文章目录

  • 一、什么是ELK?
  • 1.什么是Elasticsearch?
  • 2.什么是 Logstash?
  • 3.什么是 是 kibana :
  • 二、ELK 常用架构及使用场景介绍:
  • 1)简单架构
  • 2)以Logstash 作为日志搜集器
  • 3)以Beats 作为日志搜集器
  • 4)引入消息队列模式
  • 三、Elasticsearch 部署
  • 1.部署
  • 源码安装:
  • docker安装
  • 安装地址
  • 2.rpm包安装
  • 1)节点规划
  • 2)系统优化
  • 3)下载安装包
  • 4)安装java环境
  • 5)安装elasticsearch
  • 6)elastcsearch设置内存锁定
  • 7)修改elasticsearch锁定内存大小(
  • 8)修改es配置文件
  • 注意:
  • 9)配置图形化管理界面
  • 十、启动
  • 十一、 测试访问
  • elasticsearch监控
  • 多节点部署(部署主从)
  • 1) 集群节点规划
  • 2) 部署主节点es01
  • 3) 部署从节点es-02
  • 修改配置文件
  • 4) 配置图形化管理界面
  • docker安装,可配置安装集群head插件,主要是有图形化elastic search
  • 5) 启动
  • 解决方法:
  • 四、测试集群性能
  • 再次添加
  • Master 与 Slave 的区别:
  • 五、补充:es集群启动完成后报master_not_discovered_exception 报错503
  • 解决es集群启动完成后报master_not_discovered_exception


一、什么是ELK?

通俗来讲,ELK 是由 Elasticsearch、Logstash、Kibana 三个开源软件的组 成的一个组合体,这三个软件当中,每个软件用于完成不同的功能,ELK 又称 为 ELK stack,官方域名为 stactic.co,ELK stack 的主要优点有如下几个:

  • 处理方式灵活: elasticsearch是实时全文索引,具有强大的搜索功能
  • 配置相对简单:elasticsearch 全部使用JSON 接口logstash 使用模块配置,kibana的配置文件部分更简单。
  • 检索性能高效:基于优秀的设计,虽然每次查询都是实时,但是也可以达到百 亿级数据的查询秒级响应。
  • 集群线性扩展:elasticsearch 和 logstash 都可以灵活线性扩展
  • 前端操作绚丽:kibana 的前端设计比较绚丽,而且操作简单

1.什么是Elasticsearch?

是一个高度可扩展的开源全文搜索和分析引擎,它可实现数据的实时全文搜索 搜索、支持分布式

部署elk带xpack elk一键部署_elasticsearch

2.什么是 Logstash?

可以通过插件实现日志收集和转发支持日志过滤,支持普通 log、自定义 json格式的日志解析。

部署elk带xpack elk一键部署_elasticsearch_02

3.什么是 是 kibana :

主要是通过接口调用 elasticsearch 的数据,并进行前端数据可视化的展现

部署elk带xpack elk一键部署_elastic_03

二、ELK 常用架构及使用场景介绍:

ELK使用场景:

  • 日志平台:利用elasticsearch的快速检索功能,在大量的数据当中可以快速查询需要的日志。
  • 订单平台:利用elasticsearch的快速检索功能,在大量的订单当中检索我们所需要的订单。
  • 搜索平台:利用elasticsearch的快速检索功能,在大量的数据中检索出我们所需要的数据。
1)简单架构

这种架构非常简单,使用场景也有限。初学者可以搭建这个架构,了解 ELK 如何工作;在这种架构中,只有一个LogstashElasticsearchKibana实例。Logstash 通过输入插件从多种数据源(比如日志文件、标准输入 Stdin 等)获取数据,再经过滤插件加工数据,然后经 Elasticsearch 输出插件输出到Elasticsearch,通过 Kibana 展示。现高可用、提供 API 接口,可以处理大规模日志数据,比 如 Nginx、Tomcat、系统日志等功能。

部署elk带xpack elk一键部署_elasticsearch_04

2)以Logstash 作为日志搜集器

这种结构因为需要在各个服务器上部署 Logstash,而它比较消耗 CPU 和内存资源,所以比较适合计算资源丰富的服务器,否则容易造成服务器性能下降,甚至可能导致无法正常工作。

部署elk带xpack elk一键部署_elasticsearch_05

3)以Beats 作为日志搜集器

这种架构引入 Beats 作为日志搜集器。目前 Beats 包括四种:

  • Packetbeat(搜集网络流量数据);
  • Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据);
  • Filebeat(搜集文件数据);
  • Winlogbeat(搜集 Windows 事件日志数据)。

