Elasticsearch+kibana+logstash 搭建日志收集分析平台

Elasticsearch+kibana+logstash 搭建日志收集分析平台

环境搭建：

虚拟机内存配置：

sysctl -w vm.max_map_count=262144

查看是否调整成功

sysctl -a|grep vm.max_map_count

永久修改:

vi /etc/sysctl.conf

在该conf文件最下方添加一行

vm.max_map_count=262144

elasticsearch配置

这里采用docker来进行部署，首先拉取elasticsearch的镜像

docker pull elasticsearch:7.16.3

注意： elasticsearch，kibana和logstash最好版本号要一致，避免出现兼容问题。

docker创建elk的网络

docker network create docker_elk

使用docker run创建elasticsearch容器

docker run -d --name elastic --net docker_elk -p 9200:9200 -p 9300:9300 \

-e "ES_JAVA_OPTS=-Xms64m -Xmx256m" -e "discovery.type=single-node" \

elasticsearch:7.16.3

启动后，通过docker exec命令进入容器

docker exec -it elastic /bin/bash

进入config文件夹

vi elasticsearch.yml

注意： 由于elasticsearch的官方镜像采用的是ubuntu系统，所以vi里面的操作方式跟centos有所不同，这里我们需要先移除掉再重新安装最新的

apt remove vim-common

然后升级

apt update

安装vim

apt install vim

编辑elasticsearch.yml，开启xpack认证，个人亲身经历如若不开xpack认证，会出现kibana索引模式无法创建的错误，可能跟安全认证有关。在yml文件下面添加以下字段。

xpack.security.enabled: true

xpack.security.transport.ssl.enabled: true

退出容器后，重新启动容器

docker restart elastic

再次进入容器，设置安全认证密码。

/usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive

给elasticsearch默认用户设置密码，我这边就设置了123456

设置好后，我们来进行kibana的配置。

kibana配置

先拉取kibana镜像

docker pull kibana:7.16.3

创建kibana容器

docker run -d --name kibana --net docker_elk -p 5601:5601 kibana:7.16.3

然后接下来我们需要查看一下elasticsearch容器在我们的docker_elk网络中的地址

docker inspect elastic

在一片配置中下拉到network配置项中

可以看到elasticsearch容器的地址为172.19.0.2

进入kibana容器‘’

docker exec -it kibana /bin/bashw

进入config文件夹

cd config

编辑kibana.yml

server.host: "0.0.0.0"

server.shutdownTimeout: "5s"

elasticsearch.hosts: [ "http://172.19.0.2:9200" ]

monitoring.ui.container.elasticsearch.enabled: true

i18n.locale: "zh-CN"

elasticsearch.username: "elastic"

elasticsearch.password: "123456"

xpack.reporting.encryptionKey: "a_random_string"

xpack.security.encryptionKey: "something_at_least_32_characters"

elasticsearch.host中设置刚才network获取到的elasticsearch容器地址，然后修改

elasticsearch.password

修改完成后，退出并重启容器

docker restart kibana

logstash的配置

先拉取镜像

docker pull logstash:7.16.3

创建logstash 的配置文件

##创建目录 /data/logstash/config 和 配置文件 logstash.yml

/data/logstash/config/logstash.yml

##创建目录 /data/logstash/conf.d/ 和配置文件 logstash.conf

/data/logstash/conf.d/logstash.conf

logstash.yml配置如下:

http.host: "0.0.0.0"

xpack.monitoring.elasticsearch.hosts: [ "http://172.19.0.2:9200" ]

xpack.monitoring.enabled: true

path.config: /usr/share/logstash/conf.d/*.conf

path.logs: /var/log/logstash

其中xpack.monitoring.elasticsearch.hosts配置项改为获取到的elasticsearch容器地址

logstash.conf的配置如下:

input {

 tcp {

 mode => "server"

 host => "0.0.0.0"

 port => 5047

 codec => json_lines

 }

}

output {

 elasticsearch {

 hosts => "172.19.0.2:9200"

 index => "springboot-logstash-%{+YYYY.MM.dd}"

 user => "elastic"

 password => "123456"

 }

}

下面host填写elastsearch容器地址，index为日志索引的名称,user和password填写xpack设置的密码，port为对外开放收集日志的端口

运行logstash

docker run -it -d -p 5047:5047 -p 9600:9600 \

--name logstash --privileged=true  --net docker_elk -v \

/data/logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml -v \

/data/logstash/conf.d/:/usr/share/logstash/conf.d/ logstash:7.16.3

5047端口是刚才port设置的端口

注意: 这里有可能会出现jvm内存栈爆满

解决方法：

find / -name jvm.options

使用该指令寻找logstash的jvm配置

找到对应容器的配置文件并修改重启

-Xms128m

-Xmx256m

如果内存大可以适当调高

Springboot配置

在maven中添加Logstash依赖

 

 net.logstash.logback

 logstash-logback-encoder

 6.6

 

在resources目录下创建logback-spring.xml文件

<?xml version="1.0" encoding="UTF-8"?>





 

 

 

 

 

 



 

 

 

 



 

 



 

 

 

 

 ${CONSOLE_LOG_PATTERN}

 

 

 



 

 

 

 ${LOG_HOME}/log_${SPRING_NAME}_%d{yyyy-MM-dd}_%i.log

 

 200MB

 

 

 

 %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n

 

 



 

 

 

 /app/log/biz/log_%d{yyyy-MM-dd}_%i.log

 

 200MB

 

 

 

 %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n

 

 



 

 

 

 

 

 

 

 xxx.xxx.xxx.xxx:5047

 

 

 

 

 Asia/Shanghai

 

 

 

 {

 "app_name":"${SPRING_NAME}",

 "traceid":"%X{traceid}",

 "ip": "%X{ip}",

 "server_name": "%X{server_name}",

 "level": "%level",

 "trace": "%X{X-B3-TraceId:-}",

 "span": "%X{X-B3-SpanId:-}",

 "parent": "%X{X-B3-ParentSpanId:-}",

 "thread": "%thread",

 "class": "%logger{40} - %M:%L",

 "message": "%message",

 "stack_trace": "%exception{10}"

 }

 

 

 

 

 



 

 

 

 

 

 

 

 



 

 

 

 

 

 

 



 

 

 

 



 

 

 

destination中填写部署logstash容器机器的ip地址，如果机器是本地则填写内网地址，如果是外网服务器，则填写外网ip，端口要和logstash配置文件中的port一致。

然后我们创建一些测试用例

@RestController

@Slf4j

public class LogController {



 @GetMapping("/test")

 public String showLog(){

 log.warn("日志测试,hahahahah");

 log.info("初始日志");

 log.debug("出现bug啦");

 log.error("出现错误");

 return "ok";

 }



}

运行Springboot

注意: 成功启用logback配置文件后，控制台输入会有所变化。

spring LOGO上会有logback的配置信息。

如若没变化，则表明logback配置文件没生效，没生效则logstash收集不了日志信息。

kibana查看信息

进入kibana输入账号密码后，来到该界面。

在索引管理中可以看到我们的日志索引。

下方索引模式选项创建索引模式

创建好后，在discover界面上就可以看到我们收集到的日志信息了。

结尾：

如果docker容器启动一会就自动停止了，大概率是出现错误了，这个时候可以使用docker logs 容器名 去查看容器的日志信息来寻找问题。

要注意logstash配置文件的端口要和springboot中logback配置文件中的端口一致

如果是阿里云或者腾讯云等云服务器，注意控制台防火墙也要开放相应端口

注意linux内部的防火墙，如果不是生产环境最好关闭。