百度站长快速收录,手机网站开发培训,百度开户怎么开,wordpress 搜索目录ELK 概述
ELK 介绍
什么是 ELK
早期IT架构中的系统和应用的日志分散在不同的主机和文件#xff0c;如果应用出现问题#xff0c;开发和运维人员想排 查原因#xff0c;就要先找到相应的主机上的日志文件再进行查找和分析#xff0c;所以非常不方便#xff0c;而且还涉及…ELK 概述
ELK 介绍
什么是 ELK
早期IT架构中的系统和应用的日志分散在不同的主机和文件如果应用出现问题开发和运维人员想排 查原因就要先找到相应的主机上的日志文件再进行查找和分析所以非常不方便而且还涉及到权限 安全问题ELK的出现就很好的解决这一问题
ELK 是由一家 Elastic 公司开发的三个开源项目的首字母缩写即是三个相关的项目组成的系统 Elasticsearch索引是什么? Elasticsearch 索引指相互关联的文档集合。Elasticsearch 会以 JSON 文档的形式存储数据。每个文档都会在一组鏈(字段或属性的名称)和它们对应的值(字符串、数字、布尔值、日期、数值组、地理位置或其他类型的数据)之间建立联系。 Elasticsearch 使用的是一种名为倒排索引的数据结构这一结构的设计可以允许十分快速地进行全文本搜索。倒排索引会列出在所有文档中出现的每个特有词汇并且可以找到包含每个词汇的全部文档。 在索引过程中Elasticsearch 会存储文档并构建倒排索引这样用户便可以近实时地对文档数据进行搜索。索引过程是在索引 API 中启动的通过此 API您既可向特定索引中添加 JSON 文档也可更改特定索引中的 JSON 文档。 Logstash 的用途是什么? Logstash 是 Elastic Stack 的核心产品之一可用来对数据进行聚合和处理并将数据发送到 Elasticsearch。Logstash 是一个开源的服务器端数据处理管道允许您在将数据索引到 Elasticsearch 之前同时从多个来源采集数据并对数据进行充实和转换。 Kibana的用途是什么? Kibana 是一款适用于 Elasticsearch 的数据可视化和管理工具可以提供实时的直方图、线形图、饼状图和地图。Kibana 同时还包括诸如 Canvas 和 Elastic Maps 等高级应用程序;Canvas 允许用户基于自身数据创建定制的动态信息图表而 Elastic Maps 则可用来对地理空间数据进行可视化。
这三个项目分别是Elasticsearch、Logstash 和 Kibana。三个项目各有不同的功能
Elasticsearch 是一个实时的全文搜索,存储库和分析引擎。Logstash 是数据处理的管道能够同时从多个来源采集数据转换数据然后将数据发送到诸如 Elasticsearch 等存储库中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。
之后又增加了许多新项目, 于是 从5.X版本后改名为Elastic Stack
Elastic Stack 是一套适用于数据采集、扩充、存储、分析和可视化的免费开源工具。
人们通常将 Elastic Stack 称为 ELK Stack代指 Elasticsearch、Logstash 和 Kibana
目前 Elastic Stack 包括一系列丰富的轻量型数据采集代理这些代理统称为 Beats可用来向 Elasticsearch 发送数据。
ELK 版本演进: 0.X,1.X,2,X,5.X,6,X,7.X,8.X …
官网 https://www.elastic.co/ ELK官方介绍https://www.elastic.co/cn/what-is/elk-stack ELK 下载链接https://www.elastic.co/cn/downloads/ ELK 说明: https://www.elastic.co/guide/cn/index.html ELK 权威指南: https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html
ELK stack的主要优点
