1.什么是 Elastic Stack
如果系統和應用出現異常和問題,相關的開發和運維人員想要排查原因,就要先登錄到應用運行所相應的主機,找到上面的相關日志文件再進行查找和分析,所以非常不方便,此外還會涉及到權限和安全問題,而ELK 的出現就很好的解決這一問題。
ELK 是由一家 Elastic 公司開發的三個開源項目的首字母縮寫,即是三個相關的項目組成的系統。
2.Elasticsearch 索引是什么?
Elasticsearch 索引指相互關聯的文檔集合。Elasticsearch 會以 JSON 文檔的形式存儲數據。每個文檔都會在一組鍵(字段或屬性的名稱)和它們對應的值(字符串、數字、布爾值、日期、數值組、地理位置或其他類型的數據)之間建立聯系。
Elasticsearch 使用的是一種名為倒排索引的數據結構,這一結構的設計可以允許十分快速地進行全文本搜索。倒排索引會列出在所有文檔中出現的每個特有詞匯,并且可以找到包含每個詞匯的全部文檔。
在索引過程中,Elasticsearch 會存儲文檔并構建倒排索引,這樣用戶便可以近實時地對文檔數據進行搜索。索引過程是在索引 API 中啟動的,通過此 API 您既可向特定索引中添加 JSON 文檔,也可更改特定索引中的 JSON 文檔。
3.Logstash 的用途是什么?
Logstash 是 Elastic Stack 的核心產品之一,可用來對數據進行聚合和處理,并將數據發送到 Elasticsearch。Logstash 是一個開源的服務器端數據處理管道,允許您在將數據索引到Elasticsearch 之前同時從多個來源采集數據,并對數據進行充實和轉換。
4.Kinbana的用途是什么?
是適用于 Elasticsearch 的數據可視化和管理工具,可提供實時直方圖、線形圖、餅狀圖和地圖 ;包含 Canvas(允許用戶基于自身數據創建定制動態信息圖表 )、Elastic Maps(對地理空間數據可視化 )等高級應用程序 。
總結如下:
①Elasticsearch 是一個實時的全文搜索 , 存儲庫和分析引擎。
②Logstash 是數據處理的管道,能夠同時從多個來源采集數據,轉換數據,然后將數據發送到諸如Elasticsearch 等存儲庫中。
③Kibana 則可以讓用戶在 Elasticsearch 中使用圖形和圖表對數據進行可視化。
5.Elasticsearch集群安裝
cluster.name: my-application
node.name: node-1 #不唯一。在其他主機上需要更改不一樣的名字 其他的都不變
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
discovery.seed_hosts: ["10.0.0.101", "10.0.0.102", "10.0.0.103"]
cluster.initial_master_nodes: ["10.0.0.101", "10.0.0.102", "10.0.0.103"]
xpack.security.enabled: false
xpack.security.enrollment.enabled: true
xpack.security.http.ssl:enabled: truekeystore.path: certs/http.p12
xpack.security.transport.ssl:enabled: trueverification_mode: certificatekeystore.path: certs/transport.p12truststore.path: certs/transport.p12
http.host: 0.0.0.0
curl 'http://127.0.0.1:9200/_cat/health' #查看es集群狀態
創建索引
curl -XPUT '127.0.0.1:9200/index1' #簡單輸出
curl -XPUT '127.0.0.1:9200/index2?pretty' #格式化輸出
curl -XPUT '127.0.0.1:9200/index2?pretty' #格式化輸出
查看索引
curl 'http://127.0.0.1:9200/_cat/indices?v' #查看所有索引
刪除索引
curl -XDELETE 'http://127.0.0.1:9200/index1' #刪除索引index1
在索引index1上創建3個分片和2個副本的索引
curl -XPUT '127.0.0.1:9200/index1' \
-H 'Content-Type: application/json' \
-d '{"settings": {"index": {"number_of_shards": 3,"number_of_replicas": 2}}
}' 調整索引index1副本數為1,但不能調整分片數
curl -XPUT '127.0.0.1:9200/index1/_settings' \
-H 'Content-Type: application/json' \
-d '{"settings": {"number_of_replicas": 1}
}'6.Elasticsearch 插件
ES 集群狀態 :
green 綠色狀態 : 表示集群各節點運行正常,而且沒有丟失任何數據,各主分片和副本分片都運行正
常。
yellow 黃色狀態 : 表示由于某個節點宕機或者其他情況引起的, node 節點無法連接、所有主分片都
正常分配 , 有副本分片丟失,但是還沒有丟失任何數據。
red 紅色狀態 : 表示由于某個節點宕機或者其他情況引起的主分片丟失及數據丟失 , 但仍可讀取數據
和存儲 監控下面兩個條件都滿足才是正常的狀態。
集群狀態為 green 所有節點都啟動。
Cerebro 插件
Cerebro 是開源的 elasticsearch 集群 Web 管理程序,此工具應用也很廣泛,此項目升級比 Head 頻繁。Cerebro v0.9.4 版本更高版本需要 Java11。 基于java環境。
相關下載鏈接:wget https://githubfast.com/lmenezes/cerebro/releases/download/v0.9.4/cerebro_0.9.4_all.deb
# 訪問下面鏈接地址
http://10.0.0.101:9000 #我是在101主機上安裝的cerebro插件
# 在 Node address 輸入框中輸入任意 ES 集群節點的地址
http://10.0.0.102:9200
7.ES 文檔路由
ES 文檔路由原理
ES 文檔是分布式存儲,當在 ES 集群訪問或存儲一個文檔時,由下面的算法決定此文檔到底存放在哪個主分片中, 再結合集群狀態找到存放此主分片的節點主機。
shard = hash(routing) % number_of_primary_shards
hash # 哈希算法可以保證將數據均勻分散在分片中
routing # 用于指定用于 hash 計算的一個可變參數,默認是文檔 id ,也可以自定義
number_of_primary_shards #
與流線程(Stream Threads)的協同設計)
