ELK+kafka+filebeat企業內部日志分析系統

1、組件介紹

1、Elasticsearch：

是一個基于Lucene的搜索服務器。提供搜集、分析、存儲數據三大功能。它提供了一個分布式多用戶能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java開發的，并作為Apache許可條款下的開放源碼發布，是當前流行的企業級搜索引擎。設計用于云計算中，能夠達到實時搜索，穩定，可靠，快速，安裝使用方便。

2、Logstash:

主要是用來日志的搜集、分析、過濾日志的工具。用于管理日志和事件的工具，你可以用它去收集日志、轉換日志、解析日志并將他們作為數據提供給其它模塊調用，例如搜索、存儲等。

3、Kibana:

是一個優秀的前端日志展示框架，它可以非常詳細的將日志轉化為各種圖表，為用戶提供強大的數據可視化支持,它能夠搜索、展示存儲在 Elasticsearch 中索引數據。使用它可以很方便的用圖表、表格、地圖展示和分析數據。

4、Kafka：

? 數據緩沖隊列。作為消息隊列解耦合處理過程，同時提高了可擴展性。具有峰值處理能力，使用消息隊列能夠使關鍵組件頂住突發的訪問壓力，而不會因為突發的超負荷的請求而完全崩潰。

• 1.發布和訂閱記錄流，類似于消息隊列或企業消息傳遞系統。
• 2.以容錯持久的方式存儲記錄流。
• 3.處理記錄發生的流。

5、Filebeat:

? 隸屬于Beats,輕量級數據收集引擎。基于原先 Logstash-fowarder 的源碼改造出來。換句話說：Filebeat就是新版的 Logstash-fowarder，也會是 ELK Stack 在 Agent 的第一選擇,目前Beats包含四種工具：

• 1.Packetbeat（搜集網絡流量數據）
• 2.Metricbeat（搜集系統、進程和文件系統級別的 CPU 和內存使用情況等數據。通過從操作系統和服務收集指標，幫助您監控服務器及其托管的服務。）
• 3.Filebeat（搜集文件數據）
• 4.Winlogbeat（搜集 Windows 事件日志數據）

2、環境介紹

注：以下為環境所需所有服務器，配置為測試環境配置。

安裝軟件	主機名	IP地址	系統版本	配置
Elasticsearch/Logstash/kibana	Elk	10.3.145.14	centos7.5.1804	2核4G
Elasticsearch	Es1	10.3.145.56	centos7.5.1804	2核3G
Elasticsearch	Es2	10.3.145.57	centos7.5.1804	2核3G
zookeeper/kafka	Kafka1	10.3.145.41	centos7.5.1804	1核2G
zookeeper/kafka	Kafka2	10.3.145.42	centos7.5.1804	1核2G
zookeeper/kafka	Kafka3	10.3.145.43	centos7.5.1804	1核2G
Filebeat

3、版本說明

Elasticsearch: 7.13.2
Logstash: 7.13.2
Kibana: 7.13.2
Kafka: 2.11-1
Filebeat: 7.13.2
相應的版本最好下載對應的插件

4、搭建架構

1、日志數據由filebate進行收集，定義日志位置，定義kafka集群，定義要傳給kafka的那個topic
2、kafka接受到數據后,端口為9092，等待消費
3、logstash消費kafka中的數據，對數據進行搜集、分析，根據輸入條件，過濾條件，輸出條件處理后，將數據傳輸給es集群
4、es集群接受數據后，搜集、分析、存儲
5、kibana提供可視化服務，將es中的數據展示。

相關地址：

官網地址：https://www.elastic.co

官網搭建：https://www.elastic.co/guide/index.html

5、實施部署

1、 Elasticsearch集群部署

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
Elasticsearch	Elk	10.3.145.14	centos7.5.1804	2核4G
Elasticsearch	Es1	10.3.145.56	centos7.5.1804	2核3G
Elasticsearch	Es2	10.3.145.57	centos7.5.1804	2核3G

• 軟件版本：elasticsearch-7.13.2.tar.gz
• 示例節點：10.3.145.14

1、安裝配置jdk

可以自行安裝，es安裝包中自帶了jdk

2、安裝配置ES

（1）創建運行ES的普通用戶

[root@elk ~]# useradd es
[root@elk ~]# echo "******" | passwd --stdin "es"

（2）安裝配置ES

[root@elk ~]# tar zxvf /usr/local/package/elasticsearch-7.13.2-linux-x86_64.tar.gz -C /usr/local/
[root@elk ~]# mv /usr/local/elasticsearch-7.13.2 /usr/local/es
[root@elk ~]# vim /usr/local/es/config/elasticsearch.yml
cluster.name: bjbpe01-elk
cluster.initial_master_nodes: ["192.168.1.101","192.168.1.102","192.168.1.103"] # 單節點模式這里的地址只填寫本機地址
node.name: elk01
node.master: true
node.data: true
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: false
bootstrap.system_call_filter: false
network.host: 0.0.0.0
http.port: 9200
transport.tcp.port: 9300
# 單節點模式下，將discovery開頭的行注釋
discovery.seed_hosts: ["192.168.1.102","192.168.1.103"]
discovery.zen.minimum_master_nodes: 2
discovery.zen.ping_timeout: 150s
discovery.zen.fd.ping_retries: 10
client.transport.ping_timeout: 60s
http.cors.enabled: true
http.cors.allow-origin: "*"# 由于我們的筆記本性能有限，如果要使用單節點多實例的話，添加在原有配置中添加
node.max_local_storage_nodes:  這個配置限制了單節點上可以開啟的ES存儲實例的個數

配置項含義：

cluster.name    集群名稱，各節點配成相同的集群名稱。
cluster.initial_master_nodes 集群ip，默認為空，如果為空則加入現有集群，第一次需配置
node.name       節點名稱，各節點配置不同。
node.master     指示某個節點是否符合成為主節點的條件。
node.data       指示節點是否為數據節點。數據節點包含并管理索引的一部分。
path.data       數據存儲目錄。
path.logs       日志存儲目錄。
bootstrap.memory_lock       內存鎖定，是否禁用交換，測試環境建議改為false。
bootstrap.system_call_filter    系統調用過濾器。
network.host    綁定節點IP。
http.port       rest api端口。
discovery.seed_hosts    提供其他 Elasticsearch 服務節點的單點廣播發現功能，這里填寫除了本機的其他ip
discovery.zen.minimum_master_nodes  集群中可工作的具有Master節點資格的最小數量，官方的推薦值是(N/2)+1，其中N是具有master資格的節點的數量。
discovery.zen.ping_timeout      節點在發現過程中的等待時間。
discovery.zen.fd.ping_retries        節點發現重試次數。
http.cors.enabled               是否允許跨源 REST 請求，用于允許head插件訪問ES。
http.cors.allow-origin              允許的源地址。

（3）設置JVM堆大小 #7.0默認為4G

[root@elk ~]# sed -i 's/## -Xms4g/-Xms4g/' /usr/local/es/config/jvm.options  
[root@elk ~]# sed -i 's/## -Xmx4g/-Xmx4g/' /usr/local/es/config/jvm.options

注意：
確保堆內存最小值（Xms）與最大值（Xmx）的大小相同，防止程序在運行時改變堆內存大小。
如果系統內存足夠大，將堆內存最大和最小值設置為31G，因為有一個32G性能瓶頸問題。
堆內存大小不要超過系統內存的50%

（4）創建ES數據及日志存儲目錄

[root@elk ~]# mkdir -p /data/elasticsearch/data       (/data/elasticsearch)
[root@elk ~]# mkdir -p /data/elasticsearch/logs       (/log/elasticsearch)

（5）修改安裝目錄及存儲目錄權限

[root@elk ~]# chown -R es.es /data/elasticsearch
[root@elk ~]# chown -R es.es /usr/local/es

3、系統優化

（1）增加最大文件打開數

永久生效方法：

[root@elk ~]# echo "* soft nofile 65536" >> /etc/security/limits.conf

（2）增加最大進程數

[root@elk ~]# echo "* soft nproc 65536" >> /etc/security/limits.conf

* soft nofile 65536
* hard nofile 131072
* soft nproc 4096
* hard nproc 4096
更多的參數調整可以直接用這個

（3）增加最大內存映射數

[root@elk ~]# echo "vm.max_map_count=262144" >> /etc/sysctl.conf
[root@elk ~]# sysctl -p