Beats 将搜集到的数据发送到Logstash,经 Logstash 解析、过滤后,将其发送到 Elasticsearch 存储,并由 Kibana 呈现给用户。

部署elk带xpack elk一键部署_elasticsearch_06


部署elk带xpack elk一键部署_部署elk带xpack_07

这种架构解决了 Logstash在各服务器节点上占用系统资源高的问题。相比LogstashBeats 所占系统的 CPU 和内存几乎可以忽略不计。另外,Beats 和 Logstash 之间支持 SSL/TLS 加密传输,客户端和服务器双向认证,保证了通信安全。

因此这种架构适合对数据安全性要求较高,同时各服务器性能比较敏感的场景。

4)引入消息队列模式

Beats 还不支持输出到消息队列(新版本除外:5.0版本及以上),所以在消息队列前后两端只能是 Logstash 实例。logstash从各个数据源搜集数据,不经过任何处理转换仅转发出到消息队列(kafka、redis、rabbitMQ等),后logstash从消息队列取数据进行转换分析过滤,输出到elasticsearch,并在kibana进行图形化展示

部署elk带xpack elk一键部署_elasticsearch_08

三、Elasticsearch 部署

1.部署

一般部署elasticsearch有三种方式:

- rpm包安装
- 源码包安装
- docker安装

源码安装:

# 下载源码包
wget https://github.com/elastic/elasticsearch/archive/refs/tags/elasticsearch-7.12.1-linux-x86_64.tar.gz

# 解压
tar xf elasticsearch-7.12.1-linux-x86_64.tar.gz -C /usr/local/

# elasticsearch是依赖于Java
yum install java-1.8.0* -y

# 验证Java
[root@es-01 ~]# java -version
openjdk version "1.8.0_292"
OpenJDK Runtime Environment (build 1.8.0_292-b10)
OpenJDK 64-Bit Server VM (build 25.292-b10, mixed mode)

查看完整配置文件内容(源码包安装的默认没有)

[root@es-01 ~]# cat /usr/lib/systemd/system/elasticsearch.service
[Unit]
Description=Elasticsearch
Documentation=https://www.elastic.co
Wants=network-online.target
After=network-online.target

[Service]
LimitMEMLOCK=infinity
Type=notify
RuntimeDirectory=elasticsearch
PrivateTmp=true
Environment=ES_HOME=/usr/share/elasticsearch
Environment=ES_PATH_CONF=/etc/elasticsearch
Environment=PID_DIR=/var/run/elasticsearch
Environment=ES_SD_NOTIFY=true
EnvironmentFile=-/etc/sysconfig/elasticsearch

WorkingDirectory=/usr/share/elasticsearch

User=elasticsearch
Group=elasticsearch

ExecStart=/usr/share/elasticsearch/bin/systemd-entrypoint -p ${PID_DIR}/elasticsearch.pid --quiet

# StandardOutput is configured to redirect to journalctl since
# some error messages may be logged in standard output before
# elasticsearch logging system is initialized. Elasticsearch
# stores its logs in /var/log/elasticsearch and does not use
# journalctl by default. If you also want to enable journalctl
# logging, you can simply remove the "quiet" option from ExecStart.
StandardOutput=journal
StandardError=inherit

# Specifies the maximum file descriptor number that can be opened by this process
LimitNOFILE=65535

# Specifies the maximum number of processes
LimitNPROC=4096

# Specifies the maximum size of virtual memory
LimitAS=infinity

# Specifies the maximum file size
LimitFSIZE=infinity

# Disable timeout logic and wait until process is stopped
TimeoutStopSec=0

# SIGTERM signal is used to stop the Java process
KillSignal=SIGTERM

# Send the signal only to the JVM rather than its control group
KillMode=process

# Java process is never killed
SendSIGKILL=no

# When a JVM receives a SIGTERM signal it exits with code 143
SuccessExitStatus=143

# Allow a slow startup before the systemd notifier module kicks in to extend the timeout
TimeoutStartSec=75

[Install]
WantedBy=multi-user.target

# Built for packages-7.12.1 (packages)
docker安装
**cluster.name:集群名**

docker run -p 9200:9200 -p 9300:9300 -e "cluster.name=[集群名]" docker.elastic.co/elasticsearch/elasticsearch:7.12.1

安装地址

ElasticSearch官网下载地址:https://www.elastic.co/cn/downloads/elasticsearch
官网其他版本安装包下载地址 :https://www.elastic.co/cn/downloads/past-releases#elasticsearch

官方文档参考:
Filebeat:
https://www.elastic.co/cn/products/beats/filebeat
https://www.elastic.co/guide/en/beats/filebeat/5.6/index.html

Logstash:
https://www.elastic.co/cn/products/logstash
https://www.elastic.co/guide/en/logstash/5.6/index.html

Kibana:
https://www.elastic.co/cn/products/kibana
https://www.elastic.co/guide/en/kibana/5.5/index.html

Elasticsearch:
https://www.elastic.co/cn/products/elasticsearch
https://www.elastic.co/guide/en/elasticsearch/reference/5.6/index.html

elasticsearch中文社区:
https://elasticsearch.cn/

2.rpm包安装

1)节点规划

部署elk带xpack elk一键部署_elastic_09

2)系统优化

关闭selinux
[root@es01 ~]# setenforce  0
setenforce: SELinux is disabled
[root@es01 ~]# getenforce 
Disabled

关闭防火墙
[root@es01 ~]# systemctl stop firewalld

关闭NetworkManager
[root@es01 ~]# systemctl disable --now NetworkManager

设置时区
[root@es01 ~]# timedatectl set-timezone Asia/Shanghai

设置程序可以打开的文件数
[root@es01 ~]# vim /etc/security/limits.conf
[root@es01 ~]# grep -E ^[^#] /etc/security/limits.conf
* soft memlock unlimited
* hard memlock unlimited
* soft nofile 131072
* hard nofile 131072

同步时间
 echo "*/5 * * * * ntpdate time1.aliyun.com &> /dev/null
&& hwclock -w" >> /var/spool/cron/root
[root@linux-host1 ~]# systemctl restart crond

重启
[root@es01 ~]# reboot

3)下载安装包

[root@es01 ~]# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.1-x86_64.rpm

4)安装java环境

方式一
[root@es01 ~]# yum install java-1.8.0-* -y
[root@es01 ~]# java -version
openjdk version "1.8.0_292"
OpenJDK Runtime Environment (build 1.8.0_292-b10)
OpenJDK 64-Bit Server VM (build 25.292-b10, mixed mode)

方式二
本地安装在 oracle 官网下载 rpm 安装包:
 yum localinstall jdk-8u92-linux-x64.rpm

方式三:下载二进制包自定义 profile 环境变量:
下 载 地 址 :
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-
2133151.html
tar xvf jdk-8u121-linux-x64.tar.gz -C /usr/local/
ln -sv /usr/local/jdk1.8.0_121 /usr/local/jdk
vim /etc/profile
export JAVA_HOME=/usr/local/jdk
export
CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HO
ME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin
source /etc/profile
java -version
java version "1.8.0_121" #确认可以出现当前的 java 版本号
Java(TM) SE Runtime Environment (build 1.8.0_121-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.121-b13, mixed mode)

5)安装elasticsearch

[root@es01 ~]# yum install java-1.8.0-* -y

6)elastcsearch设置内存锁定

=====因为es的数据在内存里,如果不锁定的话,就会造成es数据不稳定

[root@es01 ~]# vim /usr/lib/systemd/system/elasticsearch.service
LimitAS=infinity
LimitMEMLOCK=infinity  #在[service]层LimitAS行下边添加此行内容
[root@es01 ~]# systemctl daemon-reload

7)修改elasticsearch锁定内存大小(

[root@es01 ~]# vim /etc/elasticsearch/jvm.options
-Xms1g  #最大锁定内存1g
-Xmx1g  #最小锁定内存1g

8)修改es配置文件

[root@es-01 ~]# vim /etc/elasticsearch/elasticsearch.yml 
[root@es-01 ~]# grep -E '^[^#]' /etc/elasticsearch/elasticsearch.yml

# # 设置集群名称
cluster.name: es
# # 设置集群节点名称(节点名称在集群中唯一)
node.name: node-01
# # 设置数据存放目录
path.data: /var/lib/elasticsearch
# # 设置日志存放目录
path.logs: /var/log/elasticsearch
# # 设置内存锁定
bootstrap.memory_lock: true
# # 设置监听的IP,可监听所有
network.host: 0.0.0.0
# # 设置监听的端口
http.port: 9200
# # 开启跨域功能
http.cors.enabled: true
http.cors.allow-origin: "*"
# # 设置主节点(单台可不设置)
cluster.initial_master_nodes: node-01
# # 设置参与选举master的策略
discovery.zen.minimum_master_nodes: 2
# # 设置节点(所有)
discovery.zen.ping.unicast.hosts: ["172.16.1.30","172.16.1.40"]
# # 是否具备参与选举为master节点的资格
node.master: true

注意:

设置集群节点名称(节点名称在集群中唯一)
node.name: node-01

9)配置图形化管理界面

  • 此小结仅需主节点执行即可,可通过一个容器来管理多个节点
  • 需利用docker配置安装集群head插件,此步骤需在第5步测试访问后执行
  • docker安装,可配置安装集群head插件,主要是有图形化elastic search
#1.卸载旧版本
sudo yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-engine
#2.安装需要的安装包
sudo yum install -y yum-utils
# 3.设置镜像的仓库
默认是国外的:
sudo yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo
华为云:
sudo yum-config-manager \
    --add-repo \
 https://repo.huaweicloud.com/dockerce/linux/centos/docker-ce.repo
 阿里云:
 sudo yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
# 4.清空缓存
yum clean all &&  yum makecache fast
# 5.安装docker
yum install docker-ce docker-ce-cli containerd.io -y
# 6.阿里云加速器
打开阿里云官网  产品  --> 容器与中间件  -->  容器与镜像服务ACR --> 管理控制台 --> 镜像加速器 --> CentOS
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://vf52ltmx.mirror.aliyuncs.com"]
}
EOF
#7.启动
sudo systemctl daemon-reload
sudo systemctl restart docker


拉取运行图形化管理界面镜像
docker run -d -p 9100:9100 alvinos/elasticsearch-head

可通过图形界面访问了,添加主从后,可通过它来管理
http://10.0.0.30:9100	# 图形化管理界面

十、启动

# 启动
systemctl start elasticsearch.service 

# 可监控启动日志
[root@es-01 ~]# tailf /var/log/elasticsearch/Peng-by-es.log

# 检测启动端口
[root@es-01 ~]# netstat -lntp | grep java
tcp6       0      0 :::9200                 :::*                    LISTEN      2865/java           
tcp6       0      0 :::9300                 :::*                    LISTEN      2865/java

十一、 测试访问

  • **测试是否能够正常对外提供服务,通过IP+9200端口访问
http://10.0.0.30:9200
http://10.0.0.30:9100	# 图形化管理界面
elasticsearch监控

通过浏览器访问:http://10.0.0.40:9200/_cluster/health?pretty=true, 例如对 status 进行分析,如果等于green(绿色)就是运行在正常,等于yellow(黄色)表示副本分片丢失,red(红色)表示主分片丢失。

部署elk带xpack elk一键部署_elasticsearch_10


部署elk带xpack elk一键部署_elastic_11

部署elk带xpack elk一键部署_elasticsearch_12

多节点部署(部署主从)

elasticsearch是主从数据节点分离的,按照节点还可以分为热数据节点冷数据节点。

1) 集群节点规划

部署elk带xpack elk一键部署_docker_13

2) 部署主节点es01
  • 参考上述单节点部署(包括优化),略 ~

3) 部署从节点es-02

  • 参考上述单节点部署(包括优化),略 ~
修改配置文件
1.把主节点的拉过来,进行以下修改(主节点也也要修改部分内容)
scp 10.0.0.30:/etc/elasticsearch/elasticsearch.yml  /etc/elasticsearch/

# # 设置集群名称
cluster.name: es
# # 设置集群节点名称(节点名称在集群中唯一)
node.name: node-01
# # 设置数据存放目录
path.data: /var/lib/elasticsearch
# # 设置日志存放目录
path.logs: /var/log/elasticsearch
# # 设置内存锁定
bootstrap.memory_lock: true
# # 设置监听的IP,可监听所有
network.host: 0.0.0.0
# # 设置监听的端口
http.port: 9200
# # 开启跨域功能
http.cors.enabled: true
http.cors.allow-origin: "*"
# # 设置主节点(单台可不设置)
cluster.initial_master_nodes: node-01
# # 设置参与选举master的策略
discovery.zen.minimum_master_nodes: 2
# # 设置节点(所有)
discovery.zen.ping.unicast.hosts: ["172.16.1.30","172.16.1.40"]
# # 是否具备参与选举为master节点的资格
node.master: true

