集成elk搭建日志平台,elk收集网络设备日志

  集成elk搭建日志平台,elk收集网络设备日志

  00-1010Elk环境安装docker-compose脚本安装点按场景收集Logback配置详细信息完整配置配置点分析使用默认日志配置SpringpropertyFilterPenderLogger控制框架输出日志记录配置详细信息完整配置点SpringBoot配置Kibana高级使用

  00-1010ELK指的是三个服务搭建的日志收集系统:Elasticsearch、Kibana和Logstash。具体施工方法请参考《SpringBoot应用整合ELK实现日志收集》。这里只提供了docker-compose脚本的最新版本和一些安装点。

  

目录

版本: 3 服务: elastic search : image : elastic search :6 . 4 . 0 container _ name : elastic search环境:- clus ter . name=elastic search #将集群名设置为elastic search- discovery . type=single-node #以单节点模式启动- es _ Java _ opts=-xms 512m-xmx 512m #设置jj 您可以使用域名es访问elasticsearch服务depends _ on 3360-elastic search # ki Bana然后启动环境3360- elastic search . hosts=3358 es 33609200 #设置地址访问elastic search-TZ=亚洲/上海ports 3360-5601:5601 logstash : image : logstash :6 . 4 . 0 container _ name : logstash Environment 您可以使用域名es访问elasticsearch服务端口:-4560:4560-4561:4561-4562:4562-4563:4563。

 

  00-1010使用docker-compose命令运行所有服务:docker-compose up -d第一次可能会发现Elasticsearch无法启动。那是因为/usr/share/elasticsearch/data目录没有访问权限。只需要修改/mydata/elasticsearch/data目录的权限,重启即可;ch 777/my data/elastic search/data/log stash需要json_lines插件。安装插件

  00-1010这里为了方便我们查看日志,我们提出了一个按场景收集日志的概念,将日志分为以下四种。

  调试日志:最完整的日志,包含应用程序中调试级别以上的所有日志,并且只在开发和测试环境中可用。

  启收集;错误日志:只包含应用中所有ERROR级别的日志,所有环境只都开启收集;业务日志:在我们应用对应包下打印的日志,可用于查看我们自己在应用中打印的业务日志;记录日志:每个接口的访问记录,可以用来查看接口执行效率,获取接口访问参数。

 

  

Logback配置详解

要实现上面的分场景收集日志,主要通过Logback的配置来实现,我们先来了解下Logback的配置吧!

 

  

 

  

 

  

完全配置

在SpringBoot中,如果我们想要自定义Logback的配置,需要自行编写logback-spring.xml文件,下面是我们这次要使用的完全配置。

 

  

