Zookeeper、Kafka集群与Filebeat+Kafka+ELK架构、部署实例
- 一、Zookeeper
-
- [1.1、Zookeeper 定义](#1.1、Zookeeper 定义)
- [1.2、Zookeeper 工作机制](#1.2、Zookeeper 工作机制)
- [1.3、Zookeeper 特点](#1.3、Zookeeper 特点)
- [1.4、Zookeeper 数据结构](#1.4、Zookeeper 数据结构)
- [1.5、Zookeeper 应用场景](#1.5、Zookeeper 应用场景)
- [1.5、Zookeeper 选举机制](#1.5、Zookeeper 选举机制)
-
- [1.5.1、 第一次启动选举机制](#1.5.1、 第一次启动选举机制)
- [1.5.2、 非第一次启动选举机制](#1.5.2、 非第一次启动选举机制)
- 二、Zookeeper集群部署
-
- [2.1、 安装前准备](#2.1、 安装前准备)
- [2.2、 安装 Zookeeper](#2.2、 安装 Zookeeper)
- 三、消息队列
-
- [3.1、 为什么要用消息队列?](#3.1、 为什么要用消息队列?)
- [3.2、 中间件](#3.2、 中间件)
- [3.3、 使用消息队列的好处](#3.3、 使用消息队列的好处)
- 3.4、消息队列的两种模式
- 四、Kafka
-
- [4.1、Kafka 定义](#4.1、Kafka 定义)
- [4.2、Kafka 简介](#4.2、Kafka 简介)
- [4.3、Kafka 的特性](#4.3、Kafka 的特性)
- [4.4、Kafka 系统架构](#4.4、Kafka 系统架构)
-
- [4.4.1、Partation 数据路由规则:](#4.4.1、Partation 数据路由规则:)
- [4.4.2、 核心组件](#4.4.2、 核心组件)
- [4.4.3、 概念扩展](#4.4.3、 概念扩展)
- 4.5、怎么部署kafka?
- 五、Kafka集群部署
- 六、搭建Filebeat+Kafka+ELK架构
-
- [6.1、 部署 Zookeeper+Kafka 集群](#6.1、 部署 Zookeeper+Kafka 集群)
- [6.2、 部署 Filebeat](#6.2、 部署 Filebeat)
- [6.3、 部署ELK](#6.3、 部署ELK)
- [6.4、 在 Logstash 组件所在节点上新建一个 Logstash 配置文件](#6.4、 在 Logstash 组件所在节点上新建一个 Logstash 配置文件)
一、Zookeeper
1.1、Zookeeper 定义
Zookeeper是一个开源的分布式的,为分布式框架提供协调服务的Apache项目。
1.2、Zookeeper 工作机制
Zookeeper从设计模式角度来理解:是一个基于观察者模式设计的分布式服务管理框架,它负责存储和管理大家都关心的数据,然后接受观察者的注册,一旦这些数据的状态发生变化,Zookeeper就将负责通知已经在Zookeeper上注册的那些观察者做出相应的反应。也就是说 Zookeeper = 文件系统 + 通知机制。
1.3、Zookeeper 特点
- Zookeeper:一个领导者(Leader),多个跟随者(Follower)组成的集群。
- Zookeeper集群中只要有半数以上节点存活,Zookeeper集群就能正常服务。所以Zookeeper适合安装奇数台服务器。
- 全局数据一致:每个Server保存一份相同的数据副本,Client无论连接到哪个Server,数据都是一致的。
- 更新请求顺序执行,来自同一个Client的更新请求按其发送顺序依次执行,即先进先出。
- 数据更新原子性,一次数据更新要么成功,要么失败。
- 实时性,在一定时间范围内,Client能读到最新数据。
1.4、Zookeeper 数据结构
ZooKeeper数据模型的结构与Linux文件系统很类似,整体上可以看作是一棵树,每个节点称做一个ZNode。每一个ZNode默认能够存储1MB的数据,每个ZNode都可以通过其路径唯一标识。
1.5、Zookeeper 应用场景
提供的服务包括:统一命名服务、统一配置管理、统一集群管理、服务器节点动态上下线、软负载均衡等。
-
统一命名服务
在分布式环境下,经常需要对应用/服务进行统一命名,便于识别。例如:IP不容易记住,而域名容易记住。
-
统一配置管理
- 分布式环境下,配置文件同步非常常见。一般要求一个集群中,所有节点的配置信息是一致的,比如Kafka集群。对配置文件修改后,希望能够快速同步到各个节点上。
