ELK之使用kafka作为消息队列收集日志

　　参考：https://www.cnblogs.com/fengjian2016/p/5841556.html

　　　　   https://www.cnblogs.com/hei12138/p/7805475.html

                 https://blog.csdn.net/lhmood/article/details/79099615

　　　　  https://www.cnblogs.com/Orgliny/p/5730381.html

　　

　　ELK可以使用redis作为消息队列，但redis作为消息队列不是强项而且redis集群不如专业的消息发布系统kafka，以下使用ELK结合kafka作为消息队列进行配置

　　本次配置拓扑图

　　主机角色

主机名	IP	系统	角色
prd-elk-logstash-01	172.16.90.20	CentOS7.5	logstash日志传输
prd-elk-kafka-01	172.16.90.21	CentOS7.5	日志消息队列kafka01
prd-elk-kafka-02	172.16.90.22	CentOS7.5	日志消息队列kafka02
prd-elk-kafka-03	172.16.90.23	CentOS7.5	日志消息队列kafka03
prd-elk-logstash-02	172.16.90.24	CentOS7.5	logstash日志过滤，存储

　　软件选用

JKD 1.8.0_171
elasticsearch 6.5.4
logstash 6.5.4
kibana 6.5.4
kafka 2.11-2.1.1

　　172.16.90.20安装logstash和filebeat

rpm -ivh logstash-6.5.4.rpm 
rpm -ivh filebeat-6.5.4-x86_64.rpm 

　　修改filebeat配置文件收集系统messages日志 

/etc/filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/messages    #需收集日志路径
  tags: ["messages"]
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 3
setup.kibana:
output.logstash:
  hosts: ["172.16.90.20:5044"] #输出至logstash
processors:
  - add_host_metadata:
  - add_cloud_metadata:
  - drop_fields:
      fields: ["beat", "input", "source", "offset", "prospector"，"host"] #删除无用的参数

　　修改logstash先标准输出至屏幕

/etc/logstash/conf.d/filebeat-logstash.conf

input{
    beats {
        port => 5044
    }
}

output{
    if "messages" in [tags]{
        stdout{
            codec => rubydebug
        }
    }
}
                        

　　运行logstash查看输出

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/filebeat-logstash.conf 

　　　输出如下

　　172.16.90.24安装logstash，elasticsearch，kibana安装配置过程不详叙，通过172.16.90.20收集的日志信息可以直接传递至172.16.90.24的logstash进行过滤及es存储，规模不大可以使用这种方式，下面安装配置kafka集群

　　

　　Kafka集群安装配置

　　在搭建kafka集群之前需要提前安装zookeeper集群，kafka压缩包只带zookeeper程序，只需要解压配置即可使用

　　获取软件包，官方网站 http://kafka.apache.org/

　　PS：不要下载src包，运行会报错

　　解压拷贝至指定目录

tar -xf kafka_2.11-2.1.1.tgz
cp -a kafka_2.11-2.1.1 /usr/local/
cd /usr/local/
ln -s kafka_2.11-2.1.1/ kafka

　　修改配置文件zookeeper配置文件

 /usr/local/kafka/config/zookeeper.properties

#数据路径
dataDir=/data/zookeeper 
# the port at which the clients will connect
clientPort=2181
# disable the per-ip limit on the number of connections since this is a non-production config
maxClientCnxns=0
#tickTime : 这个时间是作为 Zookeeper 服务器之间或客户端与服务器之间维持心跳的时间间隔，也就是每个 tickTime 时间就会发送一个心跳。
tickTime=2000
initLimit=20
syncLimit=10
#2888 端口：表示的是这个服务器与集群中的 Leader 服务器交换信息的端口；
#3888 端口：表示的是万一集群中的 Leader 服务器挂了，需要一个端口来重新进行选举，选出一个新的 Leader ，而这个端口就是用来执行选举时服务器相互通信的端口
server.1=172.16.90.21:2888:3888
server.2=172.16.90.22:2888:3888
server.3=172.16.90.23:2888:3888

　　创建数据目录并创建myid文件，文件为数字，用于标识唯一主机，必须有这个文件否则zookeeper无法启动

mkdir /data/zookeeper -p
echo 1 >/data/zookeeper/myid

　　修改kafka配置/usr/local/kafka/config/server.properties

#唯一数字分别为1,2,2
broker.id=1
#这个broker监听的端口
prot=9092
#唯一填服务器IP
host.name=172.16.90.21
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
#kafka日志路径，不需要提前创建，启动kafka时创建
log.dirs=/data/kafka-logs
#分片数，需要配置较大，分片影响读写速度
num.partitions=16
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=1
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
#zookpeer集群
zookeeper.connect=192.168.1.11:2181,192.168.1.12:2181,192.168.1.13:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0

　　把配置拷贝至其他kafka主机，zookeeper.properties配置一样 ，server.properties配置一下两处不一样，myid也不一样

broker.id=2
host.name=172.16.90.22

broker.id=3
host.name=172.16.90.23

　　配置完三台主机，启动zookeeper启动顺序为服务器1 2 3

 /usr/local/kafka/bin/zookeeper-server-start.sh /usr/local/kafka/config/zookeeper.properties 

　　启动过程中提示拒绝连接不用理会，由于zookeeper集群在启动的时候，每个结点都试图去连接集群中的其它结点，先启动的肯定连不上后面还没启动的，所以上面日志前面部分的异常是可以忽略的。通过后面部分可以看到，集群在选出一个Leader后，最后稳定了。其他节点也可能会出现类似的情况，属于正常

　　检测是否启动

netstat -ntalp|grep -E "2181|2888|3888"

