搭建日誌分析系統ELK

摘要: 原創出處 https://peijie-sh.github.io 歡迎轉載，保留摘要，謝謝！

日誌分析組件3件套：

• E：Elasticsearch是一個搜索引擎，基於Lucene，自然分佈式，很容易水平擴展，屏蔽了複雜的分佈式概念，對外提供RESTfulAPI。
• L：Logstash用於收集日誌，寫入Elasticsearch。
• K：Kibana是一個展現層，基於NodeJS，能夠圖標形式展現數據，界面簡潔。

這3大組件，均可以在 這裏 直接下載。

搭建安裝步驟：

• 下載elasticsearch，解壓後，運行bin/elasticsearch -d，以守護進程形式啓動，打開localhost:9200會返回json信息以下，說明啓動成功。

  

• 下載Logstash，解壓，在/bin/config下建立一個配置文件vi logstash.conf。

input {
  tcp {
    host => "192.168.1.91" # 要監聽的日誌來源地址
    port => 4567
    mode => "server"
  }
}

output {
  stdout{ codec => rubydebug }
  elasticsearch {
    hosts => ["192.168.1.91:9200"]  # elasticsearch中配置的host地址
  }
}
複製代碼

• 指定配置文件並後臺啓動：bin/logstash -f logstash.conf &。
• 在你的應用程序中配置日誌輸出到Logstash，好比Logback.xml
  1. 引入logstash-logback-encoder：compile group: 'net.logstash.logback', name: 'logstash-logback-encoder', version: '4.11'
  2. 配置logback.xml

<appender name="stash" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <destination>192.168.1.91:4567</destination>
        <!-- encoder is required -->
        <encoder class="net.logstash.logback.encoder.LogstashEncoder"/>
    </appender>

    <root level="DEBUG">
        <appender-ref ref="stdout"/>
        <appender-ref ref="fileout"/>
        <appender-ref ref="stash"/>
    </root>
複製代碼

• 下載Kibana，解壓後啓動：bin/kibana &，打開localhost:5601便可。

注意事項

• 在安裝Elasticsearch的時候，配置文件中咱們把network.host改成0.0.0.0容許遠程訪問後，啓動會報錯，請按照 以下操做，放開linux的系統限制。
• Elasticsearch入門參考手冊