- 配置管理可交由ZooKeeper实现。可将配置信息写入ZooKeeper上的一个Znode。各个客户端服务器监听这个Znode。一旦Znode中的数据被修改,ZooKeeper将通知各个客户端服务器。
-
统一集群管理
- 分布式环境中,实时掌握每个节点的状态是必要的。可根据节点实时状态做出一些调整。
- ZooKeeper可以实现实时监控节点状态变化。可将节点信息写入ZooKeeper上的一个ZNode。监听这个ZNode可获取它的实时状态变化。
-
服务器动态上下线
客户端能实时洞察到服务器上下线的变化。
-
软负载均衡
在Zookeeper中记录每台服务器的访问数,让访问数最少的服务器去处理最新的客户端请求。
1.5、Zookeeper 选举机制
1.5.1、 第一次启动选举机制
- 服务器1启动,发起一次选举。服务器1投自己一票。此时服务器1票数一票,不够半数以上(3票),选举无法完成,服务器1状态保持为LOOKING;
- 服务器2启动,再发起一次选举。服务器1和2分别投自己一票并交换选票信息:此时服务器1发现服务器2的myid比自己目前投票推举的(服务器1)大,更改选票为推举服务器2。此时服务器1票数0票,服务器2票数2票,没有半数以上结果,选举无法完成,服务器1,2状态保持LOOKING
- 服务器3启动,发起一次选举。此时服务器1和2都会更改选票为服务器3。此次投票结果:服务器1为0票,服务器2为0票,服务器3为3票。此时服务器3的票数已经超过半数,服务器3当选Leader。服务器1,2更改状态为FOLLOWING,服务器3更改状态为LEADING;
- 服务器4启动,发起一次选举。此时服务器1,2,3已经不是LOOKING状态,不会更改选票信息。交换选票信息结果:服务器3为3票,服务器4为1票。此时服务器4服从多数,更改选票信息为服务器3,并更改状态为FOLLOWING;(5)服务器5启动,同4一样当小弟。
1.5.2、 非第一次启动选举机制
-
当ZooKeeper 集群中的一台服务器出现以下两种情况之一时,就会开始进入Leader选举:
- 服务器初始化启动。
- 服务器运行期间无法和Leader保持连接。
-
而当一台机器进入Leader选举流程时,当前集群也可能会处于以下两种状态:
- 集群中本来就已经存在一个Leader。
- 对于已经存在Leader的情况,机器试图去选举Leader时,会被告知当前服务器的Leader信息,对于该机器来说,仅仅需要和 Leader机器建立连接,并进行状态同步即可。
-
集群中确实不存在Leader。
假设ZooKeeper由5台服务器组成,SID分别为1、2、3、4、5,ZXID分别为8、8、8、7、7,并且此时SID为3的服务器是Leader。某一时刻,3和5服务器出现故障,因此开始进行Leader选举。
选举Leader规则:
1.EPOCH大的直接胜出
2.EPOCH相同,事务id大的胜出
3.事务id相同,服务器id大的胜出
二、Zookeeper集群部署
dart
#准备 3 台服务器做 Zookeeper 集群
192.168.11.16
192.168.11.17
192.168.11.18
2.1、 安装前准备
dart
#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
dart
#安装 JDK
yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
java -version
#下载安装包
官方下载地址:https://archive.apache.org/dist/zookeeper/
cd /opt
wget https://archive.apache.org/dist/zookeeper/zookeeper-3.6.4/apache-zookeeper-3.6.4-bin.tar.gz
2.2、 安装 Zookeeper
解压代码包
dart
cd /opt
#解压
tar -zxvf apache-zookeeper-3.6.4-bin.tar.gz
mv apache-zookeeper-3.6.4-bin /usr/local/zookeeper-3.6.4
修改配置文件
dart
cd /usr/local/zookeeper-3.6.4/conf/
#配置模板
cp zoo_sample.cfg zoo.cfg
dart
#修改配置文件
vim zoo.cfg
tickTime=2000
#通信心跳时间,Zookeeper服务器与客户端心跳时间,单位毫秒