啟動如果報下列錯誤

memory locking requested for elasticsearch process but memory is not locked
elasticsearch.yml文件
bootstrap.memory_lock : false
/etc/sysctl.conf文件
vm.swappiness=0錯誤:
max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]意思是elasticsearch用戶擁有的客串建文件描述的權限太低，知道需要65536個解決：切換到root用戶下面，[root@elk ~]# vim /etc/security/limits.conf在最后添加
* hard nofile 65536
* hard nproc 65536
重新啟動elasticsearch，還是無效？
必須重新登錄啟動elasticsearch的賬戶才可以，例如我的賬戶名是elasticsearch，退出重新登錄。
另外*也可以換為啟動elasticsearch的賬戶也可以，* 代表所有，其實比較不合適啟動還會遇到另外一個問題，就是
max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
意思是：elasticsearch用戶擁有的內存權限太小了，至少需要262114。這個比較簡單，也不需要重啟，直接執行
sysctl -w vm.max_map_count=262144
就可以了

4、啟動ES

  [root@elk ~]# su - es -c "cd /usr/local/es && nohup bin/elasticsearch &"

測試：瀏覽器訪問http://10.3.145.14:9200

5.安裝配置head監控插件 （只在第一臺es部署）

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
Elasticsearch-head-master	Elk	10.3.145.14	centos7.5.1804	2核4G

（1）安裝node

[root@elk ~]# wget https://npm.taobao.org/mirrors/node/latest-v10.x/node-v10.0.0-linux-x64.tar.gz
[root@elk ~]# tar -zxf node-v10.0.0-linux-x64.tar.gz –C /usr/local
[root@elk ~]# echo "
NODE_HOME=/usr/local/node-v10.0.0-linux-x64
PATH=\$NODE_HOME/bin:\$PATH
export NODE_HOME PATH
" >>/etc/profile
[root@elk ~]# source /etc/profile
[root@elk ~]# node --version   #檢查node版本號

（2）下載head插件

[root@elk ~]# wget https://github.com/mobz/elasticsearch-head/archive/master.zip[root@elk ~]# unzip -d /usr/local elasticsearch-head-master.zip

（3）安裝grunt

[root@elk ~]# cd /usr/local/elasticsearch-head-master
[root@elk elasticsearch-head-master]# npm install -g grunt-cli
[root@elk elasticsearch-head-master]# grunt -version  #檢查grunt版本號

（4）修改head源碼

[root@elk ~]# vi /usr/local/elasticsearch-head-master/Gruntfile.js +99

添加hostname，注意在上一行末尾添加逗號,hostname 不需要添加逗號

[root@elk ~]# vim /usr/local/elasticsearch-head-master/_site/app.js +4388

原本是http://localhost:9200 ，如果head和ES不在同一個節點，注意修改成ES的IP地址

（5）下載head必要的文件

[root@elk ~]# wget https://github.com/Medium/phantomjs/releases/download/v2.1.1/phantomjs-2.1.1-linux-x86_64.tar.bz2
[root@elk ~]# yum -y install bzip2
[root@elk ~]# mkdir /tmp/phantomjs
[root@elk ~]# mv phantomjs-2.1.1-linux-x86_64.tar.bz2 /tmp/phantomjs/
[root@elk ~]# chmod 777 /tmp/phantomjs -R

（6）運行head

[root@elk ~]# cd /usr/local/elasticsearch-head-master/
[root@elk elasticsearch-head-master]# npm install 
[root@elk elasticsearch-head-master]# nohup grunt server &
[root@elk elasticsearch-head-master]# ss -tnlpnpm install 執行錯誤解析：
npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! phantomjs-prebuilt@2.1.16 install: `node install.js`
npm ERR! Exit status 1
npm ERR! 
npm ERR! Failed at the phantomjs-prebuilt@2.1.16 install script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.npm ERR! A complete log of this run can be found in:
npm ERR!     /root/.npm/_logs/2021-04-21T09_49_34_207Z-debug.log解決：
[root@elk elasticsearch-head-master]# npm install phantomjs-prebuilt@2.1.16 --ignore-scripts  # 具體的版本按照上述報錯修改

