|
|
实战 Elastic Stack - ELK 部署与配置
- 系统环境:CentOS Linux release 7.5.1804 (Core)
- 服务器数量:8 台
相关软件及版本
jdk-8u181-linux-x64.tar.gz
elasticsearch-6.3.2.tar.gz
zookeeper-3.4.12.tar.gz
kafka_2.10-0.10.0.1.tgz
filebeat-6.3.2-linux-x86_64.tar.gz
kibana-6.3.2-linux-x86_64.tar.gz
logstash-6.3.2.tar.gz
约定
所有安装包放置在 /elk/app
所有软件安装在 /usr/local 的主目录下
JDK的安装
版本:jdk1.8.0_181
涉及的服务器 (c172 to c178)
这里以c172安装JDK为例
解压
tar zxvf jdk-8u181-linux-x64.tar.gz -C /usr/local/
添加全局环境变量
vim /etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_181
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH
变量生效
source /etc/profile
验证JAVA版本
java -version
同样的步骤完成c173到c178服务器JAVA的安装
ElasticSearch 的安装与配置
版本:elasticsearch-6.3.2
涉及的服务器 c176 到 c178 (三台)
这里以c176为例
解压
tar zxvf elasticsearch-6.3.2.tar.gz -C /usr/local/
重命名
mv elasticsearch-6.3.2 elasticsearch
创建独立的es用户,名称:elasticsearch, 并授权给 /usr/local/elasticsearch
useradd elasticsearch
chown -R elasticsearch:elasticsearch /usr/local/elasticsearch
针对elasticsearch的系统调优
vim /etc/sysctl.conf
加入以下内容
fs.file-max=655360
vm.max_map_count=262144
vim /etc/security/limits.conf
加入以下内容
* soft nproc 204800
* hard nproc 204800
* soft nofile 655360
* hard nofile 655360
* soft memlock unlimited
* hard memlock unlimited
vim /etc/security/limits.d/20-nproc.conf
修改内容为
* soft nproc 40960
root soft nproc unlimited
执行下面命令来生效
sysctl -p
logout系统,再重新login,并执行 ulimit -a 查看调优的结果
ulimit -a
JVM调优
vim /usr/local/elasticsearch/config/jvm.options
Xms 和Xmx的值,推荐设置为物理内存的一半。(这里都设置为1GB)
创建elasticsearch 的data存放目录
mkdir -p /data1/elasticsearch
mkdir -p /data2/elasticsearch
chown -R elasticsearch:elasticsearch /data1/elasticsearch
chown -R elasticsearch:elasticsearch /data2/elasticsearch
配置elasticsearch
vim /usr/local/elasticsearch/config/elasticsearch.yml
添加以下内容
cluster.name: es
node.name: c176
node.master: true
node.data: true
path.data: /data1/elasticsearch,/data2/elasticsearch
path.logs: /usr/local/elasticsearch/logs
bootstrap.memory_lock: true
network.host: 192.168.199.176
http.port: 9200
discovery.zen.minimum_master_nodes: 1
discovery.zen.ping_timeout: 3s
discovery.zen.ping.unicast.hosts: ["192.168.199.176:9300","192.168.199.177:9300","192.168.199.178:9300"]
启动elasticsearch集群, # 注意:确保 /usr/local/elasticsearch 和 /data1/elastisearch 和 /data2/elasticsearch 的授权用户是elasticsearch 用户;启动 elasticsearch服务的时候,必须要切换到 elasticsearch 用户
su - elasticsearch
/usr/local/elasticsearch/bin/elasticsearch -d
验证elasticsearch服务启动正常
jps
curl http://192.168.199.176:9200
有如下输出,表明该服务正常
关于elasticsearch的日志文件
/usr/local/elasticsearch/logs/XXX.log (## XXX 代表 cluster.name 的名称)
如果服务不能正常启动,根据日志报错情况来分析,判断和解决。
对c177 和 c178 服务器做同样的 关于 elasticsearch 的安装,配置步骤
ZooKeeper的安装与配置
