ELK+Filebeat+Kafka+ZooKeeper构建大数据日志分析平台

原创 已于 2024-12-31 15:58:20 修改 · 1.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #kafka #zookeeper

于 2024-12-31 15:45:43 首次发布

ELK+Filebeat+Kafka+ZooKeeper构建大数据日志分析平台安装包

主机规划
主机名 IP地址 角色 操作系统 硬件配置
filebeat 192.168.10.100 业务服务器+Filebeat CentOS 7 2 Core/4G Memory
kz01 192.168.10.101 Kafka+ZooKeeper CentOS 7 2 Core/4G Memory
kz02 192.168.10.102 Kafka+ZooKeeper CentOS 7 2 Core/4G Memory
kz03 192.168.10.103 Kafka+ZooKeeper CentOS 7 2 Core/4G Memory
logstash 192.168.10.104 日志转发 CentOS 7 1 Core/2G Memory
ek01 192.168.10.105 ES Master+Kibana CentOS 7 1 Core/2G Memory
ek02 192.168.10.106 ES Master+ES DataNode CentOS 7 1 Core/2G Memory
ek03 192.168.10.107 ES Master+ES DataNode CentOS 7 1 Core/2G Memory
设置主机名
[root@localhost ~]# hostnamectl set-hostname filebeat
[root@localhost ~]# exit
登出

Connection closed by foreign host.

Disconnected from remote host(测试机 - 203) at 09:49:26.
安装JDK环境
# 除filebeat服务器外均需安装
[root@ek01 ~]# tar zxvf jdk-8u161-linux-x64.tar.gz -C /usr/local/
[root@ek01 ~]# cd /usr/local/
[root@ek01 local]# mv jdk1.8.0_161 jdk
[root@ek01 local]# vim /etc/profile
export JAVA_HOME=/usr/local/jdk
export PATH=$PATH:$JAVA_HOME/bin
[root@ek01 local]# source /etc/profile
[root@ek01 local]# java -version
java version "1.8.0_161"
Java(TM) SE Runtime Environment (build 1.8.0_161-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.161-b12, mixed mode)
Elasticsearch

解压Elasticsearch安装包

[root@ek01 ~]# ls
anaconda-ks.cfg  elasticsearch-6.7.2.tar.gz  jdk-8u161-linux-x64.tar.gz  kibana-6.7.2-linux-x86_64.tar.gz  sysconfigure.sh
[root@ek01 ~]# tar zxvf elasticsearch-6.7.2.tar.gz -C /usr/local/
[root@ek01 ~]# cd /usr/local/
[root@ek01 local]# mv elasticsearch-6.7.2 elasticsearch

创建Elasticsearch专用用户

[root@ek01 local]# cd /usr/local/elasticsearch/
[root@ek01 elasticsearch]# useradd elasticsearch
[root@ek01 elasticsearch]# chown -R elasticsearch:elasticsearch /usr/local/elasticsearch
[root@ek01 elasticsearch]# ll
总用量 460
drwxr-xr-x  3 elasticsearch elasticsearch   4096 1227 16:31 bin
drwxr-xr-x  2 elasticsearch elasticsearch    148 429 2019 config
drwxr-xr-x  3 elasticsearch elasticsearch   4096 429 2019 lib
-rw-r--r--  1 elasticsearch elasticsearch  13675 429 2019 LICENSE.txt
drwxr-xr-x  2 elasticsearch elasticsearch      6 429 2019 logs
drwxr-xr-x 31 elasticsearch elasticsearch   4096 429 2019 modules
-rw-r--r--  1 elasticsearch elasticsearch 427502 429 2019 NOTICE.txt
drwxr-xr-x  2 elasticsearch elasticsearch      6 429 2019 plugins
-rw-r--r--  1 elasticsearch elasticsearch   8519 429 2019 README.textile

操作系统调优

[root@ek01 elasticsearch]# vim /etc/sysctl.conf
fs.file-max=655360
vm.max_map_count=262144

[root@ek01 elasticsearch]# vim /etc/security/limits.conf
* soft nofile 655350   #软限制
* hard nofile 655350   #硬限制
* soft nproc 204800
* hard nproc 204800
* soft memlock unlimited
* hard memlock unlimited

[root@ek01 elasticsearch]# vim /etc/security/limits.d/20-nproc.conf
*          soft    nproc     40960
root       soft    nproc     unlimited

[root@ek01 elasticsearch]# sysctl -p
net.ipv4.tcp_syncookies = 1             #防范SYN洪水攻击,0为关闭
net.ipv4.tcp_max_tw_buckets = 20480     #此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死
net.ipv4.tcp_max_syn_backlog = 20480    #表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数
net.core.netdev_max_backlog = 262144    #每个网络接口 接受数据包的速率比内核处理这些包的速率快时,允许发送到队列的数据包的最大数目
net.ipv4.tcp_fin_timeout = 20           #FIN-WAIT-2状态的超时时间,避免内核崩溃
fs.file-max = 655360
vm.max_map_count = 262144

