ELK搭建及kibana界面汉化

xywuyiba8

ELK平台搭建
Elk对jdk有版本要求的，建议jdk版本相对高一些
环境准备：
[admin@jhkj66 ~]$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.3 (Maipo)
[admin@jhkj66 ~]$ java -version
java version "1.8.0_60"
Java(TM) SE Runtime Environment (build 1.8.0_60-b27)
Java HotSpot(TM) 64-Bit Server VM (build 25.60-b23, mixed mode)
elasticsearch下载地址：
[admin@jhkj66 ~]$ wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gz
解压：
tar xf elasticsearch-6.2.3.tar.gz
修改/etc/security/limits.conf
* hard nofile 65536
* soft nofile 65536

* soft nproc 2048
* hard nproc 4096

然后使用普通用户启动，root没试过，网上说是起不来的，不过本来就是不该用root去启动，这个不用谁告诉吧，试一下能不能启动
./elasticsearch-6.2.3/bin/elasticsearch
这个命令退出后结束进程了，验证启动没问题后，加上-d参数加到后台
利用curl命令验证：
[admin@jhkj66 elasticsearch-6.2.3]$ curl http://127.0.0.1:9200
{
"name" : "HcildNt",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "AwKIijm7QSKHO6c45d4-iA",
"version" : {
   "number" : "6.2.3",
   "build_hash" : "c59ff00",
   "build_date" : "2018-03-13T10:06:29.741383Z",
   "build_snapshot" : false,
   "lucene_version" : "7.2.1",
   "minimum_wire_compatibility_version" : "5.6.0",
   "minimum_index_compatibility_version" : "5.0.0"
  },
"tagline" : "You Know, for Search"
}


部署filebeat
下载地址：
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz
解压：
[root@jhkj66 tools]# tar xf filebeat-6.2.3-linux-x86_64.tar.gz -C /home/
配置文件说明：
filebeat.prospectors:
- type: log
enabled: true # 开关
paths: # 日志文件路径，可以用用通配符
    - /var/log/xxx-info.log #
   #- c:\programdata\elasticsearch\logs\* 如果是windows服务器，用这个路径
multiline: # 日志多行处理，列如java的堆栈信息
     pattern: ^\d{4} # 匹配前缀为数字开头，如果不是日期，该行日志接到上一行后尾
     negate: true
     match: after
fields: # 自定义属性，用于Logstash 中
    service_name: customer # 产生日志的服务名
    log_type: info # 日志文件类型
    server_id: ip-address # 服务器ip地址
scan_frequency: 50 #扫描间隔，单位为秒；设置太小会引起filebeat频繁扫描文件，导致cpu占用百分比过高

- type: log
enabled: true
paths:
    - /var/log/customer-error.log
multiline:
     pattern: ^\d{4}
     negate: true
     match: after
fields:
    service_name: customer
     log_type: error
    server_id: 127.0.0.1
scan_frequency: 60
output.logstash: # 输出到logstash的安装位置，以及监听的端口
hosts: ["129.1.7.203:5043"]
启动命令：
./filebeat -e -c filebeat.yml
报错：
2018-09-06T18:46:46.350+0800    ERROR  log/prospector.go:437   Harvester could not be started on new file: /var/log/yum.log, Err: Error setting up harvester: Harvester setup failed. Unexpected file opening error: Failed opening /var/log/yum.log: open /var/log/yum.log: permission denied
日志的权限别忘记给一下

为什么使用Filebeat 而不是直接使用Logstash 来收集日志？原因有以下几点。
1.Filebeat更加的轻量级，Logstash占用更多的系统资源，如果在每个服务器上部署Logstash，
    有时候会影响到业务服务，导致服务响应缓慢；
2.Filebeat能够记录文件状态，文件状态记录在文件中（~FILEBEAT_HOME/data/registry）。
    此状态可以记住harvesters 收集文件的偏移量，重启后prospectors 能知道每个日志文件的记录状态
    再进行收集文件；
3.Filebeat保证至少有一次输出，因为Filebeat将每个事件的传递状态保存在文件中。在没有得到接收方
    确认时，会尝试一直发送，直到得到回应。
Logstash部署：
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz
tar xf logstash-6.2.3.tar.gz -C /home/
chown -R admin: /home/logstash-6.2.3/
配置文件说明：
input { # 指定输入源-beats- filebeat
  beats {
    host => "localhost"
    port => "5043"
  }
}

filter {# 日志格式化，使用grok 插件
   if[fields][log_type] == 'error'{ # 如果是error类型的日志该怎么处理,在filebeat的fields中定义
    grok { # 使用grok 插件进行一整条日志信息格式成key-value信息
      match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"} # 这里采用的是grok预制的一些正则，":"后面是我们自定义的key
        }
    date { # 将kibana 的查询时间改成日志的打印时间，方便之后查询，如果不改的话，kibana会有自己的时间，导致查询不方便
        match => ["logdate", "yyyy-MM-dd HH:mm:ss Z", "ISO8601"]
        target => "@timestamp"
    }
   }

   if[fields][log_type] == 'info'{ # 如果是info类型该怎么格式，这里是重复的，如果有日志格式不一样比如nginx的日志类型，可以在这里自己定义
    grok {
      match => { "message"=> "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:loglevel} %{JAVACLASS:class} %{NUMBER:thread} %{JAVALOGMESSAGE:logmsg}"}
        }
    date {
        match => ["logdate", "yyyy-MM-dd HH:mm:ss Z", "ISO8601"]
        target => "@timestamp"
    }
   }
}

output {# 输出设置
  stdout { # 输出到控制台
      codec => rubydebug
  }
  # 输出到elasticsearch，提供给kibana进行搜索
  elasticsearch {
        hosts => [ "localhost:9200"]
        index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"# 在es中存储的索引格式，按照“服务名-日期”进行索引
  }

   if"ERROR"== [loglevel] { # 如果是ERROR日志单独发一份邮件给管理者，在写了日志处理中心后这里可以去掉，然后交给日志处理中心处理
    email {
        to => "email_me@163.com"
        via => "smtp"
        subject => "WARN: %{[fields][service_name]}项目出现ERROR异常"
        htmlbody => "error_message：%{message}\\nhost:%{[fields][service_id]}\\nkibana:http://127.0.0.1:5601"
        from => "noreply@163.com"
        address => "smtp.163.com"
        username => "noreply@163.com"
        password => "password1234"
    }
  }

}
在logstash的conf目录下创建配置文件：
[admin@jhkj66 config]$ vim defualt.conf
input {
   beats {
       port => "5044"
    }
}
# 数据过滤
filter {
   grok {
       match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
   geoip {
       source => "clientip"
    }
}
# 输出配置为本机的9200端口，这是ElasticSerach服务的监听端口
output {
   elasticsearch {
       hosts => ["127.0.0.1:9200"]
    }
}
启动命令：
nohup ./bin/logstash -f default.conf &

kibana部署
[root@jhkj68 tools]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.3-linux-x86_64.tar.gz
[root@jhkj68 tools]# tar xf kibana-6.2.3-linux-x86_64.tar.gz -C /home/
上传汉化包，英文版的kibana我是用不明白，汉化包下载地址：
https://github.com/anbai-inc/Kibana_Hanization
上传至服务器然后解压
unzip kibana-hanhua.zip
注意python的版本不能过高，3.6的版本我试过是汉化不了的，换成2.7的可以了
python main.py /home/kibana-6.2.3/
启动命令在kibana的bin下的kibana
后台启动：
nohup ./bin/kibana &