版本:zookeeper-3.4.12
涉及的服务器 (c172 to c174)
这里以c172安装配置 ZooKeeper 为例
解压, 重命名主目录
tar zxvf zookeeper-3.4.12.tar.gz -C /usr/local/
mv zookeeper-3.4.12 zookeeper
复制zoo_sample.cfg,并重名为zoo.cfg
cd /usr/local/zookeeper/conf
cp zoo_sample.cfg zoo.cfg
创建 ZooKeeper 的 data 目录
mkdir -p /data/zookeeper
创建 myid 文件,其内容为1
echo "1" > /data/zookeeper/myid (## 注意对应的c173的值为 2, c174的值为 3;)
配置 zookeeper
vim /usr/local/zookeeper/conf/zoo.cfg
添加以下内容
tickTime=2000
initLimit=10
syncLimit=5
dataDir=/data/zookeeper
clientPort=2181
server.1=192.168.199.172:2888:3888
server.2=192.168.199.173:2888:3888
server.3=192.168.199.174:2888:3888
启动ZooKeeper服务, 并通过 jps 或者 ps -ef 来验证服务正常启动
zkServer.sh start
jps
ps -ef | grep zookeeper
注意:
ZooKeeper 的日志存放位置与zookeeper启动的时候在同一目录下,名称为 zookeeper.out;
完成同样的 zookeeper 安装配置在 c173, c174 服务器上。
Kafka的安装与配置
版本:kafka_2.10-0.10.0.1
涉及的服务器 (c172 to c174)
这里以c172安装配置 ZooKeeper 为例
注意:Filebeat使用的版本(filebeat-6.3.2)所支持的Kafka版本要对应支持
https://www.elastic.co/guide/en/beats/filebeat/6.3/kafka-output.html
获取kafka安装包
wget https://archive.apache.org/dist/kafka/0.10.0.1/kafka_2.10-0.10.0.1.tgz
解压,重命名
tar zxvf kafka_2.10-0.10.0.1.tgz -C /usr/local/
mv kafka_2.10-0.10.0.1 kafka
创建kafka日志目录
mkdir -p /kafka-logs
配置kafka配置文件
vim /usr/local/kafka/config/server.properties
关键配置项目内容 (c172为例)
broker.id=1
listeners=PLAINTEXT://192.168.199.172:9092
log.dirs=/kafka-logs
num.partitions=6
log.retention.hours=60
log.segment.bytes=1073741824
zookeeper.connect=192.168.199.172:2181,192.168.199.173:2181,192.168.199.174:2181
auto.create.topics.enable=true
delete.topic.enable=true
启动kafka ( nohup ...... & : 放置于后台运行)
nohup kafka-server-start.sh /usr/local/kafka/config/server.properties &
检测kafka服务
jps
生成的kafka 的日志文件 nohup.out ( 与执行kafka 启动时在同一目录下产生)
同样的步骤对 c173, c174服务器完成kafka 的安装和配置
kafka 基本命令操作
显示topic列表
kafka-topics.sh --zookeeper c172:2181,c173:2181,c174:2181 --list
创建一个topic,并指定topic属性(副本数、分区数等)
kafka-topics.sh --create --zookeeper c172:2181,c173:2181,c174:2181 --replication-factor 1 --partitions 3 --topic xyz
查看某个topic的状态
kafka-topics.sh --describe --zookeeper c172:2181,c173:2181,c174:2181 --topic xyz
生产消息
kafka-console-producer.sh --broker-list c172:9092,c173:9092,c174:9092 --topic xyz
消费消息
kafka-console-consumer.sh --zookeeper c172:2181,c173:2181,c174:2181 --topic xyz
kafka-console-consumer.sh --zookeeper c172:2181,c173:2181,c174:2181 --topic xyz --from beginning
删除topic
kafka-topics.sh --zookeeper c172:2181,c173:2181,c174:2181 --delete --topic xyz
Filebeat 的安装与配置
版本:filebeat-6.3.2
涉及的服务器 c171
解压安装,重命名
tar zxvf filebeat-6.3.2-linux-x86_64.tar.gz -C /usr/local/
mv filebeat-6.3.2-linux-x86_64 filebeat
配置filebeat有两种方法:
传统方法:修改filebeat.yml 的配置文件