[root@ek01 elasticsearch]# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 15633
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65535
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 15633
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

[root@ek01 elasticsearch]# exit
登出

[root@ek01 ~]# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 15633
max locked memory       (kbytes, -l) unlimited
max memory size         (kbytes, -m) unlimited
open files                      (-n) 655350
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 204800
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

JVM调优

# 当前服务器仅作为elasticsearch使用时,内存参数最优设置为服务器内存的一半
[root@ek01 ~]# cd /usr/local/elasticsearch/config/
[root@ek01 config]# vim jvm.options
-Xms2g
-Xmx2g

配置elasticsearch集群,除此处配置外,其他Elasticsearch节点均相同

[root@ek01 config]# vim elasticsearch.yml
# 集群名称
cluster.name: elkbigdata
# 当前节点名称
node.name: server1
# 是否可被选择为master
node.master: true
# 是否为数据节点
node.data: true
# 数据存储位置,可指定多个存储位置
path.data: /data1/elasticsearch,/data2/elasticsearch
# 日志位置
path.logs: /usr/local/elasticsearch/logs
# 使用物理内存,不使用swap内存
bootstrap.memory_lock: true
network.host: 0.0.0.0
# http服务端口
http.port: 9200
# 最小主节点数
discovery.zen.minimum_master_nodes: 1
# master节点列表
discovery.zen.ping.unicast.hosts: ["192.168.10.105:9300","192.168.10.106:9300"]

[root@ek02 config]# vim elasticsearch.yml
# 集群名称
cluster.name: elkbigdata
# 当前节点名称
node.name: server2
# 是否可被选择为master
node.master: true
# 是否为数据节点
node.data: true
# 数据存储位置,可指定多个存储位置
path.data: /data1/elasticsearch,/data2/elasticsearch
# 日志位置
path.logs: /usr/local/elasticsearch/logs
# 使用物理内存,不使用swap内存
bootstrap.memory_lock: true
network.host: 0.0.0.0
# http服务端口
http.port: 9200
# 最小主节点数
discovery.zen.minimum_master_nodes: 1
# master节点列表
discovery.zen.ping.unicast.hosts: ["192.168.10.105:9300","192.168.10.106:9300"]

[root@ek03 config]# vim elasticsearch.yml
# 集群名称
cluster.name: elkbigdata
# 当前节点名称
node.name: server3
# 是否可被选择为master
node.master: true
# 是否为数据节点
node.data: true
# 数据存储位置,可指定多个存储位置
path.data: /data1/elasticsearch,/data2/elasticsearch
# 日志位置
path.logs: /usr/local/elasticsearch/logs
# 使用物理内存,不使用swap内存
bootstrap.memory_lock: true
network.host: 0.0.0.0
# http服务端口
http.port: 9200
# 最小主节点数
discovery.zen.minimum_master_nodes: 1
# master节点列表
discovery.zen.ping.unicast.hosts: ["192.168.10.105:9300","192.168.10.106:9300"]

创建数据存储目录

[root@ek01 config]# mkdir -p /data1/elasticsearch
[root@ek01 config
最低0.47元/天 解锁文章

