，常用于日志处理。

相对 input（数据采集） filter（数据过滤） output(数据输出)

四、Kibana介绍

Kibana 通常与 Elasticsearch 一起部署，Kibana 是 Elasticsearch 的一个功能强大的数据可视化 Dashboard，Kibana 提供图形化的 web 界面来浏览 Elasticsearch 日志数据，可以用来汇总、分析和搜索重要数据。

五、ELK工作原理

（1）在所有需要收集日志的服务器上部署Logstash；或者先将日志进行集中化管理在日志服务器上，在日志服务器上部署 Logstash。

（2）Logstash 收集日志，将日志格式化并输出到 Elasticsearch 群集中。

（3）Elasticsearch 对格式化后的数据进行索引和存储。

（4）Kibana 从 ES 群集中查询数据生成图表，并进行前端数据的展示。

总结：logstash作为日志搜集器，从数据源采集数据，并对数据进行过滤，格式化处理，然后交由Elasticsearch存储，kibana对日志进行可视化处理。

六、部署ELK日志分析系统

Node1节点（2C/4G）：node1/192.168.237.21         Elasticsearch Kibana

Node2节点（2C/4G）：node2/192.168.237.22          Elasticsearch

Apache节点：apache/192.168.237.23                         Logstash Apache

 6.1ELK Elasticsearch 集群部署（在Node1、Node2节点上操作）

两台node都做
vim /etc/hosts
192.168.10.13 node1 
192.168.10.14 node2   

注：版本问题

java -version                    #如果没有安装，

yum -y install java openjdk version "1.8.0_131"

OpenJDK Runtime Environment (build 1.8.0_131-b12)

OpenJDK 64-Bit Server VM (build 25.131-b12, mixed mode)  

建议使用jdk

6.2部署 Elasticsearch 软件

（1）安装elasticsearch—rpm包
#上传elasticsearch-5.5.0.rpm到/opt目录下
cd /opt
rpm -ivh elasticsearch-5.5.0.rpm （2）加载系统服务
systemctl daemon-reload    
systemctl enable elasticsearch.service（3）修改elasticsearch主配置文件
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
--17--取消注释，指定集群名字
cluster.name: my-elk-cluster
--23--取消注释，指定节点名字：Node1节点为node1，Node2节点为node2
node.name: node1
--33--取消注释，指定数据存放路径
path.data: /data/elk_data
--37--取消注释，指定日志存放路径
path.logs: /var/log/elasticsearch/
--43--取消注释，改为在启动的时候不锁定内存
bootstrap.memory_lock: false
--55--取消注释，设置监听地址，0.0.0.0代表所有地址
network.host: 0.0.0.0
--59--取消注释，ES 服务的默认监听端口为9200
http.port: 9200
--68--取消注释，集群发现通过单播实现，指定要发现的节点 node1、node2
discovery.zen.ping.unicast.hosts: ["node1", "node2"]grep -v "^#" /etc/elasticsearch/elasticsearch.yml

6.3.创建数据存放路径并授权

mkdir -p /data/elk_data
chown elasticsearch:elasticsearch /data/elk_data/

6.4启动elasticsearch是否成功开启  

systemctl start elasticsearch.service
netstat -antp | grep 9200

6.5查看节点信息  

浏览器访问

http://192.168.237.21:9200/

http://192.168.237.22:9200/

查看节点 Node1、Node2 

http://192.168.237.21:9200/_cluster/health?pretty

http://192.168.237.22:9200/_cluster/health?pretty

 查看群集的健康情况，可以看到 status 值为 green（绿色）， 表示节点健康运行。

 #使用上述方式查看群集的状态对用户并不友好，可以通过安装 Elasticsearch-head 插件，可以更方便地管理群集。

 6.6安装 Elasticsearch-head 插件

Elasticsearch 在 5.0 版本后，Elasticsearch-head 插件需要作为独立服务进行安装，需要使用npm工具（NodeJS的包管理工具）安装。
安装 Elasticsearch-head 需要提前安装好依赖软件 node 和 phantomjs。
node：是一个基于 Chrome V8 引擎的 JavaScript 运行环境。
phantomjs：是一个基于 webkit 的JavaScriptAPI，可以理解为一个隐形的浏览器，任何基于 webkit 浏览器做的事情，它都可以做到。

6.6.1编译安装 node

#上传软件包 node-v8.2.1.tar.gz 到/opt
yum install gcc gcc-c++ make -ycd /opt
tar zxvf node-v8.2.1.tar.gzcd node-v8.2.1/
./configure
make && make install

6.6.2安装 phantomjs（前端的框架）

#上传软件包 phantomjs-2.1.1-linux-x86_64.tar.bz2 到
cd /opt
tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2 -C /usr/local/src/
cd /usr/local/src/phantomjs-2.1.1-linux-x86_64/bin
cp phantomjs /usr/local/bin

6.6.3安装 Elasticsearch-head 数据可视化工具

#上传软件包 elasticsearch-head.tar.gz 到/opt
cd /opt
tar zxvf elasticsearch-head.tar.gz -C /usr/local/src/
cd /usr/local/src/elasticsearch-head/
npm install

6.6.4修改 Elasticsearch 主配置文件

vim /etc/elasticsearch/elasticsearch.yml 
...... --末尾添加以下内容-- 
http.cors.enabled: true                  #开启跨域访问支持，默认为false http.cors.allow-origin: "*"       #指定跨域访问允许的域名地址为所有systemctl restart elasticsearch

6.6.5启动 elasticsearch-head 服务

#必须在解压后的 elasticsearch-head 目录下启动服务，进程会读取该目录下的 gruntfile.js 文件，否则可能启动失败。
cd /usr/local/src/elasticsearch-head/
npm run start &

netstat -natp |grep 9100

6.6.6通过 Elasticsearch-head 查看 Elasticsearch 信息

6.6.7插入索引

#通过命令插入一个测试索引，索引为 index-demo，类型为 test。//输出结果如下：curl -X PUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'

浏览器访问 http://192.168.237.21:9100/ 查看索引信息，可以看见索引默认被分片5个，并且有一个副本。 点击“数据浏览”，会发现在node1上创建的索引为 index-demo，类型为 test 的相关信息。

6.7 ELK Logstash 部署（在 Apache 节点上操作）

6.7.1更改主机名

hostnamectl set-hostname apache

6.7.2安装Apahce服务（httpd）

yum -y install httpd
systemctl start httpd

6.7.3安装Java环境

yum -y install java
java -version

6.7.4安装logstash

#上传软件包 logstash-5.5.1.rpm 到/opt目录下
cd /opt
rpm -ivh logstash-5.5.1.rpm                           
systemctl start logstash.service                      
systemctl enable logstash.serviceln -s /usr/share/logstash/bin/logstash /usr/local/bin/

6.7.5测试 Logstash

Logstash 命令常用选项： -f：通过这个选项可以指定 Logstash 的配置文件，根据配置文件配置 Logstash 的输入和输出流。 -e：从命令行中获取，输入、输出后面跟着字符串，该字符串可以被当作 Logstash 的配置（如果是空，则默认使用 stdin 作为输入，stdout 作为输出）。 -t：测试配置文件是否正确，然后退出。

定义输入和输出流： #输入采用标准输入，输出采用标准输出（类似管道）

logstash -e 'input { stdin{} } output { stdout{} }'
......
www.baidu.com										#键入内容（标准输入）
2020-12-22T03:58:47.799Z node1 www.baidu.com		#输出结果（标准输出）
www.sina.com.cn										#键入内容（标准输入）
2017-12-22T03:59:02.908Z node1 www.sina.com.cn		#输出结果（标准输出）//执行 ctrl+c 退出#使用 rubydebug 输出详细格式显示，codec 为一种编解码器
logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'
......
www.baidu.com										#键入内容（标准输入）

//结果不在标准输出显示，而是发送至 Elasticsearch 中，可浏览器访问 http://192.168.10.13:9100/ 查看索引信息和数据浏览。

#使用 Logstash 将信息写入 Elasticsearch 中
logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.10.13:9200"] } }'输入				输出			对接
......
www.sina.com.cn										#键入内容（标准输入）

 

6.7.6定义 logstash配置文件

Logstash 配置文件基本由三部分组成：input、output 以及 filter（可选，根据需要选择使用）。

input：表示从数据源采集数据，常见的数据源如Kafka、日志文件等

filter：表示数据处理层，包括对数据进行格式化处理、数据类型转换、数据过滤等，支持正则表达式

output：表示将Logstash收集的数据经由过滤器处理之后输出到Elasticsearch。

#格式如下：

input {...}

filter {...}

output {...}

#在每个部分中，也可以指定多个访问方式。例如，若要指定两个日志来源文件，则格式如下：

input { file { path =>"/var/log/messages" type =>"syslog"}

file { path =>"/var/log/httpd/access.log" type =>"apache"} }

修改 Logstash 配置文件，让其收集系统日志/var/log/messages，并将其输出到 elasticsearch 中。

chmod +r /var/log/messages					#让 Logstash 可以读取日志vim /etc/logstash/conf.d/system.conf
input {file{path =>"/var/log/messages"						#指定要收集的日志的位置type =>"system"									#自定义日志类型标识start_position =>"beginning"					#表示从开始处收集}
}
output {elasticsearch {										#输出到 elasticsearchhosts => ["192.168.10.13:9200"]					#指定 elasticsearch 服务器的地址和端口index =>"system-%{+YYYY.MM.dd}"					#指定输出到 elasticsearch 的索引格式}
}systemctl restart logstash 

浏览器访问 http://192.168.237.22:9100/ 查看索引信息