该文档适用所有版本的安装
公司新项目是DDD+微服务架构,部署采用Kubesphere,用过的小伙伴都知道,这日志真™用着难受。因此,公司要求集成elk,进行日志的统一管理~
生产环境:前端采用nginx进行的部署,后端则是通过kubesphere的一键式部署。
再此,就记录一下ELK搭建过程,分享给小伙伴们,避免时间的浪费
ELK主要由ElasticSearch
、Logstash
和Kibana
三个开源软件组成。
Elasticsearch :分布式搜索引擎。具有⾼可伸缩、⾼可靠、易管理等特点。可以⽤于全⽂检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 是⽤Java 基于 Lucene 开发,现在使⽤最⼴的开源搜索引擎之⼀,Wikipedia 、StackOverflow、Github 等都基于它来构建⾃⼰的搜索引擎。在elasticsearch中,所有节点的数据是均等的。
Logstash :数据收集处理引擎。⽀持动态的从各种数据源搜集数据,并对数据进⾏过滤、分析、丰富、统⼀格式等操作,然后存储以供后续使⽤。
Kibana :可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使⽤它可以很⽅便的⽤图表、表格、地图展示和分析数据。
版本说明:Elasticsearch、Logstash、Kibana、Filebeat安装的版本号必须全部⼀致,不然会出现kibana⽆法显示web⻚⾯。
Elasticsearch与JDK版本要求:https://www.elastic.co/cn/support/matrix#matrix_jvm
镜像版本:https://hub.docker.com/_/elasticsearch
哪个版本?直接最新,反正领导发话了,我丝毫不慌。问题来了,那是生产环境,如果真出问题了,我小命还有不,算了不管了
温馨提示
:如果操作系统版本不是很新不要安装最新版本docker,⽐如我centos7安装docker最新版,后⾯出现 linux 与 docker 版本的兼容性问题,报错”container init exited prematurely“,卸载docker安装较早版本即可。
vi {jvm_home}/config/jvm.options
-Xms512m
-xmx512m
#获取该docker容器的CONTAINER ID 或者 NAMES
docker logs CONTAINER ID/NAMES
❀ 看日志排查问题,如果docker是前段界面,正常的话是不会有日志的,但是如果一直 Restarting 会有详细报错的日志 ,后台日志也都有日志可以查看.
ERROR: [1] bootstrap checks failed
[1]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
顾名思义,es最⼤虚拟内存⾄少262144
# (需要是root账户)
vim /etc/sysctl.conf
#⽂件最后添加⼀⾏: vm.max_map_count=262144
sysctl -p 重启⽣效
❀ 需要在启动elasticsearch之前执行
下图是我下的latest版,因为公认latest就是最新版。当时一下子就启起来了,兴奋不已,一看我去这版本什么鬼,脸都黑了…
❀ latest不一定是最新版,建议指定版本拉取
问题排查思路,问题是JVM不能正常创建,但我们要查的是导致不能创建的原因。
…截图小了,就是上面一行,排查出问题是logs读写权限。
#logs目录赋予权限
chmod 777 /data/elk/es/logs
❀ 命令是chmod而不是chown。chmod是赋予读写权限,而chown是用户权限
#elasticsearch.yml
#关闭geoip数据库的更新
ingest.geoip.downloader.enabled: false
❀ 挂载点泄漏是内核3.10的bug,在后续内核版本得到修复,可以通过升级内核。生产环境,因此只能退一步海阔天空了,8版折磨了我很久,换个7版几下搞定~
❀ 顾名思义了,之前安装过7.7.1然后基于原来挂载的文件安装8.3.2,把之前文件删了即可
出现/docker-entrypoint.sh: line 43: /conf/zoo.cfg: Permission denied
❀ ⼀般都是⽬录没权限,给对应⽬录添加权限即可
chmod 777 xxx
FileNotFoundException: /opt/kafka 2. 13-2. 8. 1/bin/,./config/ tools-log4j. properties (No such file or directory)
❀ 顾名思义,在指定位置创建指定文件即可
❀ 首先查看zk容器是否启动成功
docker logs zk
,其次查看IP是对应上,再者查看命令是否有问题./bin/kafka-topics.sh --create
--zookeeper
10.175.127.155:2181 --partitions 1 --replication-factor 1 --topic cloud-log或者
./bin/kafka-topics.sh --create
--bootstrap-server
10.84.77.10:2181 --partitions 1 --replication-factor 1 --topic cloud-log
❀ 温馨提示:安装前必须看
安前须知
,并且安装过程根据步骤来
1、创建挂载⽬录
mkdir -p /data/elk/es/{config,data,logs}
2、 创建挂载es配置
vi /data/elk/es/config/elasticsearch.yml
-----------------------配置内容----------------------------------
cluster.name: "my-es"
network.host: 0.0.0.0
http.port: 9200
3**、赋予权限**
chmod 777 /data/elk
chmod 777 /data/elk/es
chmod 777 /data/elk/es/config
chmod 777 /data/elk/es/data
chmod 777 /data/elk/es/logs
#报错挂载⽬录没权限
"Caused by: java.nio.file.AccessDeniedException: /usr/share/elasticsearch/data/nodes",•
4**、运⾏**elasticsearch
通过镜像,启动⼀个容器,并将9200和9300端⼝映射到本机(elasticsearch的默认端⼝是9200,我们把宿主环境9200端⼝映射到Docker容器中的9200端⼝)。此处建议给容器设置固定ip,我这⾥没设置。
#指定好版本
docker run -it -d -p 9200:9200 -p 9300:9300 --name es -e ES_JAVA_OPTS="-Xms1g -Xmx1g" -e "discovery.type=single-node" --restart=always -v /data/elk/es/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml -v /data/elk/es/data:/usr/share/elasticsearch/data -v /data/elk/es/logs:/usr/share/elasticsearch/logs elasticsearch:7.17.5
❀ 指定好自个需要的版本,并确保镜像仓库存在所指定的版本
6**、验证安装是否成功**
1、获取ip
#获取elasticsearch容器ip
docker inspect --format '{{ .NetworkSettings.IPAddress }}' es
2、新建配置⽂件
❀ ⽤于docker⽂件映射
温馨提示:不存在⽬录需对应新增
#创建kibana.yml
vi /data/elk/kibana/kibana.yml
-----------------------------------------------------------
#Default Kibana configuration for docker target
server.name: kibana
server.host: "0"
elasticsearch.hosts: ["http://172.17.0.2:9200"]
xpack.monitoring.ui.container.elasticsearch.enabled: true
3、运⾏kibana
docker run -d --restart=always --log-driver json-file --log-opt max-size=100m --log-opt max-file=2 --name kibana -p 5601:5601 -v /data/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml kibana:7.17.5
4、访问
浏览器上输⼊:http://ip:5601
1、编辑logstash.yml配置⽂件
#IP为es-docker内⽹ip地址
vi /data/elk/logstash/logstash.yml
-----------------------------------------------------------------
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://172.17.0.2:9200" ]
xpack.monitoring.elasticsearch.username: elastic
xpack.monitoring.elasticsearch.password: changeme
#path.config: /data/elk/logstash/conf.d/*.conf
path.config: /data/docker/logstash/conf.d/*.conf
path.logs: /var/log/logstash
2、编辑logstash.conf⽂件
此处先配置logstash直接采集本地数据发送⾄es
#IP该服务器的ip
vi /data/elk/logstash/conf.d/syslog.conf
--------------------------------------------------------------------
input {
syslog {
type => "system-syslog"
port => 5044
}
}
output {
elasticsearch {
hosts => ["IP:9200"] # 定义es服务器的ip
index => "system-syslog-%{+YYYY.MM}" # 定义索引
}
}
3、编辑本地rsyslog
#IP该服务器的ip
vi /etc/rsyslog.conf
---------------------------------------------------------------------
*.* @@IP:5044
4、配置修改后重启服务
systemctl restart rsyslog
5、运⾏logstash
docker run -d --restart=always --log-driver json-file --log-opt max-size=100m --log-opt max-file=2 -p 5044:5044 --name logstash -v /data/elk/logstash/logstash.yml:/usr/share/logstash/config/logstash.yml -v /data/elk/logstash/conf.d/:/data/docker/logstash/conf.d/ --privileged=true logstash:7.17.5
6、测试es接收logstash数据
[root@Server-148a8793-5c2b-466f-9c0e-8da870ed6105 ~]# curl http://localhost:9200/_cat/indices?v
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .geoip_databases VF7a6tzVSYOaEBXKeblVbg 1 0 40 0 37.6mb 37.6mb
green open .kibana_7.17.5_001 DRcdoBqdRQmkoSajuGGiXg 1 0 19 30 2.3mb 2.3mb
green open .apm-custom-link zxQpJVrXQmmSQrzZ_gP2_g 1 0 0 0 226b 226b
green open .apm-agent-configuration iia52tRnS-aDLFOjWLj97A 1 0 0 0 226b 226b
green open .kibana_task_manager_7.17.5_001 6DY-ncFMTr-QweAjaFpSGA 1 0 17 1314 240.8kb 240.8kb
❀ 获取到system-syslog-相关⽇志,则es已能获取来⾃logstash的数据,kibana中也同步显示数据。
❀ 温馨提示:
出现/docker-entrypoint.sh: line 43: /conf/zoo.cfg: Permission denied
⼀般都是⽬录没权限,给对应⽬录添加权限即可
chmod 777 xxx
1、启动zookeeper容器
docker run -d -p 2181:2181 -p 2888:2888 -p 3888:3888 --privileged=true \
--restart=always --name=zkNode-1 \
-v /data/elk/zookeeper/conf:/conf \
-v /data/elk/zookeeper/data:/data \
-v /data/elk/zookeeper/datalog:/datalog wurstmeister/zookeeper
2、启动kafka容器
docker run -d --restart=always --name kafka \
-p 9092:9092 \
-v /data/elk/kafka/logs:/opt/kafka/logs \
-v /data/elk/kafka/data:/kafka/kafka-logs \
-v /data/elk/kafka/conf:/opt/kafka/config \
-e KAFKA_BROKER_ID=1 \
-e KAFKA_LOG_DIRS="/kafka/kafka-logs" \
-e KAFKA_ZOOKEEPER_CONNECT=10.84.77.10:2181 \
-e KAFKA_DEFAULT_REPLICATION_FACTOR=1 \
-e KAFKA_LOG_RETENTION_HOURS=72 \
-e KAFKA_ADVERTISED_LISTENERS=PLAINTEXT://10.84.77.10:9092 \
-e ALLOW_PLAINTEXT_LISTENER=yes \
-e KAFKA_LISTENERS=PLAINTEXT://0.0.0.0:9092 -t wurstmeister/zookeeper
docker 启动参数说明:
-d
:后台启动,
--restart=always
:如果挂了总是会重启
--name
:设置容器名
-p
: 设置宿主机与容器之间的端⼝映射,例如:9902:9092,表示将容器中9092端⼝映射到宿主机的9902端⼝,当有请求访问宿主机的9902端⼝时,会被转发到容器内部的9092端⼝
-v
:设置宿主机与容器之间的路径或⽂件映射,例如:/home/kafka/logs:/opt/kafka/logs,表示将容器内部的路径/opt/kafka/logs⽬录映射到宿主机的/home/kafka/logs⽬录,可以⽅便的从宿主机/home/kafka/logs/就能访问到容器内的⽬录,⼀般数据⽂件夹,配置⽂件均可如此配置,便于管理和数据持久化
-e
设置环境变量参数,例如-e KAFKA_BROKER_ID=1,表示将该环境变量设置到容器的环境变量中,容器在启动时会读取该环境变量,并替换掉容器中配置⽂件的对应默认配置(server.properties⽂件中的 broker.id=1)
3、测试kafka
#进⼊kafka容器的命令⾏
docker exec -it kafka /bin/bash
#进⼊kafka所在⽬录
cd /opt/kafka_2.13-2.8.1/
#没有找到就⽤这个命令搜索
find / -name kafka-topics.sh
#创建topic
./bin/kafka-topics.sh --create --zookeeper 10.175.127.155:2181 --partitions 1 --replication-factor 1 --topic cloud-log
#发送消息
./bin/kafka-console-producer.sh --broker-list localhost:9092 --topic cloud-log
#接收消息
./bin/kafka-console-consumer.sh --zookeeper localhost:9092 --topic cloud-log --from-beginning
❀ 由于上⾯并未和kafka产⽣关联,所以修改logstash安装⽬录下的配置⽂件
vi /data/elk/logstash/conf.d/syslog.conf
input {
#获取kafka信息
kafka {
#⾃定义话题
topics_pattern => "cloud-log"
#kafka ip+端⼝
bootstrap_servers => "10.175.127.155:9092"
auto_offset_reset => "earliest"
consumer_threads => 5
decorate_events => "true"
}
}#⽂本格式过滤
filter {
date {
timezone => "Asia/Shanghai"
match => ["logtime", "yyyy-MM-dd HH:mm:ss,SSS"]
target => "@timestamp"
remove_field => [ "logtime" ]
}
}
output {
#输出⾄es
elasticsearch {
hosts => ["http://10.175.127.155:9200"]
index => "%{[@metadata][kafka][topic]}-%{+YYYY-MM-dd}"
}
#本地⽣产⽂件⽇志(⽬录⾃⾏创建)
file {
path => "/home/logs/%{+yyyy-MM-dd-HH}.log"
}
}
❀ 修改完之后重新启动elk
大功告成!!!