实战ElasticStack

赞助

如果你觉得我写得还行,并且愿意付费,那么我会更有动力写下去。

我对 ElasticStack 可以说是既熟悉又陌生,说熟悉是因为很久以前就已经开始使用 ELK 来分析日志了,说陌生是因为以前的 ELK 环境都是同事搭建的,我主要是看看 Kibana 面板而已。随着 V5 的发布,ELK 全面进化为 ElasticStack,该自己动手了。

实际操作前最好大致浏览一下官方文档,以便对 ElasticStack 各个组件的作用有一个基本概念,如果看完文档还没搞清楚,那么至少要看明白下面这张图:

ElasticStack

ElasticStack

整个流程相当简单,首先服务器通过 Filebeat 把数据上报给 Logstash,然后把分析后把数据保存到 ElasticSearch 里,最后用户通过 Kibana 浏览数据。

废话少说,接下来让我们按顺序安装 ElasticStack 的各个组件,不过安装前我们需要确保系统已有 Java 且版本足够新,一般我习惯用包管理工具安装这种系统级工具:

shell> yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel

同时记得创建一个系统账号(比如叫 elastic)以便后续运行服务使用。

第一步:安装 ElasticSearch

shell> tar zxvf elasticsearch-<VERSION>.tar.gz
shell> mv elasticsearch-<VERSION> /usr/local/elasticsearch
shell> /usr/local/elasticsearch/bin/elasticsearch

服务启动后,我们可以通过 elasticsearch 提供的 API 来确认一下基本信息:

shell> curl http://localhost:9200/
{
  "name" : "...",
  "cluster_name" : "...",
  "cluster_uuid" : "...",
  "version" : {
    "number" : "...",
    "build_hash" : "...",
    "build_date" : "...",
    "build_snapshot" : false,
    "lucene_version" : "..."
  },
  "tagline" : "You Know, for Search"
}

缺省情况下,elasticsearch 服务会监听 9200 端口,如果你想自定义监听地址和端口,那么可以设置 elasticsearch.yml 配置文件中的 network.host 和 http.port 选项。

此时,elasticsearch 服务已经完全准备好了,不过还不算完,推荐安装 x-pack 插件,它在安全,监控等方面为 elasticsearch 提供了完善的支持:

shell> /usr/local/elasticsearch/bin/elasticsearch-plugin install x-pack

安装好 x-pack 后,会生成一个管理用户,用户名是 elastic,密码是 changeme,此时我们如果还想通过 curl 命令来操作 elasticsearch 的话,就需要用户名密码了:

shell> curl -u elastic http://localhost:9200/

不过使用缺省密码是不安全的,所以我们应该修改它:

shell> curl -XPUT -u elastic -d '{"password": "<PASSWORD>"}' \
       'http://localhost:9200/_xpack/security/user/elastic/_password'

至此,elasticsearh 的安装算是基本结束了,我们可以确认一下服务健康与否:

shell> curl -u elastic http://localhost:9200/_cluster/health?pretty
{
  "cluster_name" : "my-application",
  "status" : "yellow",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 3,
  "active_shards" : 3,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 2,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 60.0
}

你可能已经注意到在上面的结果中,状态被标记为危险的黄色,而不是安全的绿色。实际上我们的安装步骤没有问题,之所以会显示黄色,实际上是因为从集群的角度看,这个集群目前只有一个节点,数据有丢失的风险。不过如果我们只是在一些安全性要求不太高的项目上使用,那么一个节点是可以接受的。

第二步:安装 Kibana

shell> kibana-<VERSION>-linux-x86_64.tar.gz
shell> mv kibana-<VERSION>-linux-x86_64 /usr/local/kibana
shell> /usr/local/kibana/bin/kibana

不过启动服务器需要先设置好配置文件 kibana.yml,此外同样需要安装 x-pack:

shell> /usr/local/kibana/bin/kibana-plugin install x-pack

缺省情况下,Kibana 服务会监听 5601 端口,如果有需要也可以在配置文件中修改。

第三步:安装 Logstash

shell> tar zxvf logstash-<VERSION>.tar.gz
shell> mv logstash-<VERSION> /usr/local/logstash
shell> /usr/local/logstash/bin/logstash -f /path/to/logstash.conf

关键在于配置文件 logstash.conf 的编写,它包含 inputfilteroutput 三部分:

input {
  beats {
    host => "<HOST>"
    port => 5044
  }
}

filter {
  grok {
    match => {
      "message" => "%{HTTPD_COMBINEDLOG} (?:%{NUMBER:time:float}|-)"
    }
  }

  kv {
    prefix => "arg_"
    source => "request"
    field_split => "&?"
    remove_field => [ "request" ]
  }

  urldecode {
    all_fields => true
  }

  date {
    match => ["timestamp" , "dd/MMM/YYYY:HH:mm:ss Z"]
  }
}

output {
  elasticsearch {
    hosts => ["<HOST>:9200"]
    user => "<USER>"
    password => "<PASSWORD>"
  }
}

