DevOps知识中心
DevOps知识中心

ELK Stack 集成:同步 Logstash、Elasticsearch 和 Kibana

掌握 ELK Stack 集成,通过同步 Logstash、Elasticsearch 和 Kibana。本实用指南详细介绍了最佳配置设置,以实现无缝数据流,从 Logstash 的摄取和处理到 Elasticsearch 的索引和 Kibana 的可视化。学习输入、过滤和输出插件、索引模板和 Kibana 索引模式的最佳实践,以构建强大而高效的日志记录管道。对常见问题进行故障排除,并确保为您的数据分析需求提供最佳性能。

48 浏览量

ELK Stack 集成:同步 Logstash、Elasticsearch 和 Kibana

引言

ELK Stack,由 Elasticsearch、Logstash 和 Kibana 组成,是一个强大的开源平台,用于日志聚合、分析和可视化。有效集成这些组件对于构建强大而高效的数据管道至关重要。本文提供了一个关于同步 ELK Stack 的实用指南,重点关注最佳配置设置,以确保数据从 Logstash 输入平稳地流经 Elasticsearch 索引,最终到达 Kibana 进行可视化。了解这些配置将帮助您构建一个可靠的系统,用于监控、故障排除和从数据中获取洞察。

本指南假设您对每个组件有基本了解:Logstash 用于数据摄取和处理,Elasticsearch 作为搜索和分析引擎,Kibana 作为可视化层。我们将深入探讨每个组件的关键配置方面,突出组件间通信和数据处理的最佳实践,以避免常见陷阱并最大限度地提高性能。

理解数据流

在深入研究配置之前,必须掌握 ELK Stack 中典型的数据流:

  1. Logstash: 从各种来源(日志、指标、Web 应用程序)收集数据,解析和转换数据,然后将其发送到指定的输出。这是数据管道的入口点。
  2. Elasticsearch: 接收来自 Logstash 的数据,对其进行索引以实现快速搜索,并存储数据。它充当中央数据存储库和搜索引擎。
  3. Kibana: 连接到 Elasticsearch,通过仪表板、图表、图形和表格来可视化索引数据。它是您了解数据的窗口。

每个组件都扮演着至关重要的角色,它们的有效集成依赖于每个阶段的正确配置。

Logstash 配置以实现最佳数据流

Logstash 是数据摄取和转换的工作主力。其配置决定了数据如何进入 ELK Stack 及其初始状态。关键配置区域包括输入、过滤和输出插件。

输入插件

Logstash 支持大量的输入插件,可以从各种数据源收集数据。选择正确的输入插件并正确配置它是第一步。

常见输入插件:
* beats 理想情况下用于接收来自 Filebeat 的数据,Filebeat 有效地跟踪日志文件并转发它们。这通常是日志转发的首选方法。
* tcp / udp 用于通过网络协议接收数据。
* file 直接从文件读取数据(在生产环境中不如 beats 常见)。
* syslog 用于收集 syslog 消息。

示例 beats 输入配置:

input {
  beats {
    port => 5044
    ssl => true # 生产环境推荐
    ssl_certificate => "/etc/pki/tls/certs/logstash.crt"
    ssl_key => "/etc/pki/tls/private/logstash.key"
  }
}

输入配置技巧:
* port 确保端口已打开且可访问。
* ssl 在生产环境中始终启用 SSL/TLS,以确保传输中的数据安全。
* codec 如果您的输入数据已经是 JSON 格式,请考虑使用 json 编解码器以实现高效解析。

过滤插件

过滤器用于解析、丰富和转换传入的事件。此阶段对于在数据进入 Elasticsearch 之前对其进行结构化至关重要。

常见过滤插件:
* grok 使用模式匹配将非结构化日志数据解析为字段。这对使日志数据可搜索至关重要。
* mutate 修改事件字段(重命名、删除、替换、转换数据类型)。
* date 解析日期/时间字符串并设置事件的 @timestamp 字段。
* geoip 根据 IP 地址添加地理位置信息。

示例 grokdate 过滤器配置:

filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
    match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
  mutate {
    remove_field => [ "message" ] # 如果解析后的字段足够,则删除原始消息
  }
}

过滤器配置技巧:
* 顺序很重要: 过滤器按顺序处理。确保您的解析过滤器(如 grok)在转换或富集过滤器之前运行。
* 测试 Grok 模式: 使用 Grok Debugger 等工具根据示例日志行验证您的模式。
* 高效的字段管理: 使用 mutate 删除不必要的字段,以减少索引开销。

输出插件

输出插件决定 Logstash 将处理过的数据发送到何处。对于 ELK Stack,Elasticsearch 输出至关重要。

常见输出插件:
* elasticsearch 将事件发送到 Elasticsearch 集群。
* stdout 将事件输出到控制台(对调试有用)。

示例 elasticsearch 输出配置:

output {
  elasticsearch {
    hosts => ["http://elasticsearch-node1:9200", "http://elasticsearch-node2:9200"]
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" # 动态索引命名
    manage_template => false # 如果首选,让 Kibana 管理索引模板
  }
}

输出配置技巧:
* hosts 列出所有 Elasticsearch 节点以实现高可用性。
* index 使用动态索引命名(例如,按日期)来管理数据保留和性能。避免使用单个、庞大的索引。
* template 如果 manage_templatetrue,Logstash 将尝试创建或更新索引模板。通常最好直接在 Elasticsearch 或通过 Kibana 中管理模板。
* pipeline 对于大规模部署,请考虑使用 Elasticsearch ingest 管道进行服务器端处理,而不是完全依赖 Logstash 过滤器。

