日誌分析工具ELK(五)

八．Kibana實踐

選擇絕對時間和相對時間

 

搜索

還能夠添加相關信息

自動刷新頁面時間，也能夠關閉

建立圖像，可視化

 

編輯Markdown，建立一個值班聯繫表

 

值班聯繫表

 

保存

 

再建立一個餅圖;查看下狀態碼

 

 

保存

再來一個柱狀圖

保存爲訪問IP TOP5

 

添加展現

 

 

再添加一個折線圖

保存爲HTTP響應時間，Dashboard添加，而後保存

 

再添加一個統計，統計數量

 

選擇system-syslog

 

保存爲日誌數據統計

 

Dashboard添加，而後保存

生產最好加一個Nginx用戶認證，不能誰都能訪問

管理監控和部署elasticsearch指南

https://www.elastic.co/guide/en/elasticsearch/guide/current/administration.html

生產建議在每一個elasticsearch上跑一個kibana，每一個kibana鏈接本身的elasticsearch，再搞一個Nginx，前端負載，作好會話保持

九．ElkStack上線規劃

上線ELKstack前，先作好以下規範能更好的開啓ELKstack之旅。

 

1.標準化:

1.路徑規劃:/data/logs/,/data/logs/access,/data/logs/error,/data/logs/run

2.格式要求:嚴格要求使用json

3.命名規則: access_log error_log runtime_log system_log

4.日誌切割:按天，按小時。訪問,錯誤，程序日誌按小時，系統日誌按天收集。

5.原始文本: rsync推送NAS，後刪除最近三天前。

5.消息隊列:訪問日誌,寫入Redis_DB6，錯誤日誌Redis_DB7,程序日誌Redis_DB8

2.工具化:

1.訪問日誌  Apache、Nginx、Tomcat       (使用file插件)

2.錯誤日誌  java日誌、異常日誌(使用mulitline多行插件)

3.系統日誌/var/log/*、rsyslog         (使用syslog)

4.運行日誌程序寫入的日誌文件(可以使用file插件或json插件)

5.網絡日誌防火牆、交換機、路由器(syslog插件)

3.集羣化:

1.每臺ES上面都啓動一個Kibana

2.Kibana都連本身的ES

3.前端Nginx負載均衡+驗證,代理至後端Kibana

4.經過消息隊列來實現程序解耦以及高可用等擴展

4.監控化:

1.對ES以及Kibana、進行監控。若是服務DOWN及時處理。

2.使用Redis的list做爲ELKstack消息隊列。

3.Redis的List Key長度進行監控(llen key_name)。例:超過"10萬"即報警(根據實際狀況以及業務狀況)

5.迭代化:

1.開源日誌分析平臺:ELK、EFK、EHK、

2.數據收集處理:Flume、heka

3.消息隊列:Redis、Rabbitmq、Kafka、Hadoop、webhdfs