initLimit=10
#Leader和Follower初始连接时能容忍的最多心跳数(tickTime的数量),这里表示为10*2s
syncLimit=5
#Leader和Follower之间同步通信的超时时间,这里表示如果超过5*2s,Leader认为Follwer死掉,并从服务器列表中删除Follwer
dataDir=/usr/local/zookeeper-3.6.4/data
#修改,指定保存Zookeeper中的数据的目录,目录需要单独创建
dataLogDir=/usr/local/zookeeper-3.6.4/logs
#添加,指定存放日志的目录,目录需要单独创建
clientPort=2181 #客户端连接端口
#添加集群信息
server.1=192.168.11.16:3188:3288
server.2=192.168.11.17:3188:3288
server.3=192.168.11.18:3188:3288
dart
#补充知识
server.A=B:C:D
-A是一个数字,表示这个是第几号服务器。集群模式下需要在zoo.cfg中dataDir指定的目录下创建一个文件myid,这个文件里面有一个数据就是A的值,Zookeeper启动时读取此文件,拿到里面的数据与zoo.cfg里面的配置信息比较从而判断到底是哪个server。
-B是这个服务器的地址。
-C是这个服务器Follower与集群中的Leader服务器交换信息的端口。
-D是万一集群中的Leader服务器挂了,需要一个端口来重新进行选举,选出一个新的Leader,而这个端口就是用来执行选举时服务器相互通信的端口。
创建相关目录和文件
dart
#拷贝配置好的 Zookeeper 配置文件到其他机器上
scp /usr/local/zookeeper-3.6.4/conf/zoo.cfg 192.168.11.17:/usr/local/zookeeper-3.6.4/conf/
scp /usr/local/zookeeper-3.6.4/conf/zoo.cfg 192.168.11.18:/usr/local/zookeeper-3.6.4/conf/
dart
#在每个节点上创建数据目录和日志目录
mkdir /usr/local/zookeeper-3.6.4/data
mkdir /usr/local/zookeeper-3.6.4/logs
dart
#在每个节点的dataDir指定的目录下创建一个 myid 的文件
echo 1 > /usr/local/zookeeper-3.6.4/data/myid
echo 2 > /usr/local/zookeeper-3.6.4/data/myid
echo 3 > /usr/local/zookeeper-3.6.4/data/myid
编写 Zookeeper 启动脚本
dart
#Zookeeper 启动脚本
vim /etc/init.d/zookeeper
#!/bin/bash
#chkconfig: 2345 20 90
#description:Zookeeper Service Control Script
ZK_HOME='/usr/local/zookeeper-3.6.4'
case $1 in
start)
echo "---------- zookeeper 启动 ------------"
$ZK_HOME/bin/zkServer.sh start
;;
stop)
echo "---------- zookeeper 停止 ------------"
$ZK_HOME/bin/zkServer.sh stop
;;
restart)
echo "---------- zookeeper 重启 ------------"
$ZK_HOME/bin/zkServer.sh restart
;;
status)
echo "---------- zookeeper 状态 ------------"
$ZK_HOME/bin/zkServer.sh status
;;
*)
echo "Usage: $0 {start|stop|restart|status}"
esac
启动ZK,查看状态
dart
#设置开机自启
chmod +x /etc/init.d/zookeeper
chkconfig --add zookeeper
#分别启动 Zookeeper
service zookeeper start
dart
#查看当前状态
service zookeeper status
三、消息队列
3.1、 为什么要用消息队列?
