elk + filebeat + kafka实验和RSync同步

elk + filebeat + kafka实验和RSync同步

elk + filebeat + kafka实验

filebeat+kafka+ELK实验的操作步骤：

#在装有nginx的主机上解压filebeat压缩包
[root@test4 opt]# tar -xf filebeat-6.7.2-linux-x86_64.tar.gz 
#将解压后的压缩包更改名字
[root@test4 opt]# mv filebeat-6.7.2-linux-x86_64 filebeat
#进入filebeat目录下，将filebeat.yml配置文件备份
[root@test4 opt]# cd filebeat/
[root@test4 filebeat]# cp filebeat.yml filebeat.yml.bak
#进入filebeat.yml配置文件并更改
[root@test4 filebeat]# vim filebeat.yml
filebeat.prospectors:
- type: log
  enabled: true
  paths:
    - /usr/local/nginx/logs/access.log
  tags: ["access"]
- type: log
  enabled: true
  paths:
    - /usr/local/nginx/logs/error.log
  tags: ["error"]
#将下面两行注释
144 #output.elasticsearch:
146 #  hosts: ["localhost:9200"]
#将157行，160行取消注释并修改
157 output.kafka:
158   enabled: true
159   # The Logstash hosts
160   hosts: ["192.168.60.91:9092","192.168.60.92:9092","192.168.60.93:9092"]           #指定kafka集群配置
161   topic: "nginx"        #指定kafka的topic
#启动filebeat
[root@test4 filebeat]# ./filebeat -e -c filebeat.yml

#在ELK的主上配置
[root@apache ~]# cd /etc/logstash/conf.d/
[root@apache conf.d]# vim kafka.conf
input {
        kafka {
                bootstrap_servers => "192.168.60.91:9092,192.168.60.92:9092,192.168.60.93:9092"
                topics => "nginx"
                type => "nginx_kafka"
                codec => "json"
                auto_offset_reset => "latest"
                #拉取最近数据，earliest为从头开始拉取
                decorate_events => true
                #传递给elasticsearch的数据额外增加kafka的属性数据
        }
}
output {
        if "access" in [tags] {
                elasticsearch {
                        hosts => ["192.168.60.82:9200","192.168.60.83:9200"]
                        index => "nginx_access-%{+YYYY.MM.dd}"
                }
        }
        if "error" in [tags] {
                elasticsearch {
                        hosts => ["192.168.60.82:9200","192.168.60.83:9200"]
                        index => "nginx_error-%{+YYYY.MM.dd}"
                }
        }
}
#启动logstash
[root@apache conf.d]# logstash -f kafka.conf

RSYNC：远程同步

上行 客户端同步到服务端

下行 服务端同步到客户端

开源的快速备份的工具，一般是系统自带的。

可以在不同主机之间同步整个目录树（目录）

在远程同步的任务中，负责发起rsync的叫做发起端，也就是服务端，负责响应的同步请求的，就是客户端。

rsync的特点：

1、支持拷贝文件，链接文件等等

2、可以同步整个目录

3、可以支持保留源文件或者目录的权限等等

4、可以实现增量同步

rsync的同步方式：

1、完整备份

2、增量备份

常用的选项：

1、-a 归档模式（保留权限）

2、-v 显示同步的详细过程

3、-z 压缩，在传输的过程中对文件进行压缩。

4、-H 同步硬连接

5、--delete 同步删除文件

6、-l 同步连接文件

7、-r 递归（所有）

192.168.60.80 服务端

192.168.60.90 客户端

客户端同步服务端的目录操作步骤：

服务端的配置文件

[root@test8 ~]# vim /etc/rsyncd.conf
# /etc/rsyncd: configuration file for rsync daemon mode
​
# See rsyncd.conf man page for more options.
​
# configuration example:
​
 uid = root
 gid = root
 use chroot = yes
#是否禁锢在源目录
address = 192.168.60.80
#监听地址
port 873
# max connections = 4
pid file = /var/run/rsyncd.pid
log file = /var/log/rsyncd.log
hosts allow = 192.168.60.0/24
#允许访问的客户端IP地址
dont compress = *.gz *.bz2 *.tgz *.zip *.rar *.z
#在传输过程中不再进行压缩的文件类型
​
[test]
#共享模块的名称，后续通过模块的名称来进行同步
path = /opt/test
#源目录，就是同步的目录
#comment = test
#备注信息,可以不加
read only = no
#源目录，客户端可以读，也可以写 
auth users = backuper
#授权登录的账户名称
secrets file = /etc/rsyncd_users.db
#授权登录用户的密码文件
~  
​
[root@test8 ~]# chmod 600 /etc/rsyncd_users.db 
[root@test8 ~]# mkdir /opt/test
mkdir: 无法创建目录"/opt/test": 文件已存在
[root@test8 ~]# chmod 777 /opt/test/
[root@test8 ~]# netstat -antp | grep 873
[root@test8 ~]# systemctl restart rsyncd
[root@test8 ~]# netstat -antp | grep 873
tcp        0      0 192.168.60.80:873       0.0.0.0:*               LISTEN      10611/rsync         

#设置用户登录的密码
[root@test8 test]# vim /etc/rsyncd_users.db
backuper:123456
​
[root@test8 ~]# chmod 600 /etc/rsyncd_users.db 
[root@test8 ~]# mkdir /opt/test
[root@test8 ~]# chmod 777 /opt/test/
[root@test8 ~]# netstat -antp | grep 873
[root@test8 ~]# systemctl restart rsyncd
[root@test8 ~]# netstat -antp | grep 873
tcp        0      0 192.168.60.80:873       0.0.0.0:*               LISTEN      10611/rsync

#在客户端的主机上将服务端的模块名称为test复制到客户端的opt目录下
[root@test9 opt]# rsync -avz backuper@192.168.60.80::test /opt
#写一个密码的文件
[root@test9 xy102]# vim /etc/server.pass 
123456
​
#下面的代码是实现免密登录
[root@test9 opt]# rsync -avz --password-file=/etc/server.pass backuper@192.168.60.80::test /opt

客户端监控文件系统的变化：

inotify-tools

inotify 实现监控

inotify watch 监控文件系统的变化

inotify wait 监控修改，创建，移动，删除，属性修改（权限修改、所有者、所在组）如果发生变动，立即输出结果。

inotifywait -mrq -e modify,create,move,delete /opt/xy102

m 持续监控

r 递归整个目录，只要有变化包含子目录的变化全部记录

q 简化输出的信息

e 指定监控的时间

attrib  属性修改
inotifywait -mrq -e modify,create,move,delete,attrib /opt/xy102

将客户端的变化同步到服务端中去（下行同步）：

#在客户端上写一个脚本文件
[root@test9 opt]# vim inotify.sh
#!/bin/bash
inotify_cmd="inotifywait -mrq -e modify,create,move,delete,attrib /opt/xy102"
rsync_cmd="rsync -azH --delete --password-file=/etc/server.pass /opt/xy102 backuper@192.168.60.80::test/"
$inotify_cmd | while read DIRECTORY EVENT FILE
do
  if [ $(pgrep rsync | wc -l ) -le 0 ]
  then
     $rsync_cmd
  fi
done
#给脚本文件赋权并执行脚本文件
[root@test9 opt]# chmod 777 inotify.sh 
[root@test9 opt]# ./inotify.sh

attrib 属性修改

--delete

A

/opt/test 1 2 3

B

/opt/xy102 4 5 6

--delete 全同步（两边的内容完全一致）