Учебное пособие по стеку ELK: что такое Kibana, Logstash и Эластикпоиск?

Автор: Дэвид Картер Дэвид Картер
Hours обновлено

Что такое стек ELK?

Наша команда ELK Стек представляет собой набор из трех продуктов с открытым исходным кодом: Elasticsearch, Logstashи Кибана. Стек ELK обеспечивает централизованное ведение журнала для выявления проблем с серверами или приложениями. Это позволяет вам искать все журналы в одном месте. Это также помогает обнаруживать проблемы на нескольких серверах путем подключения журналов за определенный период времени.

  • E означает ElasticSearch: используется для хранения журналов
  • L означает LogStash: используется как для доставки, так и для обработки и хранения журналов.
  • K означает Кибана: это инструмент визуализации (веб-интерфейс), размещенный через Nginx или Apache.

ElasticSearch, LogStash и Kibana разрабатываются, управляются и поддерживаются компанией Elastic.

ELK Stack разработан, чтобы позволить пользователям получать данные из любого источника в любом формате, а также искать, анализировать и визуализировать эти данные в режиме реального времени.

ELK Стек Archiтекстура

Теперь в этом руководстве по стеку ELK мы узнаем об архитектуре ELK:

Вот простая архитектура стека ELK.

ELK Стек Archiтекстура
ELK Стек Archiтекстура
  • Журналы: Идентифицированы журналы сервера, которые необходимо проанализировать.
  • Logstash: Собирайте журналы и данные о событиях. Он даже анализирует и преобразует данные
  • ЭластичныйПоиск: Преобразованные данные из Logstash is Хранить, искать и индексировать.
  • Кибана: Kibana использует Elasticsearch DB для исследования, визуализации и обмена информацией

Однако необходим еще один компонент или сбор данных под названием Beats. Это побудило Elastic переименовать ELK в Elastic Stack.

ELK Стек Archiтектура с Beats

При работе с очень большими объемами данных вам могут понадобиться Kafka, RabbitMQ для буферизации и устойчивости. В целях безопасности можно использовать nginx.

ELK Стек Archiтекстура

Теперь в этом руководстве по стеку Elastic: Давайте углубимся во все эти продукты с открытым исходным кодом:

СТАТЬИ ПО ТЕМЕ

Что такое эластичный поиск?

Elasticsearch — это База данных NoSQL. Он основан на поисковой системе Lucene и построен с использованием RESTful APIS. Он предлагает простое развертывание, максимальную надежность и простоту управления. Он также предлагает расширенные запросы для детального анализа и централизованно хранит все данные. Это полезно для выполнения быстрого поиска документов.

Elasticsearch также позволяет хранить, искать и анализировать большие объемы данных. В основном он используется в качестве основного механизма для работы приложений, выполняющих требования поиска. Он был принят на платформах поисковых систем для современных веб- и мобильных приложений. Помимо быстрого поиска, инструмент также предлагает сложную аналитику и множество дополнительных функций.

Особенности эластичного поиска

  • Поисковый сервер с открытым исходным кодом написан с использованием Java
  • Используется для индексации любых разнородных данных.
  • Имеет веб-интерфейс REST API с выводом JSON.
  • Полнотекстовый поиск
  • Поиск в режиме, близком к реальному времени (NRT)
  • Сегментированное, реплицированное хранилище документов JSON с возможностью поиска
  • Распределенное хранилище документов без схемы, на основе REST и JSON.
  • Поддержка нескольких языков и геолокации

Преимущества Elasticsearch

  • Храните данные без схемы, а также создает схему для ваших данных.
  • Управляйте записью данных за записью с помощью многодокументных API.
  • Выполняйте фильтрацию и запросы к вашим данным для получения ценной информации.
  • Основан на Apache Lucene и предоставляет RESTful API.
  • Обеспечивает горизонтальную масштабируемость, надежность и возможность использования нескольких арендаторов для использования индексации в реальном времени, что ускоряет поиск.
  • Помогает масштабировать по вертикали и горизонтали.

