ELK+Filebeat+Kafka分布式日志管理平台搭建

枕上诗书闲处好，门前风景雨来佳。这篇文章主要讲述ELK+Filebeat+Kafka分布式日志管理平台搭建相关的知识，希望能为你提供帮助。
ELK+Filebeat+Kafka分布式日志管理平台搭建架构演进

ELK缺点：ELK架构，并且Spring Boot应用使用 logstash-logback-encoder 直接发送给 Logstash，缺点就是Logstash是重量级日志收集server，占用cpu资源高且内存占用比较高
ELFK缺点：一定程度上解决了ELK中Logstash的不足，但是由于Beats 收集的每秒数据量越来越大，Logstash 可能无法承载这么大量日志的处理
随着 Beats 收集的每秒数据量越来越大，Logstash 可能无法承载这么大量日志的处理。虽然说，可以增加 Logstash 节点数量，提高每秒数据的处理速度，但是仍需考虑可能 Elasticsearch 无法承载这么大量的日志的写入。此时，我们可以考虑引入消息队列，进行缓存：
- Beats 收集数据，写入数据到消息队列中。
- Logstash 从消息队列中，读取数据，写入 Elasticsearch 中

文章图片

壹、Filebeat+ELK 部署环境配置

主机	操作系统	IP地址	工具/软件包
node1	CentOS7	192.168.80.20	Elasticsearch/Kibana/Filebeat
node2	CentOS7	192.168.80.30	Elasticsearch
apache	CentOS7	192.168.80.50	httpd / Logstash

1、部署ELK日志分析系统
部署ELK日志分析系统
2、在Node1节点上安装 Filebeat

#上传软件包filebeat-6.2.4-linux-x86_64.tar.gz到/opt目录 tar zxvf filebeat-6.2.4-linux-x86_64.tar.gz mv filebeat-6.2.4-linux-x86_64/ /usr/local/filebeat

文章图片

文章图片

3、设置 Kibana 的主配置文件

cd /usr/local/filebeatvim filebeat.yml filebeat.prospectors: - type: log#指定log类型，从日志文件中读取消息 enabled: true paths: - /var/log/messages#指定监控的日志文件 - /var/log/*.log fields:#可以使用 fields 配置选项设置一些参数字段添加到 output 中 service_name: filebeat log_type: log service_id: 192.168.80.20---------Elasticsearch output （全部注释掉） ---------Logstash output output.logstash: hosts: ["192.168.80.50:5044"]#指定logstash的IP和端口#启动 filebeat ./filebeat -e -c filebeat.yml

文章图片

文章图片

4．在 Logstash 组件所在节点上新建一个 Logstash 配置文件

cd /etc/logstash/conf.dvim logstash.conf input beats port => "5044"output elasticsearch hosts => ["192.168.80.20:9200"] index => "%[fields][service_name]-%+YYYY.MM.dd"stdout codec => rubydebug#启动 logstash logstash -f logstash.conf

文章图片

文章图片

*5．浏览器访问 http://192.168.80.20:5601 登录 Kibana，单击“Create Index Pattern”按钮添加索引“filebeat-”，单击 “create” 按钮创建，单击 “Discover” 按钮可查看图表信息及日志信息。**

文章图片

文章图片

贰、消息列队（MQ）使用用消息队列的原因

主要原因是由于在高并发环境下，同步请求来不及处理，请求往往会发生阻塞。比如大量的请求并发访问数据库，导致行锁表锁，最后请求线程会堆积过多，从而触发 too many connection 错误，引发雪崩效应。
我们使用消息队列，通过异步处理请求，从而缓解系统的压力。消息队列常应用于异步处理，流量削峰，应用解耦，消息通讯等场景。
当前比较常见的 MQ 中间件有 ActiveMQ、RabbitMQ、RocketMQ、Kafka 等