功能强大Elasticsearch 是实时全文索引具有强大的搜索功能配置相对简单Elasticsearch 全部其于 JSONLogstash使用模块化配置Kibana的配置都比较简单。检索性能高效基于优秀的设计每次查询可以实时响应即使百亿级数据的查询也能达到秒级响应。集群线性扩展Elasticsearch 和 Logstash都可以灵活线性扩展前端操作方便Kibana提供了比较美观UI前端操作也比较简单
官方下载
https://www.elastic.co/cn/downloads/EFK 由ElasticSearch、Fluentd和Kibana三个开源工具组成。
Fluentd是一个实时开源的数据收集器,和logstash功能相似,这三款开源工具的组合为日志数据提供了分布式的实时搜集与分析的监控系统。
Fluentd官网和文档:
https://www.fluentd.org/
https://docs.fluentd.org/Elasticsearch
Elasticsearch 介绍 官方介绍
https://www.elastic.co/cn/what-is/elasticsearchhttps://db-engines.com/en/rankingElasticsearch 是一个分布式的免费开源搜索和分析引擎适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。Elasticsearch 在 Apache Lucene 的基础上开发而成由 Elasticsearch N.V.即现在的 Elastic于 2010 年首次发布。Elasticsearch 以其简单的 REST 风格 API、分布式特性、速度和可扩展性而闻名是 Elastic Stack 的核心组件
Elasticsearch 支持数据的实时全文搜索搜索、支持分布式和高可用、提供API接口可以处理大规模的各种日志数据的处理比如: Nginx、Tomcat、系统日志等功能。
Elasticsearch 基于 Java 语言开发利用全文搜索引擎 Apache Lucene 实现
为何使用 Elasticsearch
Elasticsearch 很快。由于 Elasticsearch 是在 Lucene 基础上构建而成的所以在全文本搜索方面 表现十分出色。Elasticsearch 同时还是一个近实时的搜索平台这意味着从文档索引操作到文档变 为可搜索状态之间的延时很短一般只有一秒。因此Elasticsearch 非常适用于对时间有严苛要求 的用例例如安全分析和基础设施监测。Elasticsearch 具有分布式的本质特征。Elasticsearch 中存储的文档分布在不同的容器中这些容 器称为分片可以进行复制以提供数据冗余副本以防发生硬件故障。Elasticsearch 的分布式特性 使得它可以扩展至数百台甚至数千台服务器并处理 PB 量级的数据。Elasticsearch 包含一系列广泛的功能。除了速度、可扩展性和弹性等优势以外Elasticsearch 还 有大量强大的内置功能例如数据汇总和索引生命周期管理可以方便用户更加高效地存储和搜 索数据。Elastic Stack 简化了数据采集、可视化和报告过程。通过与 Beats 和 Logstash 进行集成用户够在向 Elasticsearch 中索引数据之前轻松地处理数据。同时Kibana 不仅可针对 Elasticsearch数据提供实时可视化同时还提供 UI 以便用户快速访问应用程序性能监测 (APM)、日志和基础设 施指标等数据。
Elasticsearch 在速度和可扩展性方面都表现出色而且还能够索引多种类型的内容可用于多种场景
应用程序搜索网站搜索企业搜索日志处理和分析基础设施指标和容器监测应用程序性能监测地理空间数据分析和可视化安全分析业务分析
原理
原始数据会从多个来源包括日志、系统指标和网络应用程序输入到 Elasticsearch 中。数据采集指在 Elasticsearch 中进行索引之前解析、标准化并充实这些原始数据的过程。这些数据在 Elasticsearch 中 索引完成之后用户便可针对他们的数据运行复杂的查询并使用聚合来检索自身数据的复杂汇总。在 Kibana 中用户可以基于自己的数据创建强大的可视化分享仪表板并对 Elastic Stack 进行管理。
