上一篇讲过了elasticsearch和kibana的可视化组合查询,这一篇就来看看大名鼎鼎的ELK日志平台是如何搞定的。
elasticsearch负责数据的存储和检索,kibana提供图形界面便于管理,Logstash是个日志中转站负责给elasticsearch输出信息。
1 安装logstash
这里使用和elasticsearch相同的版本2.3.4,wget https://download.elastic.co/logstash/logstash/logstash-2.3.4.tar.gz
由于logstash有压缩包,免安装的,下载后直接解压。tar -xzvf logstash-2.3.4.tar.gz
进入logstash目录,我们先来看看logstash的插件集合,bin/logstash-plugin list
图没截完,后面还有很多,从名字可以看到有codec、filter、input、output等,这些都是有用的。
等号我们讲到启动时带的config就会用到这些插件。先看一个logstash-codec-json-lines,这个是必须的,如果早期的版本装完logstash后没有这个插件,你就需要额外去下载它。
我们Springboot的项目日志就是以json的格式传给logstash的。
2 配置logstash
OK,别的不管,我们直接运行logstash。
bin/logstash
可以看到给的提示,只支持两个命令,logstash agent ,要注意不同的版本命令是不同的,最新的5.5.1就已经没有agent了,使用时需要注意看系统给的提示。
该版本的logstash启动命令是logstash agent -f conf/conf。即在logstash agent -f 后面加上你的配置文件。
该配置文件是不存在的,需要我们自己添加。
mkdir config 创建目录
vi config/log_es.conf 创建配置文件,配置文件名字随便起
input {
# For detail config for log4j as input,
# See: https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html
tcp {
mode => "server"
host => "0.0.0.0"
port => 4567
codec => json_lines
}
}
filter {
#Only matched data are send to output.
}
output {
# For detail config for elasticsearch as output,
# See: https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html
elasticsearch {
action => "index" #The operation on ES
hosts => "localhost:9200" #ElasticSearch host, can be array.
index => "applog" #The index to write data to.
}
}
这个就是一个简单的配置文件,看input、filter、output,这些都是在plugin list里出现过的,我这里用的tcp,代表日志的来源是以tcp的形式过来的。比较常用的有file,就是读取某个文件,如果你的日志是生成了日志文件,就可以在这里用input file去读取它。还有http、jdbc、kafka、redis等,都有人用,就是把日志丢到kafka中,logstash去获取。
filter是过滤器,可以在这里配置过滤哪些日志。
output标签也有很多,代表logstash要把接收到的日志往哪里输出,有stdout输出到控制台、email、csv、elasticsearch等。我们选择把日志输出到ES。看配置文件,设置ES的host为本机,当然你也可以选择远程的ES服务器,可以设置多个ES地址数组;index代表ES上的index,如果没有则创建该index;action为index代表动作,分别有“index”、“delete”、“create”、“update”。
你也可以输出到多个地方,譬如既插入ES又输出到控制台
output{
elasticsearch{
hosts=>["172.132.12.3:9200"]
action=>"index"
index=>"applog"
#document_type=>"%{@type}"
document_id=>"ignore"
}
stdout{
codec=>rubydebug
}
}
index也可以动态指定,如果大家还记得上一篇kibana添加index时就是可以添加*匹配的index。
譬如我们可以用
index=>”applog-%{+YYYY,MM.dd}”
OK,设置完配置文件,我们就要启动logstash了。
bin/logstash agent -f config/log_es.conf
启动完成后,就可以在Springboot项目里通过ip:4567端口来输出日志到logstash了,logstash收到的日志就会自动往ES里插入了。
3 logback日志关联logstash
Springboot项目默认logback记录日志,之前已经详细讲过了logback的使用。当然你也可以使用log4j、log4j2,它们同样可以输出到logstash里。
新建Springboot项目,只勾选个web即可,logback和logstash关联需要依赖一个组件
<dependency>
<groupId>net.logstash.logback</groupId>
<artifactId>logstash-logback-encoder</artifactId>
<version>4.11</version>
</dependency>
在pom.xml添加这个,然后在GitHub上看看用法 https://github.com/logstash/logstash-logback-encoder
在项目的文档里可以看到各种用法,里面有讲logback通过socket、tcp等方式将日志输出到logstash的。
参照文档,我们在项目里新建logback-spring.xml
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<include resource="org/springframework/boot/logging/logback/base.xml" />
<appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>你的ip地址:4567</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LogstashEncoder" />
</appender>
<root level="INFO">
<appender-ref ref="LOGSTASH" />
<appender-ref ref="CONSOLE" />
</root>
</configuration>
配置好ip和logstash的配置文件input里你设置的端口。
4 使用kibana查看Springboot日志
上面配置好了logback和logstash的关联,我们就试着输出日志看看。
@RestController
public class IndexController {
private final Logger logger = LoggerFactory.getLogger(getClass());
@GetMapping("/index")
public Object index() {
for (int i = 0; i < 100; i++) {
logger.debug("debug" + i);
logger.info("info" + i);
logger.warn("warn" + i);
logger.error("error" + i);
}
return "success";
}
}
启动项目,访问index。
然后看看日志存储情况
我们可以看到在kibana里和ES中都已经发现了这些日志信息了。
譬如我们做个条件搜索:
OK,通过这个简单的例子,我们就可以把Springboot日志输出到ELK日志平台了。