使用消息队列的好处① 解耦
允许你独立的扩展或修改两边的处理过程，只要确保它们遵守同样的接口约束。
② 可恢复性
系统的一部分组件失效时，不会影响到整个系统。消息队列降低了进程间的耦合度，所以即使一个处理消息的进程挂掉，加入队列中的消息仍然可以在系统恢复后被处理。
③ 缓冲
有助于控制和优化数据流经过系统的速度，解决生产消息和消费消息的处理速度不一致的情况。
④ 灵活性 & 峰值处理能力
在访问量剧增的情况下，应用仍然需要继续发挥作用，但是这样的突发流量并不常见。如果为以能处理这类峰值访问为标准来投入资源随时待命无疑是巨大的浪费。使用消息队列能够使关键组件顶住突发的访问压力，而不会因为突发的超负荷的请求而完全崩溃。
⑤ 异步通信
很多时候，用户不想也不需要立即处理消息。消息队列提供了异步处理机制，允许用户把一个消息放入队列，但并不立即处理它。想向队列中放入多少消息就放多少，然后在需要的时候再去处理它们。
消息队列的两种模式

点对点模式（一对一，消费者主动拉取数据，消息收到后消息清除）
消息生产者生产消息发送到消息队列中，然后消息消费者从消息队列中取出并且消费消息。消息被消费以后，消息队列中不再有存储，所以消息消费者不可能消费到已经被消费的消息。消息队列支持存在多个消费者，但是对一个消息而言，只会有一个消费者可以消费
发布/订阅模式（一对多，又叫观察者模式，消费者消费数据之后不会清除消息）
消息生产者（发布）将消息发布到 topic 中，同时有多个消息消费者（订阅）消费该消息。和点对点方式不同，发布到 topic 的消息会被所有订阅者消费。
发布/订阅模式是定义对象间一种一对多的依赖关系，使得每当一个对象（目标对象）的状态发生改变，则所有依赖于它的对象（观察者对象）都会得到通知并自动更新

Zookeeper 概述
Zookeeper 定义

zookeeper是一个开源的分布式的，为分布式框架提供协调服务的Apache项目

Zookeeper 工作机制Zookeeper从设计模式角度来理解：是一个基于观察者模式设计的分布式服务管理框架，它负责存储和管理大家都关心的数据，然后接受观察者的注册，一旦这些数据的状态发生变化，Zookeeper就将负责通知已经在Zookeeper上注册的那些观察者做出相应的反应。也就是说Zookeeper =文件系统+通知机制
Kafka 概述
Kafka 定义

Kafka 是一个分布式的基于发布/订阅模式的消息队列（MQ，Message Queue），主要应用于大数据实时处理领域

Kafka 简介Kafka 是最初由 Linkedin 公司开发，是一个分布式、支持分区的（partition）、多副本的（replica），基于 Zookeeper 协调的分布式消息中间件系统，它的最大的特性就是可以实时的处理大量数据以满足各种需求场景，比如基于 hadoop 的批处理系统、低延迟的实时系统、Spark/Flink 流式处理引擎，nginx 访问日志，消息服务等等，用 scala 语言编写，Linkedin 于 2010 年贡献给了 Apache 基金会并成为顶级开源项目
Kafka 的特性高吞吐量、低延迟
Kafka 每秒可以处理几十万条消息，它的延迟最低只有几毫秒。每个 topic 可以分多个 Partition，Consumer Group 对 Partition 进行消费操作，提高负载均衡能力和消费能力。

可扩展性
- kafka 集群支持热扩展
持久性、可靠性
- 消息被持久化到本地磁盘，并且支持数据备份防止数据丢失
容错性
- 允许集群中节点失败（多副本情况下，若副本数量为 n，则允许 n-1 个节点失败）
高并发
- 支持数千个客户端同时读写

文章图片

贰、zookeeper集群+kafka集群部署部署 Zookeeper 集群
环境准备

主机	操作系统	IP地址
server.1	CentOS7	192.168.80.11
server.2	CentOS7	192.168.80.12
server.3	CentOS7	192.168.80.13