-
主要原因是由于在高并发环境下,同步请求来不及处理,请求往往会发生阻塞。
-
比如大量的请求并发访问数据库,导致行锁表锁,最后请求线程会堆积过多,从而触发 too many connection 错误,引发雪崩效应。
-
使用消息队列,通过异步处理请求,从而缓解系统的压力。
3.2、 中间件
-
中间件用于实现应用解耦、异步处理。
-
web应用型(代理服务器):Nginx 、Haproxy 、Tomcat PHP
-
消息队列型(MQ):Active MQ 、RabbitMQ 、RocketMQ 、Kafka
3.3、 使用消息队列的好处
-
应用解耦
- 允许你独立的扩展或修改两边的处理过程,只要确保它们遵守同样的接口约束。
-
可恢复性
- 消息队列降低了进程间的耦合度,所以即使一个处理消息的进程挂掉,加入队列中的消息仍然可以在系统恢复后被处理。
-
数据缓冲
- 有助于控制和优化数据流经过系统的速度,解决生产消息和消费消息的处理速度不一致的情况。
-
灵活性 & 峰值处理能力
-
在访问量剧增的情况下,应用仍然需要继续发挥作用,但是这样的突发流量并不常见。
-
如果为以能处理这类峰值访问为标准来投入资源随时待命无疑是巨大的浪费。
-
使用消息队列能够使关键组件顶住突发的访问压力,而不会因为突发的超负荷的请求而完全崩溃。
-
-
异步通信
-
很多时候,用户不想也不需要立即处理消息。消息队列提供了异步处理机制,允许用户把一个消息放入队列,但并不立即处理它。
-
想向队列中放入多少消息就放多少,然后在需要的时候再去处理它们。
-
3.4、消息队列的两种模式
(1)点对点模式(一对一,消费者主动拉取数据,消息收到后消息清除)
消息生产者生产消息发送到消息队列中,然后消息消费者从消息队列中取出并且消费消息。消息被消费以后,消息队列中不再有存储,所以消息消费者不可能消费到已经被消费的消息。消息队列支持存在多个消费者,但是对一个消息而言,只会有一个消费者可以消费。
(2)发布/订阅模式(一对多,又叫观察者模式,消费者消费数据之后不会清除消息)
消息生产者(发布)将消息发布到 topic 中,同时有多个消息消费者(订阅)消费该消息。和点对点方式不同,发布到 topic 的消息会被所有订阅者消费。
发布/订阅模式是定义对象间一种一对多的依赖关系,使得每当一个对象(目标对象)的状态发生改变,则所有依赖于它的对象(观察者对象)都会得到通知并自动更新。
四、Kafka
4.1、Kafka 定义
Kafka 是一个分布式的基于发布/订阅模式的消息队列(MQ,Message Queue),主要应用于大数据领域的实时计算以及日志收集。
4.2、Kafka 简介
Kafka 是最初由 Linkedin 公司开发,是一个分布式、支持分区的(partition)、多副本的(replica),基于 Zookeeper 协调的分布式消息中间件系统,
它的最大的特性就是可以实时的处理大量数据以满足各种需求场景,比如基于 hadoop 的批处理系统、低延迟的实时系统、Spark/Flink 流式处理引擎,nginx 访问日志,消息服务等等,用 scala 语言编写,
Linkedin 于 2010 年贡献给了 Apache 基金会并成为顶级开源项目。
4.3、Kafka 的特性
- 高吞吐量、低延迟
Kafka 每秒可以处理几十万条消息,它的延迟最低只有几毫秒。
每个 topic 可以分多个 Partition,Consumer Group 对 Partition 进行消费操作,提高负载均衡能力和消费能力。
-
可扩展性
kafka 集群支持热扩展
-
持久性、可靠性
消息被持久化到本地磁盘,并且支持数据备份防止数据丢失
-
容错性
允许集群中节点失败(多副本情况下,若副本数量为 n,则允许 n-1 个节点失败)
-
高并发
支持数千个客户端同时读写
4.4、Kafka 系统架构
-
Broker
一台 kafka 服务器就是一个 broker。一个集群由多个 broker 组成。一个 broker 可以容纳多个 topic。
-
Topic
可以理解为一个队列,生产者和消费者面向的都是一个 topic。
类似于数据库的表名或者 ES 的 index
物理上不同 topic 的消息分开存储
-
Partition
为了实现扩展性,一个非常大的 topic 可以分布到多个 broker(即服务器)上,一个 topic 可以分割为一个或多个 partition,每个 partition 是一个有序的队列。Kafka 只保证 partition 内的记录是有序的,而不保证 topic 中不同 partition 的顺序。
。
每个 topic 至少有一个 partition,当生产者产生数据的时候,会根据分配策略选择分区,然后将消息追加到指定的分区的队列末尾。