模块配置:在modules.d 目录下包含了各种模块
在modules.d 下支持的模块列表
这里以修改 filebeat.yml 配置为例
############INPUT################
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/messages
- /var/log/secure
fields:
log_topic: osmessages
name: "192.168.199.171"
############OUTPUT################
output.kafka:
enabled: true
hosts: ["192.168.199.172:9092", "192.168.199.173:9092", "192.168.199.174:9092"]
version: "0.10"
topic: '%{[fields.log_topic]}'
partition.round_robin:
reachable_only: true
worker: 2
required_acks: 1
compression: gzip
max_message_bytes: 10000000
logging.level: debug
启动filebeat
nohup ./filebeat -e -c filebeat.yml &
查看输出
tail -f nohup.out
数据过滤的例子, 然后通过 nohup.out可查看结果
processors:
- drop_fields:
fields: ["beat","host","input","source","offset","prospector" ]
验证 从filebeat的日志传给了kafka
在kafka的服务器上执行:(有一个osmessages的topic)
消费osmessages;
执行以下命令
测试:在任意一台服务器上ssh到c171 (filebeat),随后在上述的屏幕如果有以下输出,表明kafka服务器从filebeat的服务器中获取了数据,并消费了
Logstash的安装,配置
版本:logstash-6.3.2
涉及的服务器 c175
解压安装包,并重命名
tar zxvf logstash-6.3.2.tar.gz -C /usr/local/
mv logstash-6.3.2 logstash
logstatsh只做三件事情
接收数据(input),分析过滤(filter),输出数据(output)
通过插件机制的方式去实现,filter不是必须的,input,output是必须的;
插件:https://github.com/logstash-plugins
input插件:接收数据
filter插件:过滤数据
output插件:输出数据
Logstash 配置文件
jvm.options: JVM内存资源配置文件
logstash.yml:logstash 全局配置文件
logstash 事件配置文件:手工创建
./logstash -e 'input{stdin{}} output{stdout{codec=>rubydebug}}'
或者让logstash通过调用配置文件的方式来实现,
vim testfile.conf
bin/logstash -f testfile.conf
或者放后台运行, 查看nohup.out 的日志
nohup bin/logstash -f testfile.conf &
本例的logstatsh 从kafka接收数据,然后输出给elasticsearch。 创建一个logstash的配置文件
vim kafka_io_es.conf
调用并执行
nohup ./bin/logstash -f ./config/kafka_io_es.conf &
tail -f nohup.out
Kibana的安装与配置
版本:kibana-6.3.2
涉及的服务器 c178
解压安装包,并重命名
zxvf kibana-6.3.2-linux-x86_64.tar.gz -C /usr/local
mv kibana-6.3.2-linux-x86_64 kibana
配置文件
vim /usr/local/kibana/config/kibana.yml
输入以下内容
server.port: 5601
server.host: "192.168.199.178"
elasticsearch.url: "http://192.168.199.176:9200"
kibana.index: ".kibana"
启动kibana服务
nohup /usr/local/kibana/bin/kibana &
查看日志
tail -f nohup.out
查看服务进程
ps -ef | grep node
在客户端打开浏览器输入
http://192.168.199.178:5601
总结各服务的开启方式例子
nohup ./filebeat -e -c filebeat.yml &
zkServer.sh start
nohup kafka-server-start.sh /usr/local/kafka/config/server.properties &
nohup ./bin/logstash -f ./config/kafka_io_es.conf
elasticsearch -d
nohup /usr/local/kibana/bin/kibana &
++++++++++++++++++++++++++++++++++++++++++
要深刻理解数据流向,各项服务提供的功能
重点和难点:logstash的插件配置(input, filter,output)
++++++++++++++++++++++++++++++++++++++++++
|
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2019-1-28 12:17:10
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