在服務企業的過程中,遇到一天 TB、PB
級的資料是常態,且可能在短時間內會有大量的 Log 資料寫入到 Elasticsearch
中,因此透過 Kafka
分擔工作量是很常使用的技巧之一,底下筆者將標準用法整理出來。
安裝
安裝 Kafka
wget https://downloads.apache.org/kafka/2.8.0/kafka_2.13-2.8.0.tgz tar -xzf kafka_2.13-2.8.0.tgz cd kafka_2.13-2.8.0
啟動 Kafka 服務
bin/zookeeper-server-start.sh config/zookeeper.properties bin/kafka-server-start.sh config/server.properties
設定 Filebeat
Filebeat 做為一個 producer 的角色,指定一個 topic 推播工作消息。
需要調整的參數有:Log 路徑、Kafka Hostname、Kafka Topic、帳號、密碼。
filebeat.inputs: - type: log enabled: true paths: - /your/log/path output.kafka: topic: elk-lab required_acks: 1 version: '1.0.0' partition.round_robin: reachable_only: false hosts: - "your-kafka-domain:9092" #username: "" #password: "" #ssl.enabled: true compression: none logging: level: debug to_files: true to_syslog: false files: path: /opt/filebeat/log name: eventhub.log keepfiles: 7 rotateeverybytes: 10485760 # 10 MB
設定 Logstash
Logstash 做為一個 consumer 的角色,可以處理多個 topics,並轉送至
elasticsearch。
input { kafka { bootstrap_servers => "localhost:9092" topics => ["elk-lab"] } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "logstash-kafka-%{+YYYY.MM.dd}" } }
可以進一步參考 grok filter plugin 處理 Log 資料
建立 Index Pattern
選單中選取 Stack Management > Index Pattern > Create Index
Pattern
Discover it
建立完 Index Pattern 後,即可以在 Discover 中檢視資料。
有任何問題,或是想看新主題?
聯絡我們