4.4.1、Partation 数据路由规则:
1.指定了 patition,则直接使用;
2.未指定 patition 但指定 key(相当于消息中某个属性),通过对 key 的 value 进行 hash 取模,选出一个 patition;
3.patition 和 key 都未指定,使用轮询选出一个 patition。
每条消息都会有一个自增的编号,用于标识消息的偏移量,标识顺序从 0 开始。
每个 partition 中的数据使用多个 segment 文件存储。
如果 topic 有多个 partition,消费数据时就不能保证数据的顺序。严格保证消息的消费顺序的场景下(例如商品秒杀、 抢红包),需要将 partition 数目设为 1。
4.4.2、 核心组件
-
Broker
-
Kafka服务器节点。
-
一个集群由多个 broker 组成,一个 broker 可以容纳多个 topic。
-
-
Consumer
-
消费者可以从 broker 中拉取数据。
-
消费者可以消费多个 topic 中的数据。
-
-
Consumer Group(CG)
-
消费者组是实际的消息订阅者。
-
消费者组由一个或者多个消费者,且组内成员不能重复消费一个Partiton数据。
-
-
Producer
- 生产者即数据的发布者,该角色将消息 push 发布到 Kafka 的 topic 中。
- broker 接收到生产者发送的消息后,broker 将该消息追加到当前用于追加数据的 segment 文件中。
- 生产者发送的消息,存储到一个 partition 中,生产者也可以指定数据存储的 partition。
-
Topic
可以理解为一个队列,生产者和消费者面向的都是一个 topic。
-
Zookeeper
-
存储kafka集群的元数据信息,生产者和消费者的动作都需要zookeeper的管理和支持。
-
比如生产者推送数据到kafka集群需要先通过zk寻找到kafka服务器节点的位置,消费者需要从zk获取offset记录的上一次消费的位置再继续向后消费。
-
dart
Producer ------> Topic消息队列 ------> 一个或者多个Partition分区 ------> 一个或者多个replica副本(Leader负责数据读写,follower只负责同步复制leader的数据)
Consumer ------> offset偏移量(用于记录消费者上一次消费的位置)
4.4.3、 概念扩展
dart
#Partation 数据路由规则:
1.指定了 patition,则直接使用;
2.未指定 patition 但指定 key(相当于消息中某个属性),通过对 key 的 value 进行 hash 取模,选出一个 patition;
3.patition 和 key 都未指定,使用轮询选出一个 patition。
每条消息都会有一个自增的编号,用于标识消息的偏移量,标识顺序从 0 开始。
每个 partition 中的数据使用多个 segment 文件存储。
如果 topic 有多个 partition,消费数据时就不能保证数据的顺序。
严格保证消息的消费顺序的场景下(例如商品秒杀、 抢红包),需要将 partition 数目设为 1。
broker 存储 topic 的数据。如果某 topic 有 N 个 partition,集群有 N 个 broker,那么每个 broker 存储该 topic 的一个 partition。
如果某 topic 有 N 个 partition,集群有 (N+M) 个 broker,那么其中有 N 个 broker 存储 topic 的一个 partition, 剩下的 M 个 broker 不存储该 topic 的 partition 数据。
如果某 topic 有 N 个 partition,集群中 broker 数目少于 N 个,那么一个 broker 存储该 topic 的一个或多个 partition。
在实际生产环境中,尽量避免这种情况的发生,这种情况容易导致 Kafka 集群数据不均衡。
dart
#分区的原因
方便在集群中扩展,每个Partition可以通过调整以适应它所在的机器,而一个topic又可以有多个Partition组成,因此整个集群就可以适应任意大小的数据了;
可以提高并发,因为可以以Partition为单位读写了。
4.5、怎么部署kafka?
-
说明用的kafka版本,比如 我们公司用的2.6版本;
-
先部署zookeeper集群(奇数个节点的)
-
再在每个zk节点上部署kafka应用。
-