Elasticsearch 索引指相互关联的文档集合。Elasticsearch 会以 JSON 文档的形式存储数据。每个文档都 会在一组键字段或属性的名称和它们对应的值字符串、数字、布尔值、日期、数组、地理位置或 其他类型的数据之间建立联系。
Elasticsearch 使用的是一种名为倒排索引的数据结构这一结构的设计可以允许十分快速地进行全文本 搜索。倒排索引会列出在所有文档中出现的每个特有词汇并且可以找到包含每个词汇的全部文档。 在索引过程中Elasticsearch 会存储文档并构建倒排索引这样用户便可以近乎实时地对文档数据进行 搜索。索引过程是在索引 API 中启动的通过此 API 您既可向特定索引中添加 JSON 文档也可更改特 定索引中的 JSON 文档。
基本概念
Near Realtime(NRT) 几乎实时 Elasticsearch是一个几乎实时的搜索平台。意思是从索引一个文档到这个文档可被搜索只需要一点点 的延迟这个时间一般为毫秒级。
Cluster 集群 群集是一个或多个节点服务器的集合 这些节点共同保存整个数据并在所有节点上提供联合索引 和搜索功能。一个集群由一个唯一集群ID确定并指定一个集群名默认为“elasticsearch”。该集群 名非常重要因为节点可以通过这个集群名加入群集一个节点只能是群集的一部分。 确保在不同的环境中不要使用相同的群集名称否则可能会导致连接错误的群集节点。
Node 节点 节点是单个服务器实例它是群集的一部分可以存储数据并参与群集的索引和搜索功能。就像一个 集群节点的名称默认为一个随机的通用唯一标识符UUID确定在启动时分配给该节点。如果不希 望默认可以定义任何节点名。这个名字对管理很重要目的是要确定网络服务器对应于ElasticSearch 群集节点。
我们可以通过群集名配置节点以连接特定的群集。默认情况下每个节点设置加入名为“elasticSearch” 的集群。这意味着如果启动多个节点在网络上假设他们能发现彼此都会自动形成和加入一个名为 “elasticsearch”的集群。
在单个群集中您可以拥有尽可能多的节点。此外如果“elasticsearch”在同一个网络中没有其他节 点正在运行从单个节点的默认情况下会形成一个新的单节点名为elasticsearch的集群。
Index 索引 索引是具有相似特性的文档集合。例如可以为客户数据提供索引为产品目录建立另一个索引以及 为订单数据建立另一个索引。索引由名称必须全部为小写标识该名称用于在对其中的文档执行索 引、搜索、更新和删除操作时引用索引。在单个群集中您可以定义尽可能多的索引。 注意: 索引名不支持大写字母
Type 类型 在索引中可以定义一个或多个类型。类型是索引的逻辑类别/分区其语义完全取决于您。一般来说 类型定义为具有公共字段集的文档。例如假设你运行一个博客平台并将所有数据存储在一个索引 中。在这个索引中您可以为用户数据定义一种类型为博客数据定义另一种类型以及为注释数据定 义另一类型。 Elasticsearch 版本对 type 概念的演变情况如下
在 5.X 版本中一个 index 下可以创建多个 type
在 6.X 版本中一个 index 下只能存在一个 type
在 7.X 版本中默认可以支持 type ,但可以禁用
在 8.X 版本中直接就删除 type,即 index 不再支持 type
Document 文档 文档是可以被索引的信息的基本单位。例如您可以为单个客户提供一个文档单个产品提供另一个文 档以及单个订单提供另一个文档。本文件的表示形式为JSONJavaScript Object Notation格式这 是一种非常普遍的互联网数据交换格式。 在索引/类型中您可以存储尽可能多的文档。请注意尽管文档物理驻留在索引中文档实际上必须索 引或分配到索引中的类型。
Shards Replicas 分片与副本
索引可以存储大量的数据这些数据可能超过单个节点的硬件限制。例如十亿个文件占用磁盘空间 1TB的单指标可能不适合对单个节点的磁盘, 或者仅从单个节点的搜索请求服务可能太慢
为了解决这一问题Elasticsearch提供细分指标分成多个块称为分片的能力。当创建一个索引可以简 单地定义想要的分片数量。每个分片本身是一个全功能的、独立的“指数”可以托管在集群中的任何节点。
Shards分片的重要性主要体现在以下两个特征 分片允许您水平拆分或缩放内容的大小 分片允许你分配和并行操作的碎片可能在多个节点上从而提高性能/吞吐量
这个机制中的碎片是分布式的以及其文件汇总到搜索请求是完全由ElasticSearch管理对用户来说是透 明的。 在同一个集群网络或云环境上故障是任何时候都会出现的拥有一个故障转移机制以防分片和结点因 为某些原因离线或消失是非常有用的并且被强烈推荐。为此Elasticsearch允许你创建一个或多个拷 贝索引分片进入所谓的副本或称作复制品的分片简称Replicas。
注意ES的副本指不包括主分片的其它副本,即只包括备份这与Kafka是不同的
Replicas的重要性主要体现在以下两个特征 副本为分片或节点失败提供了高可用性。需要注意的是一个副本的分片不会分配在同一个节点作 为原始的或主分片副本是从主分片那里复制过来的。 副本允许用户扩展你的搜索量或吞吐量因为搜索可以在所有副本上并行执行。
相关概念在关系型数据库和ElasticSearch中的对应关系 关系型数据库Elasticsearch数据库 Database索引 Index支持全文检索表 Table类型 Type废弃)数据行 Row文档 Document但不需要固定结构不同文档可以具有不同字段集合数据列 Column字段 Field
详细说明
概念说明索引库indicesindices是index的复数代表许多的索引类型 type类型是模拟mysql中的table概念一个索引库下可以有不同类型的索引比如商品 索引订单索引其数据格式不同。不过这会导致索引库混乱因此未来版本中会 移除这个概念文档 document存入索引库原始的数据。比如每一条商品信息就是一个文档字段 field文档中的属性
Logstash
https://www.elastic.co/cn/what-is/elasticsearchLogstash 是 Elastic Stack 的核心产品之一可用来对数据进行聚合和处理并将数据发送到 Elasticsearch。Logstash 是一个基于Java实现的开源的服务器端数据处理管道允许您在将数据索引到 Elasticsearch 之前同时从多个来源采集数据并对数据进行过滤和转换。
可以通过插件实现日志收集和转发支持日志过滤支持普通log、自定义json格式的日志解析。
Kibana
Kibana 是一款适用于 Elasticsearch 的基于Javascript语言实现的数据可视化和管理工具可以提供实时 的直方图、线形图、饼状图和地图。Kibana 同时还包括诸如 Canvas 和 Elastic Maps 等高级应用程序 Canvas 允许用户基于自身数据创建定制的动态信息图表而 Elastic Maps 则可用来对地理空间数据进 行可视化。
官方文档
https://www.elastic.co/cn/what-is/kibana主要是通过接口调用elasticsearch的数据并进行前端数据可视化的展现。
Kibana 与 Elasticsearch 和更广意义上的 Elastic Stack 紧密的集成在一起这一点使其成为支持以下场 景的理想选择
搜索、查看并可视化 Elasticsearch 中所索引的数据并通过创建柱状图、饼图、表格、直方图和 地图对数据进行分析。仪表板视图能将这些可视化元素组织到一起然后通过浏览器进行分享以 提供对海量数据的实时分析视图所支持的用例如下
1. 日志处理和分析
2. 基础设施指标和容器监测
3. 应用程序性能监测 (APM)
4. 地理空间数据分析和可视化
5. 安全分析
6. 业务分析借助网络界面来监测和管理 Elastic Stack 实例并确保实例的安全针对基于 Elastic Stack 开发的内置解决方案面向可观测性、安全和企业搜索应用程序将其访 问权限集中到一起
ELK 应用场景
运维主要应用场景
将分布在不同主机的日志统一收集,并进行转换通过集中的Web UI 进行查询和管理通过查看汇总的日志,找到故障的根本原因Web 展示和报表功能实现安全和事件等管理
大数据运维主要应用场景
查询聚合, 大屏分析预测告警, 网络指标业务指标安全指标日志查询问题排查基于API可以实现故障恢复和自愈用户行为性能,业务分析
ELK 应用架构