（7）測試

訪問http://10.3.145.14:9100

2、 Kibana部署

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
Kibana	Elk	10.3.145.14	centos7.5.1804	2核4G
軟件版本：nginx-1.14.2、kibana-7.13.2-linux-x86_64.tar.gz

1. 安裝配置Kibana

（1）安裝

[root@elk ~]# tar zxf kibana-7.13.2-linux-x86_64.tar.gz -C /usr/local/

（2）配置

[root@elk ~]# echo '
server.port: 5601
server.host: "10.3.145.14"
elasticsearch.hosts: ["http://10.3.145.14:9200"]
kibana.index: ".kibana"
i18n.locale: "zh-CN"
'>>/usr/local/kibana-7.13.2-linux-x86_64/config/kibana.yml

配置項含義：

server.port kibana服務端口，默認5601
server.host kibana主機IP地址，默認localhost
elasticsearch.url   用來做查詢的ES節點的URL，默認http://localhost:9200
kibana.index        kibana在Elasticsearch中使用索引來存儲保存的searches, visualizations和dashboards，默認.kibana

（3）啟動

[root@elk ~]# cd /usr/local/kibana-7.13.2-linux-x86_64/
[root@elk ~]# nohup ./bin/kibana --allow-root &

2. 安裝配置Nginx反向代理

（1）配置YUM源：

[root@elk ~]# rpm -ivh <http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm>

（2）安裝：

[root@elk ~]# yum install -y nginx httpd-tools
注意：httpd-tools用于生成nginx認證訪問的用戶密碼文件

（3）配置反向代理

[root@elk ~]# cat /etc/nginx/nginx.conf
user  nginx;
worker_processes  4;
error_log  /var/log/nginx/error.log;
pid        /var/run/nginx.pid;
worker_rlimit_nofile 65535;events {worker_connections  65535;use epoll;
}http {include       mime.types;default_type  application/octet-stream;log_format  main  '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';access_log  /var/log/nginx/access.log  main;server_names_hash_bucket_size 128;autoindex on;sendfile        on;tcp_nopush     on;tcp_nodelay on;keepalive_timeout  120;fastcgi_connect_timeout 300;fastcgi_send_timeout 300;fastcgi_read_timeout 300;fastcgi_buffer_size 64k;fastcgi_buffers 4 64k;fastcgi_busy_buffers_size 128k;fastcgi_temp_file_write_size 128k;#gzip模塊設置gzip on; #開啟gzip壓縮輸出gzip_min_length 1k;    #最小壓縮文件大小gzip_buffers 4 16k;    #壓縮緩沖區gzip_http_version 1.0;    #壓縮版本（默認1.1，前端如果是squid2.5請使用1.0）gzip_comp_level 2;    #壓縮等級gzip_types text/plain application/x-javascript text/css application/xml;    #壓縮類型，默認就已經包含textml，所以下面就不用再寫了，寫上去也不會有問題，但是會有一個warn。gzip_vary on;#開啟限制IP連接數的時候需要使用#limit_zone crawler $binary_remote_addr 10m;#tips:#upstream bakend{#定義負載均衡設備的Ip及設備狀態}{#    ip_hash;#    server 127.0.0.1:9090 down;#    server 127.0.0.1:8080 weight=2;#    server 127.0.0.1:6060;#    server 127.0.0.1:7070 backup;#}#在需要使用負載均衡的server中增加 proxy_pass http://bakend/;server {listen       80;server_name  172.16.244.28;#charset koi8-r;# access_log  /var/log/nginx/host.access.log  main;access_log off;location / {  auth_basic "Kibana";   #可以是string或off，任意string表示開啟認證，off表示關閉認證。auth_basic_user_file /etc/nginx/passwd.db;   #指定存儲用戶名和密碼的認證文件。proxy_pass http://172.16.244.28:5601;proxy_set_header Host $host:5601;  proxy_set_header X-Real-IP $remote_addr;  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  proxy_set_header Via "nginx";  }location /status { stub_status on; #開啟網站監控狀態 access_log /var/log/nginx/kibana_status.log; #監控日志 auth_basic "NginxStatus"; } location /head/{auth_basic "head";auth_basic_user_file /etc/nginx/passwd.db;proxy_pass http://172.16.244.25:9100/;proxy_set_header Host $host:9100;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Via "nginx";}  # redirect server error pages to the static page /50x.htmlerror_page   500 502 503 504  /50x.html;location = /50x.html {root   html;}}
}