如果是3.0版本,由于元信息储存在本地,不需要zk,可以直接部署。
五、Kafka集群部署
下载Kafka软件包
dart
官方下载地址:http://kafka.apache.org/downloads.html
cd /opt
#下载
wget https://mirrors.tuna.tsinghua.edu.cn/apache/kafka/2.7.1/kafka_2.13-2.7.1.tgz
dart
安装Kafka
解压软件包
cd /opt/
#解压
tar zxvf kafka_2.13-2.8.2.tgz
mv kafka_2.13-2.8.2/usr/local/kafka
修改配置文件
dart
#备份
cd /usr/local/kafka/config/
cp server.properties{,.bak}
dart
#修改配置文件
vim server.properties
broker.id=0
#21行,broker的全局唯一编号,每个broker不能重复,因此要在其他机器上配置 broker.id=1、broker.id=2
listeners=PLAINTEXT://192.168.11.11:9092
#31行,指定监听的IP和端口,如果修改每个broker的IP需区分开来,也可保持默认配置不用修改
num.network.threads=3
#42行,broker 处理网络请求的线程数量,一般情况下不需要去修改
num.io.threads=8
#45行,用来处理磁盘IO的线程数量,数值应该大于硬盘数
socket.send.buffer.bytes=102400 #48行,发送套接字的缓冲区大小
socket.receive.buffer.bytes=102400 #51行,接收套接字的缓冲区大小
socket.request.max.bytes=104857600 #54行,请求套接字的缓冲区大小
log.dirs=/usr/local/kafka/logs #60行,kafka运行日志存放的路径,也是数据存放的路径
num.partitions=1 #65行,topic在当前broker上的默认分区个数,会被topic创建时的指定参数覆盖
num.recovery.threads.per.data.dir=1 #69行,用来恢复和清理data下数据的线程数量
log.retention.hours=168
#103行,segment文件(数据文件)保留的最长时间,单位为小时,默认为7天,超时将被删除
log.segment.bytes=1073741824 #110行,一个segment文件最大的大小,默认为 1G,超出将新建一个新的segment文件
zookeeper.connect=192.168.11.16:2181,192.168.11.17:2181,192.168.11.18:2181
#123行,配置连接Zookeeper集群地址
dart
#传输配置文件并修改
scp server.properties 192.168.11.16:/usr/local/kafka/config/
scp server.properties 192.168.11.17:/usr/local/kafka/config/
修改环境变量
dart
vim /etc/profile
export KAFKA_HOME=/usr/local/kafka
export PATH=$PATH:$KAFKA_HOME/bin
source /etc/profile
编写启动脚本,启动kafka
dart
#kafka启动脚本
vim /etc/init.d/kafka
#!/bin/bash
#chkconfig:2345 22 88
#description:Kafka Service Control Script
KAFKA_HOME='/usr/local/kafka'
case $1 in
start)
echo "---------- Kafka 启动 ------------"
${KAFKA_HOME}/bin/kafka-server-start.sh -daemon ${KAFKA_HOME}/config/server.properties
;;
stop)
echo "---------- Kafka 停止 ------------"
${KAFKA_HOME}/bin/kafka-server-stop.sh
;;
restart)
$0 stop
$0 start
;;
status)
echo "---------- Kafka 状态 ------------"