2.设置集群节点名称(节点名称在集群中唯一)
node.name: node-02

# # 设置集群名称
cluster.name: es
# # 设置集群节点名称(节点名称在集群中唯一)
node.name: node-02
# # 设置数据存放目录
path.data: /var/lib/elasticsearch
# # 设置日志存放目录
path.logs: /var/log/elasticsearch
# # 设置内存锁定
bootstrap.memory_lock: true
# # 设置监听的IP,可监听所有
network.host: 0.0.0.0
# # 设置监听的端口
http.port: 9200
# # 开启跨域功能
http.cors.enabled: true
http.cors.allow-origin: "*"
# # 设置主节点(单台可不设置)
cluster.initial_master_nodes: node-01
# # 设置参与选举master的策略
discovery.zen.minimum_master_nodes: 2
# # 设置节点(所有)
discovery.zen.ping.unicast.hosts: ["172.16.1.30","172.16.1.40"]
# # 是否具备参与选举为master节点的资格
node.master: false

================================================================================

解释:
node.name: es-01 		# 不参与选举为master节点
node.data: true			# 允许存储数据

建议:主节点nodes设置成主节点的名称,不建议ip
cluster.initial_master_nodes: node-01

生产中环境中参考配置:
默认情况下,每个节点都有成为主节点的资格,也会存储数据,还会处理客户端的请求;
生产中建议集群中设置3台以上的节点作为master节点【node.master: true node.data: false】;
这些节点只负责成为主节点,维护整个集群的状态;
再根据数据量设置一批data节点【node.master: false node.data: true】。

4) 配置图形化管理界面

  • 此小结仅需主节点执行即可,可通过一个容器来管理多个节点
  • 需利用docker配置安装集群head插件,此步骤需在第5步测试访问后执行
docker安装,可配置安装集群head插件,主要是有图形化elastic search

5) 启动

systemctl start elasticsearch.service

PS:
做到这一步极其容易出现数据不一致的问题,反应到登录网页上就上明明好像能正常访问,其实它的的UUTD是错误的,中间若启动错误,并检查配置文件是否配置错误,进行重启。

解决方法:
rm -rf /var/lib/elasticsearch/*
systemctl restart elasticsearch.service

测试访问

http://10.0.0.30:9200
http://10.0.0.40:9200

http://10.0.0.30:9100	# 图形化管理界面
jyh-node-01	# 主节点
jyh-node-02	# 从节点

9200作为Http协议,主要用于外部通讯
9300作为Tcp协议,jar之间就是通过tcp协议通讯
ES集群之间是通过9300进行通讯

部署elk带xpack elk一键部署_部署elk带xpack_14

解决方法:

#故障报错解决:
做到这一步极其容易出现数据不一致的问题,反应到登录网页上就上明明好像能正常访问,其实它的的UUID是错误的。为此可以先删除/var/lib/elasticsearch/*下面的东西,然后再重启elasticsearch。这样就可以了。
[root@es-02 ~]# systemctl stop elasticsearch.service
[root@es-02 ~]# rm -rf /var/lib/elasticsearch/*
[root@es-02 ~]# tail -f /var/log/elasticsearch/elaina-es.log  #实时监控集群日志发现问题
[root@es-02 ~]# systemctl start elasticsearch.service  #新窗口执行启动命令

四、测试集群性能

  • 新建索引
  • 部署elk带xpack elk一键部署_elasticsearch_15

  • 点击概述查看
  • 部署elk带xpack elk一键部署_docker_16

  • 点击复合查询
  • 部署elk带xpack elk一键部署_elastic_17

  • 点击基础查询
  • 部署elk带xpack elk一键部署_elasticsearch_18

再次添加

部署elk带xpack elk一键部署_部署elk带xpack_19

部署elk带xpack elk一键部署_docker_20


部署elk带xpack elk一键部署_elastic_21


部署elk带xpack elk一键部署_docker_22

Master 与 Slave 的区别:

Master 的职责:
统计各 node 节点状态信息、集群状态信息统计、索引的创建和删除、索引分配
的管理、关闭 node 节点等
Slave 的职责:
同步数据、等待机会成为 Master

五、补充:es集群启动完成后报master_not_discovered_exception 报错503

解决es集群启动完成后报master_not_discovered_exception

es集群启动后,在浏览器输入:http://es ip地址:端口/_cat/nodes?pretty,会提示如下错误:
{ “error” : { “root_cause” : [ { “type” : “master_not_discovered_exception”, “reason” : null } ], “type” : “master_not_discovered_exception”, “reason” : null }, “status” : 503 }

部署elk带xpack elk一键部署_elasticsearch_23

解决方案:

在每个配置文件指定初始节点:

cluster.initial_master_nodes: node-1

部署elk带xpack elk一键部署_elastic_24


重启ES集群,浏览器再次输入http://es ip地址:端口/_cat/nodes?pretty,就可以看到集群启动成功了: