ELK采集k8s日志总结(二) Kibana 和 Logstash 部署

VanLiuZhi 创作等级LV.3

kibana 部署

kibana 是一个可视化界面,方便管理es

#逐级创建目录
mkdir /data/es/kibana/config
mkdir /data/es/kibana/plugins
#给目录授权
cd /data/es
chmod 777 kibana
cd /data/es/kibana/config
#制作配置文件
vim kibana.yml 
复制代码
server.name: kibana
server.host: "0.0.0.0" 
elasticsearch.hosts: ["http://10.90.x.x:9200","http://10.90.x.x:9200","http://10.90.x.x:9200"]
xpack.monitoring.ui.container.elasticsearch.enabled: true
i18n.locale: "zh-CN"

# 启用安全认证后,需要添加如下配置
elasticsearch.username: "kibana"
elasticsearch.password: "之前为kibana帐户创建的密码"
复制代码

docker pull kibana:7.5.0

启动服务:

docker run -d --name kibana -p 5601:5601 -v /data/es/kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml -v /data/es/kibana/plugins:/usr/share/kibana/plugins:rw --name kibana kibana:7.5.0

这样kibana就启动成功了,界面的具体使用就不介绍了,自己多摸索一下,下面补充一下常用的内容

命令行工具使用

# 节点如果有未分片的,可以通过这个命令找到,一般是网络问题导致分片失败并一直无法恢复。关闭分片再开启可以解决问题
GET /_cluster/allocation/explain

# 解决索引某个shard无法恢复的问题
POST /_cluster/reroute?retry_failed=true
复制代码

创建索引生命周期策略

直接通过页面填写表单即可,一般会创建删除策略,在模板配置的时候和策略关联上

索引模板使用

创建索引模板k8s-template,设置索引匹配模式

索引设置

{
  "index": {
    "lifecycle": {
      "name": "k8s-logs-delete-policy" // 关联生命周期策略
    },
    "refresh_interval": "30s",
    "number_of_shards": "1",
    "number_of_replicas": "1"
  }
}
复制代码

映射设置

{
  "dynamic_templates": [
    {
      "message_field": {
        "path_match": "message",
        "mapping": {
          "norms": false,
          "type": "text"
        },
        "match_mapping_type": "string"
      }
    },
    {
      "string_fields": {
        "mapping": {
          "norms": false,
          "type": "text",
          "fields": {
            "keyword": {
              "ignore_above": 256,
              "type": "keyword"
            }
          }
        },
        "match_mapping_type": "string",
        "match": "*"
      }
    }
  ],
  "properties": {
    "@timestamp": {
      "type": "date"
    },
    "geoip": {
      "dynamic": true,
      "properties": {
        "ip": {
          "type": "ip"
        },
        "latitude": {
          "type": "half_float"
        },
        "location": {
          "type": "geo_point"
        },
        "longitude": {
          "type": "half_float"
        }
      }
    },
    "@version": {
      "type": "keyword"
    }
  }
}
复制代码

如果需要使用生命周期,滚动策略要创建别名

logstash 部署

logstash用来接收日志数据,处理后推送到es中,下面来部署logstash

docker pull logstash:7.5.0

启动命令:

docker run -d -p 5044:5044 -p 9600:9600 -it -v /data/logstash/config/:/usr/share/logstash/config/ --name logstash logstash:7.5.0

创建目录:mkdir -p /data/logstash/config

创建文件,共创建4个文件,分别是logstash.yml,log4j2.properties,pipelines.yml,es.conf,之后启动服务

logstash 最核心的能力还是对采集到的日志做过滤。大致是这样一个效果,比如一条日志经过filter,被格式化成json数据,通过grok过滤器处理数据,配置如下

es.conf

input {
   beats {
       port => 5044
        codec => plain{
           charset=>"UTF-8"
       }
  }
}
filter {
  grok {
     match => [
       "message", "\s{0,5}%{TIMESTAMP_ISO8601:logTime}.{0,10}\|.*\|%{LOGLEVEL:logLevel}\|\s{0,3}%{GREEDYDATA:logMessage}",
       "message", "\s{0,3}%{TIMESTAMP_ISO8601:logTime}.\s{0,10}%{LOGLEVEL:logLevel}\s{0,10}%{GREEDYDATA:logMessage}"
     ]
     #用上面提取的message覆盖原message字段,正则表达式根据自己业务日志格式做相应调整
     #overwrite => ["message"]
 }
}
output {
   elasticsearch {
      action => "index"
      hosts  => ["10.90.x.x:9200","10.90.x.x:9200","10.90.x.x:9200"]
      index  => "k8s-%{index}-%{+YYYY.MM.dd}"   #使用log-pilot给的索引名+年月日
      codec => plain {
            format => "%{message}"
            charset => "UTF-8"
        }
      user => "elastic"
      password => "填入设置的密码"
    }
}
复制代码

log4j2.properties

logger.elasticsearchoutput.name = logstash.outputs.elasticsearch
logger.elasticsearchoutput.level = debug
复制代码

logstash.yml

http.host: "0.0.0.0"
http.port: 9600
xpack.monitoring.elasticsearch.hosts: ["http://10.90.x.x:9200","http://10.90.x.x:9200","http://10.90.x.x:9200"]
xpack.monitoring.elasticsearch.username: "elastic"
xpack.monitoring.elasticsearch.password: "填入设置的密码"
复制代码

pipelines.yml

- pipeline.id: my-logstash
  path.config"/usr/share/logstash/config/*.conf"
  pipeline.workers: 3
复制代码

部署完成后,访问地址验证:

10.90.xx.xx:9600

其它内容总结:

监控配置

#是否集群
xpack.monitoring.enabled: true
#初始用户,必须是这个
xpack.monitoring.elasticsearch.username: "logstash_system"
#密码,es中为logstash_system设置的密码
xpack.monitoring.elasticsearch.password: "填入设置的密码"
#es的集群x
xpack.monitoring.elasticsearch.hosts: ["http://10.90.x.x:9200","http://10.90.x.x:9200","http://10.90.x.x:9200"]
复制代码

配置和概念

会自动生成一个字段@timestamp,默认该字段存储的是Logstash收到消息/事件(event)的时间,也就是说这个字段不是日志产生的真实时间

@timestamp 这个字段是logstash解析出来的,当成字段存储在es中,这个也可以自定义匹配规则

文件布局规划: https://segmentfault.com/a/1190000015242897 在容器映射的时候可能会用到

每个 logstash 过滤插件,都会有四个方法叫 add_tag, remove_tag, add_field 和 remove_field。它们在插件过滤匹配成功时生效

前端可视化工具cerebro

这个也是一个管理es的工具,看个人使用习惯,可以作为备用组件

docker run -d -p 9000:9000 -v /data/cerebro/application.conf:/opt/cerebro/conf/application.conf --name es-cerebro lmenezes/cerebro:latest