1、安装前准备

#关闭防火墙 systemctl stop firewalld systemctl disable firewalld setenforce 0 #安装JDK yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel java -version #下载安装包官方下载地址: https://archive.apache.org/dist/zookeeperl cd /opt wget https://archive.apache.org/dist/zookeeper/zookeeper-3.5.7/apache-zookeeper-3.5.7-bin.tar.gz #安装Zookeeper cd /opt tar -zxvf apache-zookeeper-3.5.7-bin.tar.gz mv apache-zookeeper-3.5.7-bin /usr/local/zookeeper-3.5.7

文章图片

2、修改配置文件

cd /usr/local/zookeeper-3.5.7/conf/ cp zoo_sample.cfg zoo.cfgvim zoo.cfg tickTime=2000 #通信心跳时间，Zookeeper服务器与客户端心跳时间，单位毫秒 initLimit=10 #Leader和Follower初始连接时能容忍的最多心跳数（tickTime的数量），这里表示为10*2s syncLimit=5 #Leader和Follower之间同步通信的超时时间，这里表示如果超过5*2s，Leader认为Follwer死掉，并从服务器列表中删除Follwer dataDir=/usr/local/zookeeper-3.5.7/data#修改，指定保存Zookeeper中的数据的目录，目录需要单独创建 dataLogDir=/usr/local/zookeeper-3.5.7/logs#添加，指定存放日志的目录，目录需要单独创建 clientPort=2181#客户端连接端口 #添加集群信息 server.1=192.168.80.11:3188:3288 server.2=192.168.80.12:3188:3288 server.3=192.168.80.13:3188:3288 --------------------------------------------------------------- server.A=B:C:D #A是一个数字，表示这个是第几号服务器。集群模式下需要在zoo.cfg中dataDir指定的目录下创建一个文件myid，这个文件里面有一个数据就是A的值，Zookeeper启动时读取此文件，拿到里面的数据与zoo.cfg里面的配置信息比较从而判断到底是哪个server #B是这个服务器的地址 #c是这个服务器Follower与集群中的Leader服务器交换信息的端口 #D是万一集群中的Leader服务器挂了，需要一个端口来重新进行选举，选出一个新的Leader，而这个端口就是用来执行选举时服务器相互通信的端口 ---------------------------------------------------------------

【ELK+Filebeat+Kafka分布式日志管理平台搭建】

文章图片

3、创建数据目录和日志目录并指定myid文件

#在每个节点上创建数据目录和日志目录 mkdir /usr/local/zookeeper-3.5.7/data mkdir /usr/local/zookeeper-3.5.7/1ogs#在每个节点的dataDir指定的目录下创建一个myid的文件 echo 1 > /usr/local/zookeeper-3.5.7/data/myid echo 2 > /usr/local/zookeeper-3.5.7/data/myid echo 3 > /usr/local/zookeeper-3.5.7/data/myid

文章图片

4、拷贝配置好的Zookeeper 配置文件到其他机器上

scp /usr/local/zookeeper-3.5.7/conf/zoo.cfg 192.168.80.12:/usr/local/zookeeper-3.5.7/conf/ scp /usr/local/zookeeper-3.5.7/conf/zoo.cfg 192.168.80.13:/usr/local/zookeeper-3.5.7/conf/

文章图片

5、配置Zookeeper 启动脚本

vim /etc/init.d/zookeeper #!/bin/bash #chkconfig:2345 20 90 #description: Zookeeper Service Control Script zk_home=/usr/local/zookeeper-3.5.7 case $1 in start) echo "-----zookeeper启动-----" $zk_home/bin/zkServer.sh start ; ; stop) echo "----zookeeper停止-------" $zk_home/bin/ zkServer.sh stop ; ; restart) echo "----zookeeper重启-------" $zk_home/bin/zkServer.sh restart ; ; status) echo"-----zookeeper状态------" $zk_home/bin/zkServer.sh status ; ; *) echo "usage: $0 start|stop|restart|status" esac #设置开机自启 chmod +x /etc/init.d/zookeeper chkconfig --add zookeeper chkconfig zookeeper on chkconfig --list#分别启动 Zookeeper service zookeeper start #查看当前状态 service zookeeper status