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE configuration><configuration> <!--引用默认日志配置--> <include resource="org/springframework/boot/logging/logback/defaults.xml"/> <!--使用默认的控制台日志输出实现--> <include resource="org/springframework/boot/logging/logback/console-appender.xml"/> <!--应用名称--> <springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/> <!--日志文件保存路径--> <property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/> <!--LogStash访问host--> <springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/> <!--DEBUG日志输出到文件--> <appender name="FILE_DEBUG" class="ch.qos.logback.core.rolling.RollingFileAppender"> <!--输出DEBUG以上级别日志--> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>DEBUG</level> </filter> <encoder> <!--设置为默认的文件日志格式--> <pattern>${FILE_LOG_PATTERN}</pattern> <charset>UTF-8</charset> </encoder> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--设置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--设置日志文件大小,超过就重新生成文件,默认10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天数,默认30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy> </appender> <!--ERROR日志输出到文件--> <appender name="FILE_ERROR" class="ch.qos.logback.core.rolling.RollingFileAppender"> <!--只输出ERROR级别的日志--> <filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch> </filter> <encoder> <!--设置为默认的文件日志格式--> <pattern>${FILE_LOG_PATTERN}</pattern> <charset>UTF-8</charset> </encoder> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--设置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--设置日志文件大小,超过就重新生成文件,默认10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天数,默认30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy> </appender> <!--DEBUG日志输出到LogStash--> <appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>DEBUG</level> </filter> <destination>${LOG_STASH_HOST}:4560</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定义日志输出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--当有多个LogStash服务时,设置访问策略为轮询--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--ERROR日志输出到LogStash--> <appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch> </filter> <destination>${LOG_STASH_HOST}:4561</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定义日志输出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--当有多个LogStash服务时,设置访问策略为轮询--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--业务日志输出到LogStash--> <appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4562</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定义日志输出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--当有多个LogStash服务时,设置访问策略为轮询--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--接口访问记录日志输出到LogStash--> <appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4563</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定义日志输出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "class": "%logger", "message": "%message" } </pattern> </pattern> </providers> </encoder> <!--当有多个LogStash服务时,设置访问策略为轮询--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--控制框架输出日志--> <logger name="org.slf4j" level="INFO"/> <logger name="springfox" level="INFO"/> <logger name="io.swagger" level="INFO"/> <logger name="org.springframework" level="INFO"/> <logger name="org.hibernate.validator" level="INFO"/> <root level="DEBUG"> <appender-ref ref="CONSOLE"/> <!--<appender-ref ref="FILE_DEBUG"/>--> <!--<appender-ref ref="FILE_ERROR"/>--> <appender-ref ref="LOG_STASH_DEBUG"/> <appender-ref ref="LOG_STASH_ERROR"/> </root> <logger name="com.macro.mall.tiny.component" level="DEBUG"> <appender-ref ref="LOG_STASH_RECORD"/> </logger> <logger name="com.macro.mall" level="DEBUG"> <appender-ref ref="LOG_STASH_BUSINESS"/> </logger></configuration>

 

  

配置要点解析

 

  

使用默认的日志配置

一般我们不需要自定义控制台输出,可以采用默认配置,具体配置参考console-appender.xml,该文件在spring-boot-${version}.jar下面。

 

  

<!--引用默认日志配置--><include resource="org/springframework/boot/logging/logback/defaults.xml"/><!--使用默认的控制台日志输出实现--><include resource="org/springframework/boot/logging/logback/console-appender.xml"/>

 

  

springProperty

该标签可以从SpringBoot的配置文件中获取配置属性,比如说在不同环境下我们的Logstash服务地址是不一样的,我们就可以把该地址定义在application.yml来使用。

 

  例如在application-dev.yml中定义了这些属性:

  

logstash: host: localhost

logback-spring.xml中就可以直接这样使用:

 

  

<!--应用名称--><springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/><!--LogStash访问host--><springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>

 

  

filter

在Logback中有两种不同的过滤器,用来过滤日志输出。

 

  ThresholdFilter:临界值过滤器,过滤掉低于指定临界值的日志,比如下面的配置将过滤掉所有低于INFO级别的日志。

  

<filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>INFO</level></filter>

LevelFilter:级别过滤器,根据日志级别进行过滤,比如下面的配置将过滤掉所有非ERROR级别的日志。

 

  

<filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch></filter>

 

  

appender

Appender可以用来控制日志的输出形式,主要有下面三种。

 

  ConsoleAppender:控制日志输出到控制台的形式,比如在console-appender.xml中定义的默认控制台输出。

<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender"><encoder><pattern>${CONSOLE_LOG_PATTERN}</pattern></encoder></appender>

RollingFileAppender:控制日志输出到文件的形式,可以控制日志文件生成策略,比如文件名称格式、超过多大重新生成文件以及删除超过多少天的文件。

<!--ERROR日志输出到文件--><appender name="FILE_ERROR" class="ch.qos.logback.core.rolling.RollingFileAppender"> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--设置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--设置日志文件大小,超过就重新生成文件,默认10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天数,默认30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy></appender>

LogstashTcpSocketAppender:控制日志输出到Logstash的形式,可以用来配置Logstash的地址、访问策略以及日志的格式。

<!--ERROR日志输出到LogStash--><appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4561</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定义日志输出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--当有多个LogStash服务时,设置访问策略为轮询--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy></appender>

 

