日志管理是系统运维和开发过程中非常重要的一环。它帮助我们监控系统的运行状态、排查问题、分析性能等。常用的日志管理中间件包括 ELK Stack (Elasticsearch, Logstash, Kibana)、EFK Stack (Elasticsearch, Fluentd, Kibana)、Graylog 等。下面我们将详细介绍如何使用和管理 ELK Stack。
ELK Stack 简介
- Elasticsearch: 一个分布式的搜索和分析引擎,用于存储和检索大量数据。
- Logstash: 一个开源的数据收集引擎,负责从各种来源收集日志数据并进行处理,然后将其发送到 Elasticsearch。
- Kibana: 一个开源的分析和可视化平台,用于探索和可视化存储在 Elasticsearch 中的数据。
安装和配置 ELK Stack
1. 安装 Java
Elasticsearch 和 Logstash 都需要 Java 运行时环境 (JRE) 或 Java 开发工具包 (JDK)。
bash
bash
sudo apt update
sudo apt install default-jdk -y验证安装:
bash
bash
java -version2. 安装 Elasticsearch
bash
bash
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo sh -c 'echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" > /etc/apt/sources.list.d/elasticsearch.list'
sudo apt-get update && sudo apt-get install elasticsearch -y
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl start elasticsearch.service编辑 Elasticsearch 配置文件 /etc/elasticsearch/elasticsearch.yml:
Yaml
bash
network.host: 0.0.0.0
discovery.type: single-node重启 Elasticsearch:
bash
bash
sudo systemctl restart elasticsearch验证 Elasticsearch 是否正常运行:
bash
bash
curl -X GET "localhost:9200/"3. 安装 Logstash
bash
bash
sudo apt-get install logstash -y创建一个 Logstash 配置文件 /etc/logstash/conf.d/logstash.conf:
conf
bash
input {
file {
path => "/var/log/*.log"
start_position => beginning
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
date {
match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "logstash-%{+YYYY.MM.dd}"
}
}启动 Logstash:
bash
bash
sudo systemctl start logstash
sudo systemctl enable logstash4. 安装 Kibana
bash
bash
sudo apt-get install kibana -yYaml
bash
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]启动 Kibana:
bash
bash
sudo systemctl start kibana
sudo systemctl enable kibana访问 http://your_kibana_server_ip_or_domain:5601 可以看到 Kibana 的界面。
使用和管理 ELK Stack
1. 收集日志
Logstash 可以从多种来源收集日志,包括文件、系统日志、消息队列等。你可以根据需要配置不同的 input 插件。
例如,收集 Docker 容器的日志:
conf
bash
input {
docker {
host => "unix:///var/run/docker.sock"
tags => ["docker"]
}
}2. 处理日志
Logstash 提供了丰富的 filter 插件来解析和转换日志数据。常见的 filter 插件包括 grok、date、mutate 等。
例如,使用 grok 解析 Apache 访问日志:
conf
bash
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
date {
match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
}
}3. 存储日志
Logstash 将处理后的日志数据发送到 Elasticsearch。你可以在 output 插件中配置索引名称和其他存储选项。
例如,将日志存储到按天分隔的索引中:
conf
bash
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "logstash-%{+YYYY.MM.dd}"
}
}4. 可视化日志
Kibana 提供了一个强大的可视化界面,可以用来创建仪表板、图表和报告。以下是创建一个简单的仪表板的步骤:
-
Index Patterns:
- 打开 Kibana 并导航到 "Management" -> "Stack Management" -> "Index Patterns".
- 创建一个新的 Index Pattern,例如
logstash-*.
-
Discover:
- 导航到 "Analytics" -> "Discover".
- 查看收集的日志数据。
-
Visualize:
- 导航到 "Analytics" -> "Visualize".
- 创建新的 Visualization,例如柱状图、折线图等。
-
Dashboard:
- 导航到 "Analytics" -> "Dashboards".
- 创建一个新的 Dashboard,并添加之前创建的 Visualizations.
示例:收集 Docker 日志
假设我们要收集 Docker 容器的日志并将其存储到 Elasticsearch 中,然后在 Kibana 中可视化。
1. 修改 Logstash 配置
编辑 /etc/logstash/conf.d/logstash.conf 文件:
conf
bash
input {
docker {
host => "unix:///var/run/docker.sock"
tags => ["docker"]
}
}
filter {
if "docker" in [tags] {
json {
source => "message"
}
ruby {
code => "
event.set('container_id', event.get('source').split('/')[-1])
"
}
mutate {
remove_field => ["source", "prospector", "offset", "beat", "input_type", "count", "type"]
}
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "docker-logs-%{+YYYY.MM.dd}"
}
}2. 启动 Logstash
bash
bash
sudo systemctl restart logstash3. 在 Kibana 中查看 Docker 日志
-
Index Patterns:
- 导航到 "Management" -> "Stack Management" -> "Index Patterns".
- 创建一个新的 Index Pattern,例如
docker-logs-*.
-
Discover:
- 导航到 "Analytics" -> "Discover".
- 查看 Docker 容器的日志数据。
-
Visualize:
- 导航到 "Analytics" -> "Visualize".
- 创建新的 Visualization,例如柱状图、折线图等。
-
Dashboard:
- 导航到 "Analytics" -> "Dashboards".
- 创建一个新的 Dashboard,并添加之前创建的 Visualizations.
总结
通过上述步骤,我们成功地安装和配置了 ELK Stack,并实现了日志的收集、处理、存储和可视化。ELK Stack 是一个强大且灵活的日志管理系统,适用于各种规模的应用场景。