文章图片

文章图片

部署 kafka 集群
注：基于前面的zookeeper环境做
1、下载安装包

官方下载地址：http://kafka.apache.org/downloads.html cd /opt wget https://mirrors.tuna.tsinghua.edu.cn/apache/kafka/2.7.1/kafka_2.13-2.7.1.tgz#安装 Kafka cd /opt/ tar zxvf kafka_2.13-2.7.1.tgz mv kafka_2.13-2.7.1 /usr/local/kafkacd /usr/local/kafka/config/ cp server.properties,.bak

文章图片

文章图片

2、修改配置文件

vim server.properties broker.id=0#21行，broker的全局唯一编号，每个broker不能重复，因此要在其他机器上配置 broker.id=1、broker.id=2 listeners=PLAINTEXT://192.168.80.11:9092#31行，指定监听的IP和端口，如果修改每个broker的IP需区分开来，也可保持默认配置不用修改 num.network.threads=3#42行，broker 处理网络请求的线程数量，一般情况下不需要去修改 num.io.threads=8#45行，用来处理磁盘IO的线程数量，数值应该大于硬盘数 socket.send.buffer.bytes=102400#48行，发送套接字的缓冲区大小 socket.receive.buffer.bytes=102400#51行，接收套接字的缓冲区大小 socket.request.max.bytes=104857600#54行，请求套接字的缓冲区大小 log.dirs=/usr/local/kafka/logs#60行，kafka运行日志存放的路径，也是数据存放的路径 num.partitions=1#65行，topic在当前broker上的默认分区个数，会被topic创建时的指定参数覆盖 num.recovery.threads.per.data.dir=1#69行，用来恢复和清理data下数据的线程数量 log.retention.hours=168#103行，segment文件（数据文件）保留的最长时间，单位为小时，默认为7天，超时将被删除 log.segment.bytes=1073741824#110行，一个segment文件最大的大小，默认为 1G，超出将新建一个新的segment文件 zookeeper.connect=192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181#123行，配置连接Zookeeper集群地址

文章图片

文章图片

3、修改环境变量

vim /etc/profile export KAFKA_HOME=/usr/local/kafka export PATH=$PATH:$KAFKA_HOME/binsource /etc/profile

文章图片

4、配置 Zookeeper 启动脚本

vim /etc/init.d/kafka #!/bin/bash #chkconfig:2345 22 88 #description:Kafka Service Control Script KAFKA_HOME=/usr/local/kafka case $1 in start) echo "---------- Kafka 启动 ------------" $KAFKA_HOME/bin/kafka-server-start.sh -daemon $KAFKA_HOME/config/server.properties ; ; stop) echo "---------- Kafka 停止 ------------" $KAFKA_HOME/bin/kafka-server-stop.sh ; ; restart) $0 stop $0 start ; ; status) echo "---------- Kafka 状态 ------------" count=$(ps -ef | grep kafka | egrep -cv "grep|$$") if [ "$count" -eq 0 ]; then echo "kafka is not running" else echo "kafka is running" fi ; ; *) echo "Usage: $0 start|stop|restart|status" esac#设置开机自启 chmod +x /etc/init.d/kafka chkconfig --add kafka #分别启动 Kafka service kafka start

文章图片

文章图片

5、Kafka 命令行操作

#创建topic kafka-topics.sh --create --zookeeper 192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181 --replication-factor 2 --partitions 3 --topic test -------------------- --zookeeper：定义zookeeper集群服务器地址，如果有多个IP地址使用逗号分割，一般使用一个IP即可 --replication-factor：定义分区副本数，1代表单副本，建议为2 --partitions：定义分区数 --topic：定义topic名称 -------------------- #查看当前服务器中的所有topic kafka-topics.sh --list --zookeeper 192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181 #查看某个topic的详情 kafka-topics.sh--describe --zookeeper 192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181 #发布消息 kafka-console-producer.sh --broker-list 192.168.80.11:9092,192.168.80.12:9092,192.168.80.13:9092--topic test #消费消息 kafka-console-consumer.sh --bootstrap-server 192.168.80.11:9092,192.168.80.12:9092,192.168.80.13:9092 --topic test --from-beginning -------------------- --from-beginning：会把主题中以往所有的数据都读取出来 -------------------- #修改分区数 kafka-topics.sh --zookeeper 192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181 --alter --topic test --partitions 6 #删除 topic kafka-topics.sh --delete --zookeeper 192.168.80.11:2181,192.168.80.12:2181,192.168.80.13:2181 --topic test

