日志管理系统Graylog的集群部署

系统架构Load Balancer: 负载均衡Graylog Server Cluster: 提供日志的Web管理功能和日志输入MongoDB Replica Set:存储Graylog相关的配置Elasticsearch Cluster: 日志文件的持久化存储和检索Graylog ClusterGraylog集群的安装部署如下表所示：VMIPGraylog S...

wujushan

2719人浏览 · 2020-01-09 09:35:37

wujushan · 2020-01-09 09:35:37 发布

系统架构

Load Balancer: 负载均衡
Graylog Server Cluster: 提供日志的Web管理功能和日志输入
MongoDB Replica Set: 存储Graylog相关的配置
Elasticsearch Cluster: 日志文件的持久化存储和检索

Graylog Cluster

Graylog集群的安装部署如下表所示：

VM	IP	Graylog Server	MongoDB	Elasticsearch
vm1	192.168.56.131	Graylog Server主节点	MongoDB主节点	elasticsearch master节点
vm2	192.168.56.141	Graylog Server从节点	MongoDB仲裁节点	elasticsearch master&data节点
vm3	192.168.56.142	Graylog Server从节点	MongoDB备选主节点	elasticsearch master&data节点

MongoDB

所有节点的配置都一样，如下

# /etc/mongod.conf

# for documentation of all options, see:
#   http://docs.mongodb.org/manual/reference/configuration-options/

# Where and how to store data.
storage:
 dbPath: /var/lib/mongodb
 journal:
   enabled: true
#  engine:
#  mmapv1:
#  wiredTiger:

#replication:
#  replSetName: graylog
# where to write logging data.
systemLog:
 destination: file
 logAppend: true
 path: /var/log/mongodb/mongod.log
# network interfaces
net:
 port: 27017
 bindIp: 0.0.0.0
# how the process runs
processManagement:
#  fork: true
#  pidFilePath: /var/run/mongodb/mongod.pid
 timeZoneInfo: /usr/share/zoneinfo
#security:
#operationProfiling:
replication:
 replSetName: graylog

在任意节点，利用mongo命令登入mongodb：

rs.initiate()

# 添加主节点

rs.add({_id:0,host:‘192.168.56.131:27017’,priority:2,arbiterOnly:false})

# 添加备用节点

rs.add({_id:1,host:‘192.168.56.142:27017’,priority:1,arbiterOnly:false})

# 添加仲裁节点

rs.add({_id:2,host:‘192.168.56.141:27017’,arbiterOnly:true})

rs.conifg() # 查看节点信息

Elasticsearch

Note:Elasticsearch不能使用root用户开启，所以，需要创建一个新的用户和组别，如es.

su es
vim /usr/local/elasticsearch/config/elasticsearch.yml
分别修改以下几个配置项：
cluster.name: graylog
node.name: node-1

# node.master=true means this is a candidate master node

node.master: true

# node.data = true means this is a data node

node.data: true

# the ip of node

network.host: 0.0.0.0

# ip:host of all nodes

discovery.zen.ping.unicast.hosts: [“192.168.56.131:9300”,“192.168.56.141:9300”,“192.168.56.142:9300”]
discovery.zen.minimum_master_nodes: 2
其他节点分别修改node.name, node.master, node.data 。

候选主节点

一个节点启动后，就会使用Zen Discovery机制去寻找集群中的其他节点，并与之建立连接。集群中会从候选主节点中选举出一个主节点，主节点负责创建索引、删除索引、分配分片、追踪集群中的节点状态等工作。Elasticsearch中的主节点的工作量相对较轻，用户的请求可以发往任何一个节点，由该节点负责分发和返回结果，而不需要经过主节点转发。
正常情况下，集群中的所有节点，应该对主节点的选择是一致的，即一个集群中只有一个选举出来的主节点。然而，在某些情况下，比如网络通信出现问题、主节点因为负载过大停止响应等等，就会导致重新选举主节点，此时可能会出现集群中有多个主节点的现象，即节点对集群状态的认知不一致，称之为脑裂现象。为了尽量避免此种情况的出现，可以通过discovery.zen.minimum_master_nodes来设置最少可工作的候选主节点个数，建议设置为(候选主节点数 / 2) + 1, 比如，当有三个候选主节点时，该配置项的值为(3/2)+1=2，也就是保证集群中有半数以上的候选主节点。
候选主节点的设置方法是设置node.mater为true，默认情况下，node.mater和node.data的值都为true，即该节点既可以做候选主节点也可以做数据节点。由于数据节点承载了数据的操作，负载通常都很高，所以随着集群的扩大，建议将二者分离，设置专用的候选主节点。当我们设置node.data为false，就将节点设置为专用的候选主节点了。

node.master = true

node.data = false

数据节点

数据节点负责数据的存储和相关具体操作，比如CRUD、搜索、聚合。所以，数据节点对机器配置要求比较高，首先需要有足够的磁盘空间来存储数据，其次数据操作对系统CPU、Memory和IO的性能消耗都很大。通常随着集群的扩大，需要增加更多的数据节点来提高可用性。
前面提到默认情况下节点既可以做候选主节点也可以做数据节点，但是数据节点的负载较重，所以需要考虑将二者分离开，设置专用的数据节点，避免因数据节点负载重导致主节点不响应。

node.master = false

node.data = true

数据备份

参考链接：

https://blog.csdn.net/jiahao1186/article/details/81058022

官方文档

https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html

Graylog

设置是否为主节点

/# If you are running more than one instances of Graylog server you have to select one of these instances as master. The master will perform some periodical tasks that non-master won’t perform.
is_master = true