　　启动kafka 启动顺序也是1 2 3

nohup /usr/local/kafka/bin/kafka-server-start.sh /usr/local/kafka/config/server.properties &

　　启动成功会启动9092端口

　　PS：如果系统有问题会导致日志不停输出

　　三台主机启动完毕，下面来检测一下

　　在kafka01创建一个主题，主题名为sumer

/usr/local/kafka/bin/kafka-topics.sh --create --zookeeper 172.16.90.21:2181 --replication-factor 3 --partitions 1 --topic summer

　　查看summer主题详情

 /usr/local/kafka/bin/kafka-topics.sh --describe --zookeeper 172.16.90.21:2181 --topic summer

　　

Topic:summer	PartitionCount:1	ReplicationFactor:3	Configs:
	Topic: summer	Partition: 0	Leader: 2	Replicas: 2,3,1	Isr: 2,3,1

#主题名称：summer
#Partition：只有一个从0开始
#leader：id为2的broker
#Replicas： 副本存在id为 2 3 1的上面
#Isr：活跃状态的broker

　　删除主题

/usr/local/kafka/bin/kafka-topics.sh --delete --zookeeper 172.16.90.21:2181  --topic summer

　　使用kafka01发送消息，这里是生产者角色

 /usr/local/kafka/bin/kafka-console-producer.sh --broker-list 172.16.90.21:9092 --topic summer

　　出现命令行需要手动输入消息

　　使用kafka02接收消息，这里是消费者角色

/usr/local/kafka/bin/kafka-console-consumer.sh --bootstrap-server 172.16.90.22:9092 --topic summer --from-beginning

　　在kafka01输入消息然后会在kafka02接收到该消息

　　下面将logstash-01的输出从标准输出改到kafka中,修改配置文件

/etc/logstash/conf.d/filebeat-logstash.conf

input{
    beats {
        port => 5044
    }
}

output{
    if "messages" in [tags]{
        kafka{
            #输出至kafka
            bootstrap_servers => "172.16.90.21:9092,172.16.90.22:9092,172.16.90.23:9092"
            #主题名称，将会自动创建
            topic_id => "system-messages"
            #压缩类型
            compression_type => "snappy"
        }
        stdout{
            codec => rubydebug
        }
    }
}

　　启动logstash输出测试

　　kafka01查看是否生成这个主题

/usr/local/kafka/bin/kafka-topics.sh --describe --zookeeper 172.16.90.21:2181 --topic system-messages

　　可以看出，这个主题生成了16个分区，每个分区都有对应自己的Leader，但是我想要有10个分区，3个副本如何办？还是跟我们上面一样命令行来创建主题就行，当然对于logstash输出的我们也可以提前先定义主题，然后启动logstash 直接往定义好的主题写数据就行啦，命令如下

/usr/local/kafka/bin/kafka-topics.sh --create --zookeeper 172.16.90.21:2181 --replication-factor 3 --partitions 10 --topic TOPIC_NAME

　　经过以上步骤已经通过完成了 filebeat-logstash01-kafka过程，下面配置logstash02接收消费kafka消息

　　logstash02需要安装logstash，elasticsearch，kibana

rpm -ivh elasticsearch-6.5.4.rpm 
rpm -ivh kibana-6.5.4-x86_64.rpm 
rpm -ivh logstash-6.5.4.rpm

　　修改logstash配置先进行标准输出测试 

input{
    kafka {
    #kafka输入
    bootstrap_servers => "172.16.90.21:9092,172.16.90.22:9092,172.16.90.23:9092"
    codec => plain
    #主题
    topics => ["system-messages"]
    consumer_threads => 5  
    decorate_events => false 
    auto_offset_reset => "earliest"
    #定义type方便后面选择过滤及输出
    type => "system-messages"
  }
}

output{
    if "system-messages" in [type] {
       # elasticsearch{
       # hosts => ["172.16.90.24:9200"]
       # index => "messages-%{+YYYY.MM}"
       # }
	stdout{
	    codec => rubydebug
	}
    }
}

　　对比logstash01和logstash02输出可以发现经过kafka的输出message会有所不同

　　原始message

　　经过kafka输出message如下

　　logstash-kafka 插件输入和输出默认 codec 为 json 格式。在输入和输出的时候注意下编码格式。消息传递过程中 logstash 默认会为消息编码内加入相应的时间戳和 hostname 等信息。如果不想要以上信息(一般做消息转发的情况下)，可以修改logstash01配置增加配置 codec => plain{ format => "%{message}"}

input{
    beats {
 	port => 5044
    }
}

output{
    if "messages" in [tags]{
        kafka{
	    #输出至kafka
	    bootstrap_servers => "172.16.90.21:9092,172.16.90.22:9092,172.16.90.23:9092"
	    #主题名称，将会自动创建
	    topic_id => "system-messages"
	    #压缩类型
	    compression_type => "snappy"
	    #定义消息通过kafaka传递后格式不变
            codec => plain{ format => "%{message}"}
        }
	stdout{
	    codec => rubydebug
	}
    }
}

　　PS:使用配置codec => plain{ format => "%{message}"} 后传递给kafka的消息仅仅剩下源messages信息，可以在kafka查看

/usr/local/kafka/bin/kafka-console-consumer.sh --bootstrap-server 172.16.90.21:9092 --topic nginx-prod-log --from-beginning

　　源信息为

　　kafka消息队列输出

　　后端过滤的logstash输出

　　启动logstahs再次对比前后输出

　　原message

　　经过kafka后的message

 　　停止任意两个kafka只有有一台kafka主机在运行就能保障日志正常输出

　　把标准输出删除写入到elasticsearch即可