Kafka 系统架构
① Broker

一台 kafka 服务器就是一个 broker。一个集群由多个 broker 组成。一个 broker 可以容纳多个 topic。

② Topic

可以理解为一个队列，生产者和消费者面向的都是一个 topic。
类似于数据库的表名或者 ES 的 index
物理上不同 topic 的消息分开存储

③ Partition

为了实现扩展性，一个非常大的 topic 可以分布到多个 broker（即服务器）上，一个 topic 可以分割为一个或多个 partition，每个 partition 是一个有序的队列。Kafka 只保证 partition 内的记录是有序的，而不保证 topic 中不同 partition 的顺序。
每个 topic 至少有一个 partition，当生产者产生数据的时候，会根据分配策略选择分区，然后将消息追加到指定的分区的队列末尾。

文章图片

文章图片

Kafka架构深入
Kafka 工作流程及文件存储机制

Kafka 中消息是以 topic 进行分类的，生产者生产消息，消费者消费消息，都是面向 topic 的。
topic 是逻辑上的概念，而 partition 是物理上的概念，每个 partition 对应于一个 log 文件，该 log 文件中存储的就是 producer 生产的数据。Producer 生产的数据会被不断追加到该 log 文件末端，且每条数据都有自己的 offset。消费者组中的每个消费者，都会实时记录自己消费到了哪个 offset，以便出错恢复时，从上次的位置继续消费。
由于生产者生产的消息会不断追加到 log 文件末尾，为防止 log 文件过大导致数据定位效率低下，Kafka 采取了分片和索引机制，将每个 partition 分为多个 segment。每个 segment 对应两个文件：“.index” 文件和 “.log” 文件。这些文件位于一个文件夹下，该文件夹的命名规则为：topic名称+分区序号。例如，test 这个 topic 有三个分区，则其对应的文件夹为 test-0、test-1、test-2。
index 和 log 文件以当前 segment 的第一条消息的 offset 命名。
“.index” 文件存储大量的索引信息，“.log” 文件存储大量的数据，索引文件中的元数据指向对应数据文件中 message 的物理偏移地址。

叁、Filebeat+Kafka+ELK架构部署1、部署 Filebeat

cd /usr/local/filebeatvim filebeat.yml filebeat.prospectors: paths: #- /var/log/*.log - /etc/httpd/logs/access_log tags: ["access"]- type: log enabled: true paths: - /etc/httpd/logs/error_log tags: ["error"] ...... #添加输出到 Kafka 的配置 output.kafka: enabled: true hosts: ["192.168.80.11:9092","192.168.80.12:9092","192.168.80.13:9092"]#指定 Kafka 集群配置 topic: "apache"#指定 Kafka 的 topic#启动 filebeat ./filebeat -e -c filebeat.yml

文章图片

文章图片

2、部署 ELK，在 Logstash 组件所在节点上新建一个 Logstash 配置文件

cd /etc/logstash/conf.d/vim filebeat.conf input kafka bootstrap_servers => "192.168.80.11:9092,192.168.80.12:9092,192.168.80.13:9092" topics=> "apache" type => "apache_kafka" codec => "json" auto_offset_reset => "latest" decorate_events => "true"output if "access" in [tags] elasticsearch hosts => ["192.168.80.20:9200"] index => "apache_access-%+YYYY.MM.dd"if "error" in [tags] elasticsearch hosts => ["192.168.80.20:9200"] index => "apache_error-%+YYYY.MM.dd"stdoutcodec => rubydebug #启动 logstash logstash -f filebeat.conf

文章图片

文章图片

3、浏览器访问 http://192.168.80.20:5601 登录 Kibana，单击“Create Index Pattern”按钮添加索引“apache_access-”、“apache_error- ”，单击 “create” 按钮创建，单击 “Discover” 按钮可查看图表信息及日志信息。