说明:Logstash 缺省会在 Elasticsearch 里创建 logstash-%{+YYYY.MM.dd} 索引,如果需要修改,那么可以在 output 里通过 index 指令设置,不过需要注意的是,需要在 Kibana 里创建新索引(Management -> Index Patterns -> Add New)

其中,input 通过 5044 端口接收 Filebeat 发送的数据,output 把分析后的数据发送到远端 elasticsearch 的 9200 端口,难点在于 filter 的编写,下面以 nginx 日志为例来说明,缺省情况下,nginx 包含了 combined 的日志格式,也就是:

log_format combined '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';

不过我们通常还关心响应时间,所以我们多记录一个 $upstream_response_time:

log_format logstash '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    '$upstream_response_time';

在 filter 中又属 grok 最难懂,不过有很多例子,其中也包含了 COMBINED 正则,再配上 debug 工具,并不难搞定,如果有问题可以把 input,output 改成调试模式来纠错:

input{
  stdin {}
}

output {
  stdout { codec => rubydebug }
}

如果出现 grok 不解析 HTTPD_COMBINEDLOG 的情况,那么可以用 COMBINEDAPACHELOG 替换。以我的环境为例,缺省情况下包含的匹配模式都被放到目录:vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.0.2/patterns 里,你也可以通过 patterns_dir 来扩展它。

其它诸如 kvurldecodedate 等等的说明,参考官方文档即可。不过其中有一个不易察觉的问题需要说明一下,那就是在 kv 切割字段后,缺省会统统识别为 string 类型,比如  uid=123&foo=bar 在被 kv 处理后,uid 也会被当作 string,而不是我们希望的 integer,虽然我们可以通过加入 mutate 来强制转换,不过字段往往是动态的,硬编码不灵活,这里面有一个小技巧,那就是利用 elasticsearch 的 numeric_detection 功能来自动检测,篇幅所限,具体就不展开了,大家有一个印象即可。

第四步:安装 Filebeat

有很多种 Beat,比如 PacketbeatWinlogbeatMetricbeat,因为我们是通过 Nginx 日志来收集数据,所以我们选择的是 Filebeat,配置文件 /etc/filebeat/filebeat.yml大致如下:

filebeat.prospectors:

- input_type: log
  paths:
    - /path/to/nginx/logstash/format/log/file

output.logstash:
  hosts: ["<HOST>:5044"]

在我们安装 ELK 的过程中,都是使用手动启动服务的方式,不过需要说明的是 ELK 都是内存消耗大户,保不齐就会出现 OOM 之类的意外情况,所以推荐用 supervisor 管理:

[program:elasticsearch]
command=/usr/local/elasticsearch/bin/elasticsearch
numprocs=1
autostart=true
autorestart=true
user=elastic

[program:logstash]
command=/usr/local/logstash/bin/logstash -f /path/to/logstash.conf
numprocs=1
autostart=true
autorestart=true
user= elastic

[program:kibana]
command=/usr/local/kibana/bin/kibana
numprocs=1
autostart=true
autorestart=true
user= elastic

如此,一个基本可用的 ElasticStack 就算是配置好了,理论上 ELK 三部分都是可以水平扩展的,如果性能有问题,一般加节点就行了,下面给一个实际的日志统计图表:

TIME

TIME

通过分析日志里的 $upstream_response_time 数据,我们可以把响应时间分割到多个区间里:90%,95%,99%,如此比单纯取全体平均值更合理。

此外,ElasticStack 缺省就支持地图功能,我们可以在 Logstash 的 filter 里设置:

geoip {
    source => "IP Field Name"
}

然后在 Kibana 里加 tilemap 图表即可(如下图:杭州有人再狂刷页面,嗷嗷红):

Tile Map

Tile Map

需要说明的是,缺省地图是英文的,可以在 Kibana 里设置成高德的 tilemap 地址:

tilemap.url: "http://webrd01.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=8&x={x}&y={y}&z={z}"

另外需要注意 x-pack 的授权一个月后会过期,此时查看 kibana 会显示:

Login is disabled because your license has expired. Please extend your license or disable Security in Elasticsearch.

此时可以重新获取一个授权,比如免费版授权,但是功能有阉割。更新授权的时候,可能会发现更新不会被确认,这是因为需要加上 acknowledge=true 参数。使用免费授权的后遗症就是基本的安全性没有了,可以用 Nginx 代理做一个 HTTP Basic 认证来弥补:

upstream kibana {
    server <IP>:5601;
}

server {
    listen 80;
    server_name <DOMAIN>;

    location / {
        auth_basic "kibana";
        auth_basic_user_file /path/to/password/file;
        proxy_pass http://kibana;
    }
}

说明:用 htpasswd -c <FILE> <USER> 命令生成密码文件,它隶属于 httpd-tools。

结束前再提醒一下大家,如果是按日期索引的日志,那么最好定期清除旧索引:

shell> curl -XDELETE -u <USER>:<PASSWORD>
       http://<HOST>:9200/logstash-$(date -d '-10days' +'%Y.%m.%d')

最后,推荐一本 ElasticStack 方面极佳的电子书:ELKstack 中文指南

发表评论

电子邮件地址不会被公开。 必填项已用*标注