200万优质内容无限畅学
ELK+Filebeat+Kafka+ZooKeeper+Grafana大数据日志收集与分析平台
悦分享
09-12 985
ElasticSearch是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析,有点像hdfs。采用Java语言编写,可以实现数据内容存储、检索、排序、查询、报表统计、生成等功能,日志的分析以及存储全部由ElasticSearch完成。目前,最新的版本是Elasticsearch 6.3.2,它的主要特点如下:1)实时搜索,实时分析;2)分布式架构、实时文件存储,并将每一个字段都编入索引;3) 文档导向,所有的对象全部是文档;
ELK+Filebeat+kafka+zookeeper构建海量日志分析平台
2301_76774698的博客
06-21 1412
ELK 是ElasticSearch开源生态中提供的一套完整日志收集、分析以及展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash 和 Kibana。除此之外,FileBeat也是目前使用较多的日志收集软件,相对于Logstash更加轻量级占用资源更少。ElasticSearch ,它是一个近实时(NRT)的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。
构建ELK+Filebeat+kafka+zookeeper大数据日志分析平台
虫虫的博客
03-29 1393
构建ELK+Filebeat+kafka+zookeeper大数据日志分析平台
ELK+Filebeat+Kafka+Zookeeper构建大数据日志分析平台
男儿当自强
04-13 381
架构运行过程:在需要采集日志的服务上部署filebeatfilebeat将采集到的数据output到kafka,logstash在kafka上消费数据进行转换,output数据到elasticsearch,进行数据搜索和分析,kibana对elasticsearch中数据做可视化。 ...
ELK+Filebeat+Kafka+Zookeeper构建大数据日志分析平台
码云仓库地址:https://gitee.com/lance-gyq
04-19 1944
安装并配置Filebeat Filebeatfilebeat比较 Logstash缺点: 依赖java、在数据量大的时候,Logstash进程会消耗过多的系统资源, 严重影响业务系统的性能 filebeat优点: 基于Go语言,没有任何依赖 配置文件简单,格式明了 filebeat比logstash更加轻量级 所以占用系统资源极少,非常适合安装在生产机器上。 1、解压安装Filebeat到指定目录 [root@filebeatserver ~]# tar -zxvf f..
ELK+Filebeat+Kafka+Zookeeper安装部署
qq_63926306的博客
03-15 946
本文详细讲解如何在三节点集群中部署ZooKeeperKafka分布式系统,并集成Filebeat实现Nginx日志实时采集。内容涵盖:ZooKeeper集群搭建:包括安装、配置文件优化、节点ID分配及状态监控;​Kafka集群配置:环境变量设置、Topic管理(创建/查看/删除)、生产者与消费者测试;​数据采集实战:通过Filebeat收集Nginx结构化日志并推送至Kafka,支持高吞吐量数据处理;​全流程验证:从日志格式化到Kafka消息收发,确保数据链路畅通。适用于需要构建实时日志分析消息队列分布式
ELK+Filebeat+Kafka+Zookeeper
我要成为运维大佬
07-08 664
【代码】ELK+Filebeat+Kafka+Zookeeper
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
wwwu1998的博客
07-14 1160
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
【Linux】ELK+Filebeat+Kafka+Zookeeper构建海量日志分析平台
ufihsgnawoaix的博客
04-07 1916
搭建日志分析平台
ELK+Filebeat+Kafka+ZooKeeper构建大数据日志分析平台6.7.2安装包
12-31
整体来看,ELK Stack配合FilebeatKafkaZooKeeper,能够构建一个高效、稳定且扩展性强的大数据日志分析平台。该平台不仅能够处理大规模数据,还能提供实时搜索、强大的数据分析以及直观的可视化展示,对于任何...
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
基于ELK Stack的实时日志分析与智能告警实践指南
qq_35716689的博客
08-02 684
本文分享了在生产环境中基于ELK Stack搭建实时日志分析与智能告警平台的完整实战经验,包括日志采集、存储管理、可视化与告警、自动化运维等关键技术环节,并总结了常见问题与最佳实践,助力运维和开发团队快速响应故障,提高系统可靠性。
elk快速部署、集成、调优
core815的专栏
08-03 586
elk快速部署、集成、调优
K8S部署ELK(二):部署Kafka消息队列
weixin_74812406的博客
08-02 779
K8S部署ELK(二):部署Kafka消息队列
K8S部署ELK(五):集成Kibana实现日志可视化
weixin_74812406的博客
08-03 641
Kibana 是一个开源的数据可视化和分析平台,是 Elastic Stack(原 ELK Stack)的核心组件之一,专门设计用于与 Elasticsearch 协同工作。
日志管理工具 ——ELK Stack
ececec12的博客
08-01 1486
ELKStack(Elastic Stack)是一套开源的日志管理解决方案,由Elasticsearch、Logstash、Kibana和Beats组成。它支持日志的收集、存储、分析和可视化,具有分布式架构、实时处理、全文检索等核心特性。本文详细介绍了ELKStack的安装部署、核心配置、安全设置及实战案例,包括Nginx日志分析和应用日志集中管理。同时提供了性能优化建议和与Kubernetes、Prometheus等工具的集成方法。最佳实践部分强调了安全部署、数据管理和监控告警的重要性。ELKStack作
ELK实践指南
Java小白的博客 致力分享每一天学到的知识
08-01 493
和。它在企业级日志管理、监控告警、数据分析等场景中被广泛应用。
K8S部署ELK(一):部署Filebeat日志收集器
weixin_74812406的博客
08-02 792
K8S部署ELK(一):部署Filebeat日志收集器
八股——Kafka相关
最新发布
wuxuanok的博客
08-04 557
消息队列核心作用与Kafka架构解析 摘要: 消息队列主要实现系统解耦、异步通信和流量削峰三大功能。Kafka作为高性能消息队列,其集群架构包含生产者、Broker集群(含Leader/Follower副本)和消费者组。Kafka通过分区顺序I/O、零拷贝技术和页缓存优化实现超高吞吐,根本原因在于其仅进行两次数据拷贝(优于RocketMQ的三次)。消息可靠性通过生产者ACK确认、Broker副本同步和消费者手动提交三重保障。顺序消费则需依赖分区机制,通过相同Key确保消息进入同一分区,并由单线程消费该分区实
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
"基于ELK+Filebeat+Kafka+ZooKeeper的海量日志分析平台,用于日志集中管理、快速查询、问题定位及故障解决。通过分析日志,可提升用户响应速度,构建用户画像,实现精准营销。" 在IT领域,日志分析系统是监控和诊断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值