（4）配置授權用戶和密碼

[root@elk ~]# htpasswd -cm /etc/nginx/passwd.db kibana

（5）啟動nginx

[root@elk ~]# systemctl start nginx

瀏覽器訪問http://10.3.145.14 剛開始沒有任何數據，會提示你創建新的索引。

3、 Kafka部署

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
zookeeper/kafka	Kafka1	10.3.145.41	centos7.5.1804	1核2G
zookeeper/kafka	Kafka2	10.3.145.42	centos7.5.1804	1核2G
zookeeper/kafka	Kafka3	10.3.145.43	centos7.5.1804	1核2G

• 軟件版本：jdk-8u121-linux-x64.tar.gz、kafka_2.11-2.0.0.tgz
• 示例節點：10.3.145.41

1.安裝配置jdk8

（1）Kafka、Zookeeper（簡稱：ZK）運行依賴jdk8

[root@kafka1 ~]# tar zxvf /usr/local/package/jdk-8u121-linux-x64.tar.gz -C /usr/local/
[root@kafka1 ~]# echo '
JAVA_HOME=/usr/local/jdk1.8.0_121
PATH=$JAVA_HOME/bin:$PATH
export JAVA_HOME PATH
' >>/etc/profile
[root@kafka1 ~]# source /etc/profile

2.安裝配置ZK

Kafka運行依賴ZK，Kafka官網提供的tar包中，已經包含了ZK，這里不再額下載ZK程序。

（1）安裝

[root@kafka1 ~]# tar zxvf /usr/local/package/kafka_2.11-2.0.0.tgz -C /usr/local/

（2）配置

[root@kafka1 ~]# echo '
dataDir=/opt/data/zookeeper/data 
dataLogDir=/opt/data/zookeeper/logs
clientPort=2181 
tickTime=2000 
initLimit=20 
syncLimit=10 
server.1=10.3.145.41:2888:3888             //kafka集群IP:Port .1為id 3處要對應
server.2=10.3.145.42:2888:3888
server.3=10.3.145.43:2888:3888
'> /usr/local/kafka_2.11-2.0.0/config/zookeeper.properties

配置項含義：

dataDir ZK數據存放目錄。
dataLogDir  ZK日志存放目錄。
clientPort  客戶端連接ZK服務的端口。
tickTime        ZK服務器之間或客戶端與服務器之間維持心跳的時間間隔。
initLimit       允許follower(相對于Leaderer言的“客戶端”)連接并同步到Leader的初始化連接時間，以tickTime為單位。當初始化連接時間超過該值，則表示連接失敗。
syncLimit   Leader與Follower之間發送消息時，請求和應答時間長度。如果follower在設置時間內不能與leader通信，那么此follower將會被丟棄。
server.1=172.16.244.31:2888:3888    2888是follower與leader交換信息的端口，3888是當leader掛了時用來執行選舉時服務器相互通信的端口。

創建data、log目錄
[root@kafka1 ~]# mkdir -p /opt/data/zookeeper/{data,logs}
創建myid文件
[root@kafka1 ~]# echo 1 > /opt/data/zookeeper/data/myid

3.配置Kafka

（1）配置

[root@kafka1 ~]# echo '
broker.id=1
listeners=PLAINTEXT://10.3.145.41:9092
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/data/kafka/logs
num.partitions=6
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=2
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=536870912
log.retention.check.interval.ms=300000
zookeeper.connect=10.3.145.41:2181,10.3.145.42:2181,10.3.145.43:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
' >/usr/local/kafka_2.11-2.0.0/config/server.properties

配置項含義：

broker.id   每個server需要單獨配置broker id，如果不配置系統會自動配置。
listeners       監聽地址，格式PLAINTEXT://IP:端口。
num.network.threads 接收和發送網絡信息的線程數。
num.io.threads          服務器用于處理請求的線程數，其中可能包括磁盤I/O。
socket.send.buffer.bytes    套接字服務器使用的發送緩沖區(SO_SNDBUF)
socket.receive.buffer.bytes 套接字服務器使用的接收緩沖區(SO_RCVBUF)
socket.request.max.bytes        套接字服務器將接受的請求的最大大小(防止OOM)
log.dirs        日志文件目錄。
num.partitions  partition數量。
num.recovery.threads.per.data.dir       在啟動時恢復日志、關閉時刷盤日志每個數據目錄的線程的數量，默認1。
offsets.topic.replication.factor        偏移量話題的復制因子（設置更高保證可用），為了保證有效的復制，偏移話題的復制因子是可配置的，在偏移話題的第一次請求的時候可用的broker的數量至少為復制因子的大小，否則要么話題創建失敗，要么復制因子取可用broker的數量和配置復制因子的最小值。
log.retention.hours 日志文件刪除之前保留的時間（單位小時），默認168
log.segment.bytes   單個日志文件的大小，默認1073741824
log.retention.check.interval.ms 檢查日志段以查看是否可以根據保留策略刪除它們的時間間隔。
zookeeper.connect   ZK主機地址，如果zookeeper是集群則以逗號隔開。
zookeeper.connection.timeout.ms     連接到Zookeeper的超時時間。

創建log目錄
[root@kafka1 ~]# mkdir -p /opt/data/kafka/logs

4、其他kafka節點配置

只需把配置好的安裝包直接分發到其他節點，然后修改ZK的myid，Kafka的broker.id和listeners就可以了。

5、啟動、驗證ZK集群

（1）啟動

在三個節點依次執行：

[root@kafka1 ~]# cd /usr/local/kafka_2.11-2.0.0/
[root@kafka1 ~]# nohup bin/zookeeper-server-start.sh config/zookeeper.properties &

（2）驗證

查看ZK配置

下載nmap
[root@kafka1 ~]# yum install nmap
[root@kafka1 ~]# echo conf | nc 127.0.0.1 2181
clientPort=2181
dataDir=/opt/data/zookeeper/data/version-2
dataLogDir=/opt/data/zookeeper/logs/version-2
tickTime=2000
maxClientCnxns=60
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=1
initLimit=20
syncLimit=10
electionAlg=3
electionPort=3888
quorumPort=2888
peerType=0

查看ZK狀態

[root@kafka1 ~]# echo stat |nc 127.0.0.1 2181
Zookeeper version: 3.4.13-2d71af4dbe22557fda74f9a9b4309b15a7487f03, built on 06/29/2018 00:39 GMT
Clients:/127.0.0.1:51876[0](queued=0,recved=1,sent=0)Latency min/avg/max: 0/0/0
Received: 2
Sent: 1
Connections: 1
Outstanding: 0
Zxid: 0x0
Mode: follower
Node count: 4

查看端口

[root@kafka1 ~]# lsof -i:2181
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
java    15002 root   98u  IPv4  43385      0t0  TCP *:eforward (LISTEN)

6、啟動、驗證Kafka

（1）啟動

在三個節點依次執行：

[root@kafka1 ~]# cd /usr/local/kafka_2.11-2.0.0/
[root@kafka1 ~]# nohup bin/kafka-server-start.sh config/server.properties &

（2）驗證

在10.3.145.41上創建topic

[root@kafka1 ~]# bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic testtopic
Created topic "testtopic".

查詢10.3.145.41上的topic

[root@kafka1 ~]# bin/kafka-topics.sh --zookeeper 10.3.145.41:2181 --list               
testtopic

查詢10.3.145.42上的topic

[root@kafka1 ~]# bin/kafka-topics.sh --zookeeper 10.3.145.42:2181 --list 
testtopic

查詢10.3.145.43上的topic

[root@kafka1 ~]# bin/kafka-topics.sh --zookeeper 10.3.145.43:2181 --list 
testtopic

模擬消息生產和消費
發送消息到10.3.145.41

[root@kafka1 ~]# bin/kafka-console-producer.sh --broker-list 10.3.145.41:9092 --topic testtopic  
>Hello World!

從10.3.145.42接受消息

[root@kafka1 ~]# bin/kafka-console-consumer.sh --bootstrap-server  10.3.145.41:9092 --topic testtopic --from-beginning 
Hello World!

