技术中心2018.12.17ELK日志系统使用指南目录1KIBANA介绍2KIBANA日志查询及图表功能3KIBANA告警设置4ELK日志收集配置目录2KIBANA日志查询及图表功能3KIBANA告警设置4ELK日志收集配置1KIBANA介绍KIBANA介绍Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看、交互存放在Elasticsearch索引里的数据,使用各种不同的图表、表格、地图等kibana能够很轻易地展示高级数据分析与可视化。Kibana让我们理解大量数据变得很容易。它简单、基于浏览器的接口使你能快速创建和分享实时展现Elasticsearch查询变化的动态仪表盘。安装Kibana非常快,你可以在几分钟之内安装和开始探索你的Elasticsearch索引数据—-—-不需要写任何代码,没有其他基础软件依赖。KIBANA介绍0102030405060708Elasticsearch无缝之集成数据发现与可视化复杂数据分析让更多团队成员受益接口灵活,分享更容易可视化多数据源配置简单简单数据导出特性Kibana为Es定制,可以将任何结构化和非结构化数据加入Es索引。Kibana还充分利用了Es强大的搜索和分析功能。Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图。Kibana提升了Es分析能力,能够更加智能地分析数据,执行数学转换并且根据要求对数据切割分块。强大的数据库可视化接口让各业务岗位都能够从数据集合受益。。使用Kibana可以更加方便地创建、保存、分享数据,并将可视化数据快速交流。Kibana可以非常方便地把来自Logstash、Beats或第三方技术的数据整合到Es。Kibana可以方便地导出感兴趣的数据,与其它数据集合并融合后快速建模分析,发现新结果。Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。目录1KIBANA介绍3KIBANA告警设置4ELK日志收集配置2KIBANA日志查询及图表功能KIBANA日志查询及图表功能日志查询KIBANA日志查询及图表功能日志查询KIBANA日志查询及图表功能图表功能KIBANA日志查询及图表功能图表功能——PIE以状态码分布图为例:选择需要建报表的日志来源KIBANA日志查询及图表功能图表功能——PIEKIBANA日志查询及图表功能图表功能——LINE以平均响应时间为例:获取时间段内各状态码的平均响应时间KIBANA日志查询及图表功能图表功能——LINEKIBANA日志查询及图表功能图表功能——AREA以响应时间为例:统计接口响应时间KIBANA日志查询及图表功能图表功能——AREAKIBANA日志查询及图表功能图表功能——VerticalBar以日志展示为例:KIBANA日志查询及图表功能图表功能——DataTable以统计URL的TOP99为例:KIBANA日志查询及图表功能图表功能——Metric以统计请求失败总数及IP为例:KIBANA日志查询及图表功能日志仪表盘——Dashboard鉴于建好的各种图表,为了方便查看,我们将之合并到Dashboard(仪表盘)中:KIBANA日志查询及图表功能日志仪表盘——Dashboard鉴于建好的各种图表,为了方便查看,我们将之合并到Dashboard(仪表盘)中:KIBANA日志查询及图表功能日志仪表盘——Dashboard目录1KIBANA介绍2KIBANA日志查询及图表功能4ELK日志收集配置3KIBANA告警设置KIBANA告警设置告警告警作用:当系统发生不可用或者服务超时,而系统日志并不一定有开发同事时时监测的情况下,可以立即分析并解决问题,保证系统的可用性。WATCHER插件实现了该功能,它支持的Action类型有四种:EMail(邮件),Webhook(第三方对接),Index(索引),Logging(日志记录)。其中Email与Webhook是常用类型;KIBANA告警设置Email告警KIBANA告警设置Webhook告警——SMS目录1KIBANA介绍2KIBANA日志查询及图表功能3KIBANA告警设置4ELK日志收集配置ELK日志收集配置业务系统日志传输——FilebeatFilebeat是一个开源的文件收集器,主要用于获取日志文件,并把它们发送到logstash或elasticsearch。实现原理:当开启filebeat程序的时候,它会启动一个或多个探测器(prospectors)去检测指定的日志目录或文件,对于探测器找出的每一个日志文件,filebeat启动收割进程(harvester),每一个收割进程读取一个日志文件的新内容,并发送这些新的日志数据到处理程序(spooler),处理程序会集合这些事件,最后filebeat会发送集合的数据到你指定的地点。ELK日志收集配置业务系统日志传输——Filebeat在需要收集日志的业务系统服务器上安装Filebeat,配置fielebeat.yml文件,启动Filebeat即可。ELK日志收集配置业务系统日志传输——Filebeatfielebeat.yml配置文件中的证书生成命令如下:mkdir-ppki/tls/certsmkdir-ppki/tls/privateopensslreq-subj‘/CN=服务器IP/'-x509-days$((100*365))-batch-nodes-newkeyrsa:2048-keyoutpki/tls/private/filebeat.key-outpki/tls/certs/filebeat.crtELK日志收集配置业务系统日志传输——Filebeat启动filebeat,如报以下错误cannotvalidatecertificatefor10.10.11.109becauseitdoesn‘tcontainanyIPSANs,解决办法如下:删除之前产生的证书,对openssl进行重新配置找到openssl.cnf文件,对该文件进行编辑,找到[v3_ca]加入下边一行:subjectAltName=IP:这里写ip地址重新生成证书,进行copy配置即可ELK日志收集配置ELK——Logstashssl:true表示开启Logstash的SSL/TLS安全通信功能;ssl_certificate_authorities:配置Logstash使其信任所有由该CA证书发行的证书;ssl_certificate&ssl_key:Logstashserver证书和key文件。Logstash使用它们向Filebeatclient证明自己的可信身份;ssl_verify_mode:表明Logstashserver是否验证Filebeatclient证书。有效值有peer或force_peer。如果是force_peer,表示如果Filebeat没有提供证书,Logstashserver就会关闭连接。1、定义数据源ELK日志收集配置ELK——Logstash2、定义数据的格式ELK日志收集配置ELK——Logstash3、输出谢谢Thankyouforwatching技术中心