Elasticsearch 配置以实现无缝索引

Elasticsearch 是 ELK Stack 的核心。正确的配置可确保高效的数据存储、索引和检索。

索引模板

索引模板定义了自动应用于新索引的设置和映射。这对于确保一致的数据类型和搜索行为至关重要。

索引模板的关键方面:
* 映射(Mappings): 定义字段的数据类型(例如,keywordtextdatelong)。正确的映射对于准确的搜索和聚合至关重要。
* 设置(Settings): 配置分片数量、副本数量和分析设置。

示例索引模板(通过 Kibana Dev Tools 或 API):

PUT _template/my_log_template
{
  "index_patterns": ["my-logs-*"],
  "settings": {
    "number_of_shards": 1,
    "number_of_replicas": 1
  },
  "mappings": {
    "properties": {
      "@timestamp": {"type": "date"},
      "message": {"type": "text"},
      "host": {"type": "keyword"},
      "level": {"type": "keyword"},
      "response": {"type": "long"}
    }
  }
}

索引模板配置技巧:
* index_patterns 确保此模式与 Logstash 输出生成的索引名称匹配。
* number_of_shardsnumber_of_replicas 根据您的集群大小和预期数据量调整这些设置。对于较小的数据集,先使用较少的分片,然后根据需要扩展。
* mappings 为将用于精确匹配或聚合的字段(如主机名、状态码)定义 keyword,为将执行全文搜索的字段(如日志消息)定义 text

集群和节点设置

对于生产环境,请考虑 Elasticsearch 的集群级别设置和节点配置。

  • 堆大小(Heap Size): 为 Elasticsearch 节点分配足够的 JVM 堆内存(通常为可用 RAM 的 50%,但不超过 30-32GB)。
  • 分片策略(Sharding Strategy): 仔细规划您的分片策略。过多的、小的索引或分片会降低性能,而过少的大分片会阻碍并行化。
  • 复制(Replication): 配置适当的副本计数以实现高可用性和读取性能。

Kibana 配置以实现可视化

Kibana 是您与数据交互的地方。将其连接到 Elasticsearch 并配置索引模式是关键。

索引模式

Kibana 使用索引模式来定义它应该查询哪些 Elasticsearch 索引。您需要创建一个与 Logstash 输出中使用的命名约定相匹配的索引模式。

在 Kibana 中创建索引模式的步骤:
1. 导航到 管理 -> 堆栈管理 -> Kibana -> 索引模式
2. 点击 创建索引模式
3. 输入您的索引模式(例如 my-logs-*)。Kibana 将显示匹配的索引。
4. 选择您的时间字段(通常是 @timestamp)。
5. 点击 创建索引模式

仪表板和可视化

设置好索引模式后,您就可以开始创建可视化(条形图、折线图、饼图、数据表)并将它们组装成仪表板。

最佳实践:
* 从小处着手: 从基本指标和日志开始。
* 使用过滤: 利用 Kibana 的过滤器来缩小数据范围以进行特定分析。
* 优化查询: 注意 Kibana 生成的查询。对大时间范围的复杂聚合可能会影响 Elasticsearch 性能。
* 考虑索引生命周期管理 (ILM): 在 Elasticsearch 中使用 ILM 根据年龄或大小自动管理索引(例如,滚动、收缩、删除),这也有助于 Kibana 性能,因为它使索引保持在可管理范围内。

故障排除常见集成问题

数据未显示在 Kibana 中

  • 检查 Logstash: 验证 Logstash 是否正在运行,并且其日志(/var/log/logstash/logstash-plain.log)中没有错误。
  • 检查 Elasticsearch 连接性: 确保 Logstash 可以访问您的 Elasticsearch 节点(检查 elasticsearch 输出配置和防火墙规则)。
  • 检查索引模式: 验证您的 Kibana 索引模式是否与 Elasticsearch 索引名称匹配。检查索引是否已在 Elasticsearch 中创建(GET _cat/indices?v)。
  • 检查 Elasticsearch 日志: 查看 Elasticsearch 日志(/var/log/elasticsearch/elasticsearch.log)中是否有任何错误。

Logstash CPU/内存使用率高

  • 低效的过滤器: 复杂的 grok 模式或过多的过滤器会消耗大量资源。优化您的过滤器或考虑将部分处理转移到 Elasticsearch ingest 管道。
  • 资源不足: 确保为 Logstash 分配了足够的 CPU 和 RAM。
  • Java 选项: 如果作为服务运行,请调整 Logstash 的 JVM 堆大小。

Kibana 查询缓慢

  • 映射问题: Elasticsearch 映射中不正确的数据类型会导致查询缓慢。确保字段映射正确(例如,keyword vs. text)。
  • 大型索引: 具有大量分片的非常大的索引会影响性能。考虑实施 ILM 和滚动。
  • 低效的可视化: 过度复杂的聚合或跨越巨大时间范围的查询会很慢。优化您的 Kibana 仪表板。
  • Elasticsearch 资源不足: 确保您的 Elasticsearch 集群拥有足够的资源(CPU、RAM、磁盘 I/O)。

结论

Logstash、Elasticsearch 和 Kibana 的无缝集成是有效日志管理和数据分析的基础步骤。通过仔细配置 Logstash 的输入、过滤器和输出,优化 Elasticsearch 索引模板和集群设置,以及正确设置 Kibana 索引模式,您可以构建一个健壮且高性能的 ELK Stack。定期审查您的配置,监控集群的健康状况,并利用提供的故障排除技巧来保持数据流的顺畅,并从您的数据中获得最大价值。

后续步骤:
* 探索高级 Logstash 过滤器和 Elasticsearch 分析器。
* 实施索引生命周期管理 (ILM) 以实现自动化索引管理。
* 使用 X-Pack 安全功能保护您的 ELK Stack。
* 根据您的特定工作负载和集群大小微调性能。