7、監控 Kafka Manager

Kafka-manager 是 Yahoo 公司開源的集群管理工具。

可以在 Github 上下載安裝：https://github.com/yahoo/kafka-manager

如果遇到 Kafka 消費不及時的話，可以通過到具體 cluster 頁面上，增加 partition。Kafka 通過 partition 分區來提高并發消費速度

4、 Logstash部署

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
Logstash	Elk	10.3.145.14	centos7.5.1804	2核4G

• 軟件版本：logstash-7.13.2.tar.gz

1.安裝配置Logstash

Logstash運行同樣依賴jdk，本次為節省資源，故將Logstash安裝在了10.3.145.14節點。

（1）安裝

[root@elk ~]# tar zxf /usr/local/package/logstash-7.13.2.tar.gz -C /usr/local/

（2）測試文件

標準輸入=>標準輸出

1、啟動logstash

2、logstash啟動后，直接進行數據輸入

3、logstash處理后，直接進行返回

input {stdin {}
}
output {stdout {codec => rubydebug}
}

標準輸入=>標準輸出及es集群

1、啟動logstash

2、啟動后直接在終端輸入數據

3、數據會由logstash處理后返回并存儲到es集群中

input {stdin {}
}
output {stdout {codec => rubydebug}elasticsearch {hosts => ["10.3.145.14","10.3.145.56","10.3.145.57"]index => 'logstash-debug-%{+YYYY-MM-dd}'}
}

端口輸入=>字段匹配=>標準輸出及es集群

1、由tcp 的8888端口將日志發送到logstash

2、數據被grok進行正則匹配處理

3、處理后，數據將被打印到終端并存儲到es

input {tcp {port => 8888}
}
filter {grok {match => {"message" => "%{DATA:key} %{NUMBER:value:int}"} }
}
output {stdout {codec => rubydebug}elasticsearch {hosts => ["10.3.145.14","10.3.145.56","10.3.145.57"]index => 'logstash-debug-%{+YYYY-MM-dd}'}
}
# yum install -y nc
# free -m |awk 'NF==2{print $1,$3}' |nc logstash_ip 8888

文件輸入=>字段匹配及修改時間格式修改=>es集群

1、直接將本地的日志數據拉去到logstash當中

2、將日志進行處理后存儲到es

input {file {type => "nginx-log"path => "/var/log/nginx/error.log"start_position => "beginning" # 此參數表示在第一次讀取日志時從頭讀取# sincedb_path => "自定義位置"  # 此參數記錄了讀取日志的位置，默認在 data/plugins/inputs/file/.sincedb*}
}
filter {grok {match => { "message" => '%{DATESTAMP:date} [%{WORD:level}] %{DATA:msg} client: %{IPV4:cip},%{DATA}"%{DATA:url}"%{DATA}"%{IPV4:host}"'}    }    date {match => [ "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]    }    
}output {if [type] == "nginx-log" {elasticsearch {hosts => ["192.168.249.139:9200","192.168.249.149:9200","192.168.249.159:9200"]index => 'logstash-audit_log-%{+YYYY-MM-dd}'}}}

filebeat => 字段匹配 => 標準輸出及es

input {beats {port => 5000}
}
filter {grok {match => {"message" => "%{IPV4:cip}"}	}
}
output {elasticsearch {hosts => ["192.168.249.139:9200","192.168.249.149:9200","192.168.249.159:9200"]index => 'test-%{+YYYY-MM-dd}'}stdout { codec => rubydebug }
}

（3）配置

創建目錄，我們將所有input、filter、output配置文件全部放到該目錄中。

[root@elk ~]# mkdir -p /usr/local/logstash-7.13.2/etc/conf.d
[root@elk ~]# vim /usr/local/logstash-7.13.2/etc/conf.d/input.conf
input { 
kafka {type => "audit_log"codec => "json"topics => "nginx"decorate_events => truebootstrap_servers => "10.3.145.41:9092, 10.3.145.42:9092, 10.3.145.43:9092"}
}[root@elk ~]# vim /usr/local/logstash-7.13.2/etc/conf.d/filter.conf
filter {json { # 如果日志原格式是json的，需要用json插件處理source => "message"target => "nginx" # 組名}
}[root@elk ~]# vim /usr/local/logstash-7.13.2/etc/conf.d/output.conf
output {if [type] == "audit_log" {elasticsearch {hosts => ["10.3.145.14","10.3.145.56","10.3.145.57"]index => 'logstash-audit_log-%{+YYYY-MM-dd}'}}}

（3）啟動

[root@elk ~]# cd /usr/local/logstash-7.13.2
[root@elk ~]# nohup bin/logstash -f etc/conf.d/  --config.reload.automatic &

5、Filebeat 部署

為什么用 Filebeat ，而不用原來的 Logstash 呢？

原因很簡單，資源消耗比較大。

由于 Logstash 是跑在 JVM 上面，資源消耗比較大，后來作者用 GO 寫了一個功能較少但是資源消耗也小的輕量級的 Agent 叫 Logstash-forwarder。

后來作者加入 elastic.co 公司， Logstash-forwarder 的開發工作給公司內部 GO 團隊來搞，最后命名為 Filebeat。

Filebeat 需要部署在每臺應用服務器上，可以通過 Salt 來推送并安裝配置。

• 服務器

安裝軟件	主機名	IP地址	系統版本	配置
filebeat	Kafka3	10.3.145.43	centos7.5.1804	1核2G

• 軟件版本 filebeat-7.13.2-x86_64.rpm

（1）下載

[root@kafka3 ~]# curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.13.2-x86_64.rpm

（2）解壓

[root@kafka3 ~]# yum install -y filebeat-7.13.2-x86_64.rpm

（3）修改配置

修改 Filebeat 配置，支持收集本地目錄日志，并輸出日志到 Kafka 集群中

[root@kafka3 ~]# vim filebeat.yml
filebeat.inputs:
- type: logenabled: truepaths:- /var/log/nginx/access.log
output.logstash:hosts: ["10.3.145.14:5000"]output.kafka:   hosts: ["10.3.145.41:9092","10.3.145.42:9092","10.3.145.43:9092"]topic: 'nginx'# 注意，如果需要重新讀取，請刪除/data/registry目錄 

Filebeat 6.0 之后一些配置參數變動比較大，比如 document_type 就不支持，需要用 fields 來代替等等。

（4）啟動

[root@kafka3 ~]# ./filebeat -e -c filebeat.yml

（5）配置nginx

因為日志格式的切割需要json格式，kibana中會報錯 error decoding json，所以在這里我們將nginx的日志格式修改為json格式。[root@kafka3 ~]# vim /etc/nginx/nginx.conf
#    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
#                      '$status $body_bytes_sent "$http_referer" '
#                      '"$http_user_agent" "$http_x_forwarded_for"';log_format main        '{"user_ip":"$http_x_real_ip","lan_ip":"$remote_addr","log_time":"$time_iso8601","user_req":"$request","http_code":"$status","body_bytes_sents":"$body_bytes_sent","req_time":"$request_time","user_ua":"$http_user_agent"}';access_log  /var/log/nginx/access.log  main;

.logstash:
hosts: [“10.3.145.14:5000”]

output.kafka:
hosts: [“10.3.145.41:9092”,“10.3.145.42:9092”,“10.3.145.43:9092”]
topic: ‘nginx’

注意，如果需要重新讀取，請刪除/data/registry目錄

Filebeat 6.0 之后一些配置參數變動比較大，比如 document_type 就不支持，需要用 fields 來代替等等。##### （4）啟動```shell
[root@kafka3 ~]# ./filebeat -e -c filebeat.yml

（5）配置nginx

因為日志格式的切割需要json格式，kibana中會報錯 error decoding json，所以在這里我們將nginx的日志格式修改為json格式。[root@kafka3 ~]# vim /etc/nginx/nginx.conf
#    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
#                      '$status $body_bytes_sent "$http_referer" '
#                      '"$http_user_agent" "$http_x_forwarded_for"';log_format main        '{"user_ip":"$http_x_real_ip","lan_ip":"$remote_addr","log_time":"$time_iso8601","user_req":"$request","http_code":"$status","body_bytes_sents":"$body_bytes_sent","req_time":"$request_time","user_ua":"$http_user_agent"}';access_log  /var/log/nginx/access.log  main;

[外鏈圖片轉存中…(img-cx6jVENl-1719491920553)]