Важные термины, используемые в Elastic Search

Теперь в этом руководстве по ELK давайте узнаем о ключевых терминах, используемых в ElasticSearch:

Срок Применение
Cluster Кластер — это совокупность узлов, которые вместе содержат данные и обеспечивают объединенные возможности индексации и поиска.
Узел Узел — это экземпляр elasticsearch. Он создается при запуске экземпляра elasticsearch.
Индекс Индекс — это совокупность документов, имеющих схожие характеристики. например, данные о клиентах, каталог продукции. Это очень полезно при выполнении операций индексирования, поиска, обновления и удаления. Это позволяет вам определить как можно больше индексов в одном кластере.
Документ Это базовая единица информации, которая может быть проиндексирована. Он выражается в паре JSON (ключ: значение). '{"пользователь": "nullcon"}'. Каждый документ связан с типом и уникальным идентификатором.
осколок Каждый индекс можно разделить на несколько сегментов для распределения данных. Осколок — это атомарная часть индекса, которую можно распределить по кластеру, если вы хотите добавить больше узлов.

Что такое Logstash?

Logstash — это инструмент конвейера сбора данных. Он собирает входные данные и передает их в Elasticsearch. Он собирает все типы данных из разных источников и делает их доступными для дальнейшего использования.

Logstash может объединить данные из разрозненных источников и нормализовать данные по желаемым местам назначения. Это позволяет вам очистить и демократизировать все ваши данные для аналитики и визуализации вариантов использования.

Он состоит из трех компонентов:

  • вход: передача журналов для их обработки в понятный машине формат.
  • Фильтры: это набор условий для выполнения определенного действия или события.
  • Результат: Лицо, принимающее решение по обработанному событию или журналу.

Особенности Logstash

Теперь в этом уроке LogStash давайте узнаем о функциях LogStash:

  • События проходят через каждую фазу с использованием внутренних очередей.
  • Позволяет использовать различные входные данные для ваших журналов
  • Фильтрация/анализ ваших журналов

Преимущество Logstash

  • Предлагает централизовать обработку данных
  • Он анализирует большое количество структурированных/неструктурированных данных и событий.
  • ELK LogStash предлагает плагины для подключения к различным типам источников ввода и платформ.

Что такое Кибана?

Kibana — это визуализация данных, дополняющая стек ELK. Этот инструмент используется для визуализации документов Elasticsearch и помогает разработчикам быстро разобраться в них. Панель управления Kibana предлагает различные интерактивные диаграммы, геопространственные данные и графики для визуализации сложных запросов.

Его можно использовать для поиска, просмотра и взаимодействия с данными, хранящимися в каталогах Elasticsearch. Кибана помогает вам выполнять продвинутые анализ данных и визуализируйте свои данные в различных таблицах, диаграммах и картах.

В Kibana существуют разные методы поиска ваших данных.

Вот наиболее распространенные типы поиска:

Тип поиска Применение
Бесплатный текстовый поиск Он используется для поиска определенной строки.
Поиск на уровне поля Он используется для поиска строки в определенном поле.
Логические утверждения Он используется для объединения поисков в логическое утверждение.
Поиск близости Он используется для поиска терминов в пределах определенной близости символов.

Теперь в этом уроке Kibana давайте узнаем о важных функциях Kibana:

Особенности Кинбаны:

  • Мощная интерфейсная панель, способная визуализировать индексированную информацию из эластичного кластера.
  • Обеспечивает поиск индексированной информации в режиме реального времени.
  • Вы можете искать, просматривать и взаимодействовать с данными, хранящимися в Elasticsearch.
  • Выполняйте запросы к данным и визуализируйте результаты в диаграммах, таблицах и картах.
  • Настраиваемая панель мониторинга для разделения и анализа журналов logstash в elasticsearch
  • Возможность предоставления исторических данных в виде графиков, диаграмм и т. д.
  • Панели мониторинга в реальном времени, которые легко настраиваются
  • Kibana ElasticSearch обеспечивает поиск индексированной информации в режиме реального времени.

Преимущества и недостатки кинбаны

  • Простая визуализация
  • Полная интеграция с Elasticsearch.
  • Инструмент визуализации
  • Предлагает возможности анализа, построения диаграмм, обобщения и отладки в реальном времени.
  • Обеспечивает интуитивно понятный и удобный интерфейс.
  • Позволяет делиться снимками просматриваемых журналов.
  • Позволяет сохранять панель мониторинга и управлять несколькими панелями мониторинга.

Зачем анализировать журналы?

В инфраструктурах облачных сред очень важны производительность и изоляция. Производительность виртуальных машин в облаке может варьироваться в зависимости от конкретных нагрузок, сред и количества активных пользователей в системе. Поэтому надежность и отказ узла могут стать серьезной проблемой.

