ELK日志分析系统介绍1.系统概述本系统为业务日志分析监控系统，使用ELK+Beats实现对系统业务日志的收集、存储、分析，业务系统运行期间将相关日志输出到一个指定的文件夹/文件内，使用FileBeat组件实现对日志文件夹/文件的监听，可以直接将新增的数据发往设定好的Logstash中过滤，或直接发往ElasticSearch分类存储，当系统运行出现问题时，运维人员可以使用Kibana对存储在ES中的日志数据根据相关字段搜索查找，Kibana也支持对数据进行相应的可视化图表展现。2.系统实现描述2.1采集-filebeat对于日志数据收集使用Filebeat部署在业务服务器后台监听日志文件的方式。Filebeat运行环境没有任何依赖，后台运行占用内存资源极低，相比于Logstash可以忽略不计，不影响服务器正常的业务。Filebeat可以运行在MacOS、Windows、Linux等系统下。Filebeat监听指定的文件（可以使用通配符），一旦文件中有新的一行内容追加则会将这条数据发往配置好的output路径。Filebeat的output支持logstash、ElastciSearch、file、console等，一般的不需要复杂过滤的可以直接发往ES存储，多节点日志采集也可以经过Logstash汇总过滤后，再存储进ES。在Filebaet运行过程中，每个Prospector的状态信息都会保存在内存里。当Filebeat进行了重启后，会从注册表文件里恢复重启之前的状态信息，让FIlebeat继续从之前已知的位置开始进行数据读取。2.2解析-Logstash对于数据解析主要包括：(1)对汇总多节点后的日志进行区分(2)将不规则格式数据转换为规则数据(3)将不符合格式要求的数据过滤去除因为Filebeat只支持简单的数据解析，对于日志的解析过滤整体可以使用Logstash。Logstash内置许多解析格式：grok、date、ip、json...，支持对不规则的数据字符串进行规则化输出，也能够在数据传输过程中添加或删除某些指定字段。将采集到的日志数据经过logstash过滤转换后发往ES建立索引存储。因为logstash占用内存资源较大(默认1G)，为不影响业务尽量不部署在业务服务器上。2.3存储-ElasticSearch日志数据存储使用ElasticSearch，由logstash将过滤完成后的规则化数据存入ES指定索引中。ES有自动发现功能，初期使用ElasticSearch的单节点集群模式，后续想要添加节点只需指定elasticsearch集群名称保持一致,就能自动加入集群，ES就会按照配置将索引分片到新加入的节点上。2.4展现-Kibana(1)ELK中Kibana专门为ES中的数据提供可视化展现的，支持搜索、汇总计算，图表展现等。(2)ElasticSearch也提供有RESTAPI，支持调用接口的方式访问操作索引数据。(3)使用插件进行数据异常监控报警功能实现，如系统日志出现异常报错则可配置发送邮件通知相关人员。(4)Kibana也支持对系统日志进行可视化监控展现，包括CPU、内存、硬盘等。3.系统可用性测试系统运行过程中，logstash宕机：Filebeat会记录发送不成功的数据，并尝试连接logstash，成功连接后会再次将数据发往logstash，下图为再次发送成功后的日志。系统运行过程中，Filebeat宕机：在Filebaet运行过程中，每个Prospector的状态信息都会保存在内存里。当Filebeat进行了宕机重启后，会从注册表文件里恢复重启之前的状态信息，让FIlebeat继续从之前已读取的位置开始往后进行数据读取。系统运行过程中，ES集群宕机：:::hljs-centerLogstash日志::::::hljs-centerFilebeat日志:::logstash没有数据存储功能，ES集群宕机，logstash数据无法发送，Filebeat会记录未成功发送的数据，同时logstash定时尝试连接ES，直到连接成功，数据会再次发送。