分类:
后端
标签:
Logstash
相关推荐
  • XinXing
    3年前
    Kibana
    Elasticsearch+Logstash+Kibana实战部署[ELK]
    elasticsearch是一个高度可扩展全文搜索和分析引擎,基于Apache Lucene 构建,能对大容量的数据进行接近实时的存储、搜索和分析操作,可以处理大规模日志数据,比如Nginx、Tomcat、系统日志等功能。 数据收集引擎。它支持动态的从各种数据源搜集数据,并对数…
    • 6152
    • 2
  • 超级小霸王
    2月前
    Elasticsearch Kibana
    2023最新ELK日志平台(elasticsearch+logstash+kibana)搭建
    前言 去年公司由于不断发展,内部自研系统越来越多,所以后来搭建了一个日志收集平台,并将日志收集功能以二方包形式引入自研系统,避免每个自研系统都要建立一套自己的日志模块。
    • 3110
    • 6
    2023最新ELK日志平台(elasticsearch+logstash+kibana)搭建
  • VanLiuZhi
    2年前
    Kubernetes
    ELK采集k8s日志总结(三) log-pilot 采集k8s日志
    变量 path 是要收集的日志路径,必须具体到文件,不能只写目录。文件名部分可以使用通配符,例如,/var/log/he.log 和 /var/log/*.log 都是正确的值,但 /var/log 不行,不能只写到目录。stdout 是一个特殊值,表示标准输出 es扩展插件。…
    • 3568
    • 评论
  • 行百里er
    9月前
    Elasticsearch Kibana Logstash
    比快更快的 ELK 8 安装使用指南-Elasticsearch,Kibana,Logstash
    携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第23天,点击查看活动详情 Elasticsearch 8 的新特性 Elastic 8.0 版号称 比快更快 ,其新特性可参考 E
    • 4263
    • 1
    比快更快的 ELK 8 安装使用指南-Elasticsearch,Kibana,Logstash
  • dearX
    11月前
    Elasticsearch
    后端——》springboot整合elk日志框架(elasticsearch+logstash+kibana)
    elk日志框架就是将日志按照我们的要求显示在网页上,并且可以进行聚合查询、筛选分析。不用再登录服务器grep匹配,也不用在日志文件中慢慢的挑error
    • 2888
    • 3
    后端——》springboot整合elk日志框架(elasticsearch+logstash+kibana)
  • Taoye
    3年前
    Java
    打开ElasticSearch、kibana、logstash的正确方式
    Elasticsearch是什么?为什么每次学习一门技术都是英文的呢?真的是脑阔疼。既然它是英文的,我们不妨借助有道来初步的看看Elasticsearch到底是何方神圣,竟如此多娇。其分为elastic和search两个独立的单词,我们来无脑有道一波看看,得到的解释如下: 从有…
    • 4312
    • 2
  • chirpyli
    3年前
    Logstash
    使用Logstash解析日志
    在存储你的第一个事件一节中,我们创建了一个简单的Logstash管道示例来测试你已安装运行的Logstash。在生产环境中,Logstash管道会非常复杂:一般包含一个或多个输入,过滤器,输出插件。 在本章节,你将创建一个Logstash管道:Filebeat采集Apache …
    • 5812
    • 评论
  • VanLiuZhi
    2年前
    Elasticsearch
    ELK采集k8s日志总结(一) ElasticSearch 部署
    日志处理作为系统基础设施的一环,有着举足轻重的作用,一般常用ELK作为日志处理平台。ELK是ElasticSearch、Logstash、Kibana的简称,这三者是核心套件,但是随着功能的迭代和组件的更替,也出现了ELKF,其中的F指的是filebeat,也可以在ELK中加入…
    • 2399
    • 评论
  • 小郭的技术笔记
    7月前
    掘金·日新计划 后端 面试
    不得不学!从零到一搭建ELK日志,在Docker环境下部署 Kibana 可视化工具
    最近在玩 ELK 日志平台,它是 Elastic 公司推出的一整套日志收集、分析和展示的解决方案。 只有学习了,操作了才能算真正的学会使用了,虽然看起来简单,但是里面的流程步骤还是很多的,将步骤记录。
    • 1.6w
    • 1
    不得不学!从零到一搭建ELK日志,在Docker环境下部署 Kibana 可视化工具
  • 那你提个bug吧
    1年前
    Elasticsearch
    ELK学习搭建部署经验总结(es、logstash、kibana)
    一、ELK介绍 ELK代表的是Elasticsearch , Logstash, Kibana 。 Elasticsearch :搜索分析功能 Logstash:数据搜集,类似于flume(使用方法几
    • 559
    • 评论
  • 笑笑书生
    2年前
    Java
    ELK日志搜集系统搭建(ES集群+filbeat+logstash+kibana)
    启动注意问题 : 1. 在 elasticsearch.yml 配置 node.name 的时候,启动报错,以下是配置和报错信息。 官网的解释 是:发生系统swapping的时候ES节点的性能会非常差,也会影响节点的稳定性。所以要不惜一切代价来避免swapping。swappi…
    • 994
    • 1
  • 大数据老司机
    10月前
    大数据
    企业级日志系统架构——ELK(Elasticsearch、Filebeat、Kafka、Logstash、Kibana)
    一、概述 大致流程图如下: 1)Elasticsearch 存储 2)Filebeat 日志数据采集 目前Beats包含六种工具: Packetbeat:网络数据(收集网络流量数据) Metricbe
    • 2268
    • 评论
    企业级日志系统架构——ELK(Elasticsearch、Filebeat、Kafka、Logstash、Kibana)
  • 小郭的技术笔记
    7月前
    掘金·日新计划 后端 面试
    不得不学!从零到一搭建ELK日志,在Docker环境下部署 logstash 工具
    最近在玩 ELK 日志平台,它是 Elastic 公司推出的一整套日志收集、分析和展示的解决方案。 只有学习了,操作了才能算真正的学会使用了,虽然看起来简单,但是里面的流程步骤还是很多的,将步骤记录。
    • 5154
    • 评论
    不得不学!从零到一搭建ELK日志,在Docker环境下部署 logstash 工具
  • 行百里er
    1年前
    Elasticsearch 后端
    10分钟部署一个ELK日志采集系统
    安装Logstash ELK三大组件的安装都很简单,几行命令就能搞定: 前面我们安装的Elasticsearch版本是7.10.2,所以Logstash和接下来要安装的Kibana都要安装7.10.2
    • 5798
    • 1
    10分钟部署一个ELK日志采集系统
  • Wizey
    4年前
    后端 Debug Python
    Python日志库logging总结-可能是目前为止将logging库总结的最好的一篇文章
    在部署项目时,不可能直接将所有的信息都输出到控制台中,我们可以将这些信息记录到日志文件中,这样不仅方便我们查看程序运行时的情况,也可以在项目出现故障时根据运行时产生的日志快速定位问题出现的位置。 Python 标准库 logging 用作记录日志,默认分为六种日志级别(括号为级…
    • 31.5w
    • 16
  • 博学谷狂野架构师
    10月前
    Java
    Elasticsearch + Logstash + Filebeat + Kibana搭建ELK日志分析平台(官方推荐的BEATS架构)
    俗话话说的号,没有金刚钻,也不揽那瓷器活;日志分析可以说是所有大小系统的标配了,不知道有多少菜鸟程序员有多喜欢日志,如果没了日志,那自己写的bug想不被别人发现,可就难了; 有了它,就可将bug们统统
    • 1569
    • 评论
  • zuozewei
    1年前
    后端
    Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
    随着时间的积累,日志数据会越来越多,当你需要查看并分析庞杂的日志数据时,可通过 Filebeat+Kafka+Logstash+Elasticsearch采集日志数据到 Elasticsearc
    • 2396
    • 1
    Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
  • Alickx
    1年前
    后端
    Elasticsearch+kibana+logstash 搭建日志收集分析平台
    Elasticsearch+kibana+logstash 搭建日志收集分析平台 环境搭建: 虚拟机内存配置: 查看是否调整成功 永久修改: 在该conf文件最下方添加一行 elasticsearch
    • 861
    • 评论
  • 超级小霸王
    2月前
    Elasticsearch Logstash
    开发一个二方包,优雅地为系统接入ELK(elasticsearch+logstash+kibana)
    去年公司由于不断发展,内部自研系统越来越多,所以后来搭建了一个日志收集平台,并将日志收集功能以二方包形式引入各个自研系统,避免每个自研系统都要建立一套自己的日志模块,节约了开发时间,管理起来也更加容易
    • 1478
    • 2
    开发一个二方包,优雅地为系统接入ELK(elasticsearch+logstash+kibana)

    • 友情链接:

    VanLiuZhi 创作等级LV.3
    微服务,云原生 @ 搞不好我们是同一家公司
    私信
    获得点赞
    文章被阅读