Платформа управления журналами может отслеживать все вышеперечисленные проблемы, а также обрабатывать журналы операционной системы, NGINX, журнал сервера IIS для анализа веб-трафика, журналы приложений и журналы на AWS (Amazon веб-сервисы).

Управление журналами помогает инженерам DevOps и системным администраторам принимать более эффективные бизнес-решения. Следовательно, важен анализ журналов с помощью Elastic Stack или аналогичных инструментов.

ELK против Splunk

сохатый Splunk
Elk — инструмент с открытым исходным кодом Splunk — коммерческий инструмент.
Лось стек не предлагает Solaris Портативность благодаря Kibana. предложения Splunk Solaris Переносимость.
Скорость обработки строго ограничена. Обеспечивает точные и быстрые процессы.
ELK — это стек технологий, созданный с помощью комбинации Elastic Search-Logstash-Кибана. Splunk — это собственный инструмент. Он предоставляет как локальные, так и облачные решения.
В поиске ELK анализ и визуализация будут возможны только после настройки стека ELK. Splunk — это полный пакет управления данными в вашем распоряжении.
Инструмент ELK не поддерживает интеграцию с другими инструментами. Splunk — полезный инструмент для настройки интеграции с другими инструментами.

Сферы деятельности

NetFlix

Netflix во многом зависит от стека ELK. Компания использует стек ELK для мониторинга и анализа журнала безопасности работы службы поддержки клиентов. Это позволяет им индексировать, хранить и искать документы из более чем пятнадцати кластеров, которые содержат почти 800 узлов.

LinkedIn

Знаменитый сайт маркетинга в социальных сетях LinkedIn использует стек ELK для мониторинга производительности и безопасности. ИТ-команда интегрировала ELK с Kafka, чтобы поддерживать нагрузку в режиме реального времени. Их деятельность ELK включает более 100 кластеров в шести различных центрах обработки данных.

Tripwire

Tripwire — это всемирная система управления событиями, связанными с информацией о безопасности. Компания использует ELK для поддержки анализа журнала информационных пакетов.

Средний

Medium — известная платформа для публикации блогов. Они используют стек ELK для устранения своих производственных проблем. Компания также использует ELK для обнаружения DynamoDB горячие точки. Более того, используя этот стек, компания может поддерживать 25 миллионов уникальных читателей, а также тысячи публикуемых сообщений каждую неделю.

Преимущества и недостатки стека ELK

Наши преимущества

  • ELK работает лучше всего, когда журналы из различных приложений предприятия объединяются в один экземпляр ELK.
  • Он предоставляет потрясающую информацию для этого единственного экземпляра, а также устраняет необходимость входа в сотни различных источников данных журналов.
  • Быстрая установка на месте
  • Легко развернуть весы вертикально и горизонтально.
  • Elastic предлагает множество языковых клиентов, включая Ruby. Python. PHP, Перл, .NET, Java и JavaСценарий и многое другое
  • Наличие библиотек для разных языков программирования и сценариев.

Недостатки бонуса без депозита

  • Различные компоненты в стеке могут стать трудными в использовании, когда вы переходите к сложной настройке.
  • Нет ничего лучше метода проб и ошибок. Таким образом, чем больше вы делаете, тем большему вы учитесь на этом пути.

Резюме

  • Централизованное ведение журнала может быть полезно при попытке выявить проблемы с серверами или приложениями.
  • Стек серверов ELK полезен для решения проблем, связанных с централизованной системой журналирования.
  • Стек ELK — это набор из трех инструментов с открытым исходным кодом Elasticsearch, Logstash Kibana
  • Elasticsearch — это база данных NoSQL.
  • Logstash это инструмент конвейера сбора данных
  • Kibana — это визуализация данных, дополняющая стек ELK.
  • В инфраструктурах облачной среды очень важны производительность и изоляция.
  • В стеке ELK скорость обработки строго ограничена, тогда как Splunk предлагает точные и быстрые процессы
  • Netflix, LinkedIn, Tripware, Medium — все используют стек ELK для своего бизнеса.
  • Системный журнал ELK работает лучше всего, когда журналы из различных приложений предприятия объединяются в один экземпляр ELK.
  • Различные компоненты в стеке могут стать трудными в использовании, когда вы переходите к сложной настройке.

Обратитесь к нашим Вопросы и ответы на собеседовании ElasticSearch как для новых, так и для опытных кандидатов.

Вы могли бы: