在前面两篇文章中记录了使用logstash来收集mysql的慢查询日志,然后通过kibana以web的方式展示出来,但在生产环境中,需求会更复杂一些,而且通过logstash写正则,实在是个费时费劲的事。例如在生产环境中会有要求分析某个时间段mysql或者mongodb的慢查询日志情况;还有I/O吞吐量;这个时间段内经常执行的查询语句,http访问情况等信息;然后将分析出来的结果以图表的形式展现出来。听起来是不是有点头晕,有点高大上的感觉,其实通过packetbeat,一切将变得简单高效。本文介绍使用packetbeat,elasticsearch,kibana实现这个需求。
操作系统版本:centos6.6 64bit
Elasticsearch版本:elasticsearch-2.1.0.tar.gz
Kibana版本:Kibana 4.2.1
Packetbeat版本:packetbeat-1.0.0-1.x86_64
Topbeat版本:topbeat-1.0.0-x86_64 (topbeat其实是用来收集操作系统信息的)
在前两篇文章中未介绍如果安装elasticsearch和kibana,这个其实很简单,基本下载下来解压一下,稍微修改一下配置文件即可运行起来,所有就忽略了,如果有问题,可以自行百度或者bing一下。
目前packetbeat支持的网络协议有http,mysql,postgresql,redis,mongodb和thrift。Packetet支持pcap,pf_ring等抓包方式,采用哪种方式进行抓包,则需要安装相应的依赖包。
一:下载并安装packetbeat
# yum -y install libpcap
# rpm -ivh https://download.elastic.co/beats/packetbeat/packetbeat-1.0.0-x86_64.rpm
# rpm -ivh https://download.elastic.co/beats/topbeat/topbeat-1.0.0-x86_64.rpm
二:向elasticsearch导入packetbeat模板
# curl -XPUT
'http://192.168.1.226:9200/_template/packetbeat' -d@/etc/packetbeat/packetbeat.template.json
三:修改packetbeat配置文件
# cat /etc/packetbeat/packetbeat.yml --server15
shipper:
name: server15
tags: ["server15"]
interfaces:
device: any
type: pcap
buffer_size_mb: 100
protocols:
mysql:
ports: [3306]
output:
elasticsearch:
host: 192.168.1.207
port: 9200
enabled: true
# cat /etc/packetbeat/packetbeat.yml --server226
shipper:
name: server226
tags: ["server226"]
interfaces:
device: eth0
type: pcap
buffer_size_mb: 100
protocols:
mongodb:
ports: [37017, 38017]
send_request: true # index the request payload
send_response: true # index the response payload
max_docs: 10 # maximum number of documents to index per request/response
max_doc_length: 1024 # maximum document size to index
protocols:
mysql:
ports: [3306]
protocols:
redis:
ports: [6379]
output:
elasticsearch:
enabled: true
host: 192.168.1.207
port: 9200
四:启动packetbeat服务
# /etc/init.d/packetbeat start
五:导入packetbeat-dashboards
# git clone https://github.com/elastic/packetbeat-dashboards
# cd packetbeat-dashboards
# sh load.sh -url http://192.168.1.207:9200
六:web展示
1: 配置索引,这个在执行完load.sh脚本之后,索引会自动创建
wKiom1ZuiQ_wSfvGAACffDA-MDM552.png
2: 查看客户端的数据推送情况
wKiom1ZuiTnDruz2AADq8GDSF-E663.png
3: 查看导入的面板,可视化视图,点击setting-objects
wKioL1ZuiW7jT1nlAABr3Brl0hc212.png
4: 图形展示,点击dashboard-load save dashboards
wKioL1ZuiZySBukgAABD8K7ZGHQ261.png
Mysql情况:
wKiom1Zuib3B0N8GAAC-SiDsHqY275.png
在有多台mysql服务的情况下,可以根据tags来区分,在搜索框中输入相应的tag,则只显示对应的数据
wKiom1ZuieKx5OKOAADLhj9NrP8791.png
Mongodb情况
wKiom1ZuigDgzATgAABt0o2Rnfw187.png
汇总情况:
wKiom1ZuihuCI8WaAACjCa0H8Ww300.png
更多数据演示请访问packetbeat demo网址:http://demo.elastic.co/packetbeat/
七:故障排错
1: 在测试过程中曾经发现mysql里面的most frequent Mysql queries和slowest mysql queries数据显示不全,像是被截断的样子,排查后发现其实是模板的问题,删除模板后重新导入即可.
wKioL1ZuilehmdvhAACK_2SQDeI261.png
wKiom1ZuilLyFRN8AABmQsQvIVk594.png
# curl -XDELETE 'http://192.168.1.207:9200/*'
# curl -XPUT
'http://192.168.1.207:9200/_template/packetbeat' -d@/etc/packetbeat/packetbeat.template.json
# cd packetbeat-dashboards
# sh load.sh -url http://192.168.1.207:9200
2: elasticsearch数据维护
搜索数据:(如果你有多个索引,可以把packetbeat-*换成对应的索引名):
# curl -XGET 'http://192.168.1.226:9200/packetbeat-*/_search?pretty'
删除数据(如果你有多个索引,可以把packetbeat-*换成对应的索引名):
# curl -XDELETE 'http://192.168.1.207:9200/packetbeat-*'
©著作权归作者所有:来自51CTO博客作者ylw6006的原创作品,谢绝转载,否则将追究法律责任
packetbeat elasticsearchWorkSpace
共同学习,写下你的评论
评论加载中...
作者其他优质文章