count=$(ps -ef | grep kafka | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
echo "kafka is not running"
else
echo "kafka is running"
fi
;;
*)
echo "Usage: $0 {start|stop|restart|status}"
esac
dart
#设置开机自启
chmod +x /etc/init.d/kafka
chkconfig --add kafka
#分别启动 Kafka
service kafka start
六、搭建Filebeat+Kafka+ELK架构
6.1、 部署 Zookeeper+Kafka 集群
dart
详见上文 Zookeeper集群部署和Kafka集群部署
6.2、 部署 Filebeat
前置准备
dart
#修改主机名
hostnamectl set-hostname filebeat
#关闭防火墙和selinux
systemctl disable firewalld --now
setenforce 0
安装filebeat
dart
cd /opt
#解压
tar zxvf filebeat-6.7.2-linux-x86_64.tar.gz
mv filebeat-6.7.2 -linux-x86_64 /usr/local/filebeat
修改配置文件
dart
cd /usr/local/filebeat
vim filebeat.yml
filebeat.input:
- type: log
enabled: true
paths:
- /var/log/httpd/access_log
tags: ["access"]
- type: log
enabled: true
paths:
- /var/log/httpd/error_log
tags: ["error"]
......
#添加输出到 Kafka 的配置
output.kafka:
enabled: true
hosts: ["192.168.11.16:9092","192.168.11.17:9092","192.168.11.18:9092"] #指定 Kafka 集群配置
topic: "httpd" #指定 Kafka 的 topic
启动filebeat
dart
#启动 filebeat
./filebeat -e -c filebeat.yml
6.3、 部署ELK
部署ELK
详见前面博客
6.4、 在 Logstash 组件所在节点上新建一个 Logstash 配置文件
dart
#切换到配置文件子目录
cd /etc/logstash/conf.d/
dart
#新建配置文件
vim kafka.conf
input {
kafka {
bootstrap_servers => "192.168.2.100:9092,192.168.2.102:9092,192.168.2.103:9092" #kafka集群地址
topics => "httpd" #拉取的kafka的指定topic
type => "httpd_kafka" #指定 type 字段
codec => "json" #解析json格式的日志数据
auto_offset_reset => "latest" #拉取最近数据,earliest为从头开始拉取
decorate_events => true #传递给elasticsearch的数据额外增加kafka的属性数据
}
}
output {
if "access" in [tags] {
elasticsearch {
hosts => ["192.168.11.16:9200"]
index => "httpd_access-%{+YYYY.MM.dd}"
}
}
if "error" in [tags] {
elasticsearch {
hosts => ["192.168.11.17:9200"]
index => "httpd_error-%{+YYYY.MM.dd}"
}
}
stdout { codec => rubydebug }
}
dart
#启动 logstash
logstash -f kafka.conf
dart
浏览器访问
http://192.168.11.16:5601
登录 Kibana
单击"Create Index Pattern"按钮
添加索引"httpd_access-*"
单击 "create" 按钮创建
dart
单击"Create Index Pattern"按钮
添加索引"httpd_error-*"
单击 "create" 按钮创建
dart
在这里插入代码片