生成管理员密码

echo -n your_passwd | sha256sum
for example: echo -n admin1234 | sha256sum
7a96004f5149811c069f40146b08cf058db961 -

将管理员密码的哈希结果添加到配置文件

sudo vim /etc/graylog/server/server.conf

root_password_sha2 = 7a96004f5149811c069f40146b08cf058db961

生成并设置保护密码

sudo apt-get install pwgen

pwgen -N -1 -s 40 1

5JdTcmGgqBUNw2o9YXbuzNx58tmY

sudo vim /etc/graylog/server/server.conf

password_secret = 5JdTcmGgqBUNw2o9YXbuzNx58tmY

修改mongodb的连接uri

sudo vim /etc/graylog/server/server.conf

# 如果没有登录认证信息，则无需添加user:password

mongodb_uri = mongodb://192.168.56.131:27017,192.168.56.141:27017,192.168.56.142:27017/graylog

修改elasticsearch hosts

elasticsearch_hosts = http://192.168.56.131:9200,http://192.168.56.141:9200,http://192.168.56.142:9200

修改http绑定地址

http_bind_address = 0.0.0.0:9000

修改publish uri

# 由于外部机器只能通过主机的端口转化进行访问graylog, 所以这里需要设置为主机的IP
http_publish_uri = http://172.16.162.127:9000/

设置自动启动graylog

sudo systemctl enable graylog-server.service

sudo systemctl start graylog-server.service

常见错误：
- 如果发现机器重启之后，Graylog没有启动，并在对应的日志文件上没有这次启动的日志，则可能systemd文件有错误
  
  查看systemd启动文件 /usr/lib/systemd/system/graylog-server.service，是否使用**/bin/bash启动graylog-server，例如：
  ExecStart=/bin/bash** /usr/share/graylog-server/bin/graylog-server

Filebeat

Filebeat是本地文件的日志数据采集器，可监控日志目录或特定的日志文件(tail file)，并将它们转发给Elasticsearch或logstash进行索引。

# /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log 
  enalbed: true
  paths:
    - /var/log/nginx/error.log
  # Exclude lines. A list of regular expressions to match. It drops the lines that are
  # matching any regular expression from the list.
  exclude_lines: ["^$", "^this"]
#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["192.168.56.151:12203"]

启动filebeat

sudo systemctl enable filebeat
sudo systemctl start filebeat

Note: 大家在测试file beat功能的时候，如果使用vim去编辑你的测试日志文件，这样会在Graylog管理后台看到重复的日志，原因是vim编辑并保存文件之后，文件的inode已经改变了。

Log LoadBalancer

利用Nginx(支持http, tcp和UDP数据转发)实现日志web管理访问和日志同步输入的负载均衡。例如：需要4个端口转发配置，分别为：web管理访问端口9000(TCP), service_1日志输入端口12201(UDP)、service_2日志输入端口12202(UDP)和service_3 filebeat日志输入端口12203(TCP)。

web管理访问

upstream graylog_servers {
    least conn;
    server 192.168.56.131:9000;
    server 192.168.56.141:9000;
    server 192.168.56.142:9000;
}

server {
    listen        9000;
    proxy_pass    graylog_servers;
    proxy_timeout  10s;
    error_log     graylog_servers.log;
}

service_1日志输入

upstream service_1_logs {
    least conn;
    server 192.168.56.131:12201;
    server 192.168.56.141:12201;
    server 192.168.56.142:12201;
}

server {
    listen        12201 udp;
    proxy_pass    service_1_logs ;
    proxy_timeout  10s;
    error_log     service_1_logs .log;
}

service_2日志输入

upstream service_2_logs {
    least conn;
    server 192.168.56.131:12202;
    server 192.168.56.141:12202;
    server 192.168.56.142:12202;
}

server {
    listen        12202 udp;
    proxy_pass   service_2_logs ;
    proxy_timeout  10s;
    error_log     service_2_logs .log;
}

service_3 filebeat日志输入

upstream service_3_logs {
    least conn;
    server 192.168.56.131:12202;
    server 192.168.56.141:12202;
    server 192.168.56.142:12202;
}

server {
    listen        12203;
    proxy_pass    service_3_logs;
    proxy_timeout  10s;
    error_log     service_3_logs.log;
}

日志管理

进入Graylog的日志管理界面之后，根据如下信息配置好各个模块的日志输入。

日志输入源	方式	端口
service_1	GELF UDP	12201
service_2	GELF UDP	12202
service_3	Beats	12203

Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云（Unified IaaS）

随着数字化时代的到来，IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来，智能制造，5G和人工智能等技术将成为推动生产力发展的重要引擎，人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体，是实现数字化的基石。在这场数字化浪潮中，企业必须积极拥抱云计算技术，采用符合技术发展趋势、面向未来的IT基础构架，才能在未来的竞争中赢得先机。一、云计算历经十余年

Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松今天的内容会从以下几个方面展开：负载均衡产品简介。主要介绍负载均衡作为一个云上产品，它的功能模型是怎样的，日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇，对负载均衡服务中常见的一些功能选项进行介绍，并举例介绍一些典型的应用场景最后，我们做一下总结，讨论一下负载均衡产品相比传统方式的优点一、产品简介 1. 以NGINX为例提到负载均衡，我们以

Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点，这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的，关键在于事先在主机上对系统、内核和物理设备的一些配置。单纯从 qemu 的命令行来看，其实和普通虚拟机启动就差了最后那个-device的选项。这