  

logger

只有配置到logger节点上的appender才会被使用,logger用于配置哪种条件下的日志被打印,root是一种特殊的appender,下面介绍下日志划分的条件。

 

  调试日志:所有的DEBUG级别以上日志;错误日志:所有的ERROR级别日志;业务日志:com.macro.mall包下的所有DEBUG级别以上日志;记录日志:com.macro.mall.tiny.component.WebLogAspect类下所有DEBUG级别以上日志,该类是统计接口访问信息的AOP切面类。

 

  

控制框架输出日志

还有一些使用框架内部的日志,DEBUG级别的日志对我们并没有啥用处,都可以设置为了INFO以上级别。

 

  

<!--控制框架输出日志--><logger name="org.slf4j" level="INFO"/><logger name="springfox" level="INFO"/><logger name="io.swagger" level="INFO"/><logger name="org.springframework" level="INFO"/><logger name="org.hibernate.validator" level="INFO"/>

 

  

Logstash配置详解

接下来我们需要配置下Logstash,让它可以分场景收集不同的日志,下面详细介绍下使用到的配置。

 

  

完全配置

input { tcp { mode => "server" host => "0.0.0.0" port => 4560 codec => json_lines type => "debug" } tcp { mode => "server" host => "0.0.0.0" port => 4561 codec => json_lines type => "error" } tcp { mode => "server" host => "0.0.0.0" port => 4562 codec => json_lines type => "business" } tcp { mode => "server" host => "0.0.0.0" port => 4563 codec => json_lines type => "record" }}filter{ if [type] == "record" { mutate { remove_field => "port" remove_field => "host" remove_field => "@version" } json { source => "message" remove_field => ["message"] } }}output { elasticsearch { hosts => ["es:9200"] action => "index" codec => json index => "mall-tiny-%{type}-%{+YYYY.MM.dd}" template_name => "mall-tiny" }}

 

  

配置要点

input:使用不同端口收集不同类型的日志,从4560~4563开启四个端口;filter:对于记录类型的日志,直接将JSON格式的message转化到source中去,便于搜索查看;output:按类型、时间自定义索引格式。

 

  

SpringBoot配置

在SpringBoot中的配置可以直接用来覆盖Logback中的配置,比如logging.level.root就可以覆盖<root>节点中的level配置。

 

  开发环境配置:application-dev.yml

logstash: host: localhostlogging: level: root: debug

测试环境配置:application-test.yml

logstash: host: 192.168.3.101logging: level: root: debug

生产环境配置:application-prod.yml

logstash: host: logstash-prodlogging: level: root: info

 

  

Kibana进阶使用

进过上面ELK环境的搭建和配置以后,我们的日志收集系统终于可以用起来了,下面介绍下在Kibana中的使用技巧!

 

  首先启动我们的测试Demo,然后通用调用接口(可以使用Swagger),产生一些日志信息;

 

  调用完成后在Management->Kibana->Index Patterns中可以创建Index Patterns,Kibana服务访问地址:http://192.168.3.101:5601

 

  创建完成后可以在Discover中查看所有日志,调试日志只需直接查看mall-tiny-debug*模式的日志即可;

 

  对于日志搜索,kibana有非常强大的提示功能,可以通过搜索栏右侧的Options按钮打开;

 

  记录日志只需直接查看mall-tiny-record*模式的日志即可,如果我们想要搜索uri为/brand/listAll的记录日志,只需在搜索栏中输入uri : "/brand/listAll"

 

  错误日志,只需直接查看mall-tiny-error*模式的日志即可;

 

  业务日志,只需直接查看mall-tiny-business*模式的日志即可,这里我们可以查看一些SQL日志的输出;

 

  如果日志太大了,可以通过Elasticsearch->Index Management选择删除即可。

 

  项目源码地址:

  https://github.com/macrozheng/mall-learning/tree/master/mall-tiny-log

  SpringBoot实战电商项目mall(35k+star)地址:

  https://github.com/macrozheng/mall

  以上就是ELK搭建线上日志收集系统的详细内容,更多关于ELK搭建日志收集系统的资料请关注盛行IT其它相关文章!

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: