LogStash日志分析展示系统

2饿1二

                      简介
通常日志管理是逐渐崩溃的——当日志对于人们最重要的时候，也就是出现问题的时候，这个渐进的过程就开始了。
日志管理一般会经历一下3个阶段：

• 初级管理员将通过一些传统工具（如cat、tail、sed、awk、perl以及grep）对日志进行检查，但它的适用范围仅限于少量的主机和日志文件类型；
  
• 考虑到现实中的可扩展性问题，日志管理也会逐步进化，使用如rsyslog和syslog-ng这样的工具进行集中化的管理；
  
• 当日志信息越来越大的时候，从快速增长的日志数据流中提取出所需的信息，并将其与其他相关联的事件进行关联，将变得越加困难，此时LogStash就提供了一个很好的解决方案
  
  

LogStash的优势：
对日志数据更好的语法分析功能；
更加灵活的日志存储方式
附带搜索和目录功能
易于安装、可扩展、性能良好等
设计及架构
LogStash由JRuby语言编写，基于消息（message-based）的简单架构，并运行在Java虚拟机（JVM）上。不同于分离的代理端（agent）或主机端（server），LogStash可配置单一的代理端（agent）与其它开源软件结合，以实现不同的功能。
在LogStash的生态系统中，主要分为四大组件：
Shipper：发送事件（events）至LogStash；通常，远程代理端（agent）只需要运行这个组件即可；
Broker and Indexer：接收并索引化事件；
Search and Storage：允许对事件进行搜索和存储；
Web Interface：基于Web的展示界面
正是由于以上组件在LogStash架构中可独立部署，才提供了更好的集群扩展性。
在大多数情况下，LogStash主机可分为两大类：
代理主机（agent host）：作为事件的传递者（shipper），将各种日志数据发送至中心主机；只需运行Logstash 代理（agent）程序；
中心主机（central host）：可运行包括中间转发器（Broker）、索引器（Indexer）、搜索和存储器（Search and Storage）、Web界面端（Web Interface）在内的各个组件，以实现对日志数据的接收、处理和存储。
部署
基础环境
yum install java-1.7.0-openjdk
java -version # 保证java版本为1.7
部署LogStash
# 下载
wget https://download.elasticsearch.o ... h-1.3.1-flatjar.jar -O logstash.jar
# 启动
java -jar logstash.jar agent -v -f shipper.conf # 启动shipper
java -jar logstash.jar agent -v -f indexer.conf # 启动indexer
  
部署Redis
# 安装
yum install redis-server
# 启动
/etc/init.d/redis-server start
# 测试
$ redis-cli -h 192.168.12.24
redis 192.168.12.24:6379> PING
PONG
部署Elasticsearch
# 下载
wget https://download.elasticsearch.o ... h-0.90.8.noarch.rpm
# 安装
rpm -ivh elasticsearch-0.90.8.noarch.rpm
# 启动
/etc/init.d/elasticsearch status
启动Kibana
# 安装
java -jar logstash.jar web # LogStash 1.3.1自带Kibana
# 查看
http://192.168.12.24:9292
Logstash配置文件与插件
input {
stdin { }
file {
  type => "syslog"
  path => ["/var/log/secure", "/var/log/messages"]
  exclude => ["*.gz", "shipper.log"]
}
    zeromq {
      address => ["tcp://192.168.8.145:8889"]
   mode => "client"
      type => "zmq-input"
      topic => "weblog"
      topology => "pubsub"
   codec => "json"
    }
  }
  filter {
mutate {
  gsub => [ "message","APPS weblog",""]
  gsub => [ "message","{",""]
  gsub => [ "message","}",""]
}
  }
  output {
stdout { debug => true debug_format => "json"}
   
elasticsearch {
      cluster => "logstash"
   codec => "json"
    }
}
日志类别与处理方法
Apache日志：自定义apache输出日志格式，json输出，无需filter参与
Postfix日志：无法自定义，需使用如grok等filter进行过滤
Tomcat日志：需将多行日志合并至一个事件中，并排除空白行
集群扩展
扩展架构
注意事项
Redis：部署多台，仅提供高可用作用，无分担负载作用，可使用ZeroMQ代替
ElasticSearch：
# 检测节点状态：
curl -XGET 'http://127.0.0.1:9200/_cluster/health?pretty=true'
   green status：所有shard被分配，且运行正常
   yellow status：只有主shard被分配，如集群正在节点间复制数据时
   red status：存在未被分配的shard
# 集群监控：
Paramedic工具：
   安装：/usr/share/elasticsearch/bin/plugin -install karmi/elasticsearch-paramedic
   查看：http://log.iyunv.net:9200/_plugin/paramedic/index.html
Bigdesk工具：
   安装：/usr/share/elasticsearch/bin/plugin -install lukas-vlcek/bigdesk
   查看：http://log.iyunv.net:9200/_plugin/bigdesk/index.html
   
# 数据保留策略：
   1.LogStash默认为每一天创建1个index，可手动删除index
    curl -XDELETE http://127.0.0.1:9200/logstash-2013.12.19
    shell优化脚本：https://github.com/cnf/logstash- ... an-elasticsearch.sh
   2.优化index：
    curl -XPOST 'http://127.0.0.1:9200/logstash-2013.12.19/_optimize'
    curl -XPOST 'http://127.0.0.1:9200/_optimize' # 优化所有index
    curl 'http://127.0.0.1:9200/logstash-2013.12.19/_stats?clear=true&store=true&pretty=true' #查看index的大小，index过多会影响优化耗时
   3.默认index数据目录：/var/lib/elasticsearch/logstash
参考资料
LogStash官网：http://www.logstash.net/
Elasticsearch官网：http://www.elasticsearch.org/
Kibana查询语法：http://lucene.apache.org/core/3_6_1/queryparsersyntax.html