目录

介绍

Zookeeper 概述

Zookeeper 定义

Zookeeper 工作机制

Zookeeper 特点

Zookeeper 数据结构

Zookeeper 应用场景

Zookeeper 选举机制

部署 Zookeeper 集群

操作过程（3台服务器操作相同）

消息队列概述

为什么需要消息队列（MQ）

使用消息队列的好处

解耦

可恢复性

缓冲

灵活性 & 峰值处理能力

异步通信

各MQ比较

消息队列的两种模式

点对点模式

发布/订阅模式

Kafka概述

Kafka 定义

Kafka 简介

Kafka 的特性

高吞吐量、低延迟

可扩展性

持久性、可靠性

容错性

高并发

Kafka 系统架构

Broker

Topic

Partition

Replica

Leader

Follower

Producer

Consumer

Consumer Group（CG）

offset 偏移量

Zookeeper

部署 kafka 集群

zookeeper存储kafka集群的元数据

实验环境

操作过程

Kafka 命令行操作

创建topic

查看当前服务器中的所有 topic

查看某个 topic 的详情

发布消息

消费消息

修改分区数

删除 topic

部署Filebeat+Kafka+ELK

---

介绍

Kafka是由Apache软件基金会开发的一个开源流处理平台，由Scala和Java编写。Kafka是一种高吞吐量的分布式发布订阅消息系统，它可以处理消费者在网站中的所有动作流数据。 这种动作（网页浏览，搜索和其他用户的行动）是在现代网络上的许多社会功能的一个关键因素。 这些数据通常是由于吞吐量的要求而通过处理日志和日志聚合来解决。 对于像Hadoop一样的日志数据和离线分析系统，但又要求实时处理的限制，这是一个可行的解决方案。Kafka的目的是通过Hadoop的并行加载机制来统一线上和离线的消息处理，也是为了通过集群来提供实时的消息。

pache公司的软件包官方下载地址：Index of /dist (apache.org)

注：kafka从3.0版本之后，不再依赖zookeeper。

Zookeeper 概述

官方下载地址Index of /dist/zookeeper (apache.org)

Zookeeper 定义

Zookeeper是一个开源的分布式的，为分布式框架提供协调服务的Apache项目。

Zookeeper 工作机制

Zookeeper从设计模式角度来理解：是一个基于观察者模式设计的分布式服务管理框架，它负责存储和管理大家都关心的数据，然后接受观察者的注册，一旦这些数据的状态发生变化，Zookeeper就将负责通知已经在Zookeeper上注册的那些观察者做出相应的反应。

也就是说 Zookeeper = 文件系统 + 通知机制。

Zookeeper 特点

1. Zookeeper：一个领导者（Leader），多个跟随者（Follower）组成的集群。
2. Zookeepe集群中只要有半数以上节点存活，Zookeeper集群就能正常服务。所以Zookeeper适合安装奇数台服务器。
3. 全局数据一致：每个Server保存一份相同的数据副本，Client无论连接到哪个Server，数据都是一致的。
4. 更新请求顺序执行，来自同一个Client的更新请求按其发送顺序依次执行，即先进先出。
5. 数据更新原子性，一次数据更新要么成功，要么失败。
6. 实时性，在一定时间范围内，Client能读到最新数据。

Zookeeper 数据结构

ZooKeeper数据模型的结构与Linux文件系统很类似，整体上可以看作是一棵树，每个节点称做一个ZNode。每一个ZNode默认能够存储1MB的数据，每个ZNode都可以通过其路径唯一标识。

Zookeeper 应用场景

提供的服务包括：统一命名服务、统一配置管理、统一集群管理、服务器节点动态上下线、软负载均衡等。

统一命名服务

在分布式环境下，经常需要对应用/服务进行统一命名，便于识别。例如：IP不容易记住，而域名容易记住。

统一配置管理

1. 分布式环境下，配置文件同步非常常见。一般要求一个集群中，所有节点的配置信息是一致的，比如Kafka集群。对配置文件修改后，希望能够快速同步到各个节点上。

2. 配置管理可交由ZooKeeper实现。可将配置信息写入ZooKeeper上的一个Znode。各个客户端服务器监听这个Znode。一旦 Znode中的数据被修改，ZooKeeper将通知各个客户端服务器。

统一集群管理

1. 分布式环境中，实时掌握每个节点的状态是必要的。可根据节点实时状态做出一些调整。

2. ZooKeeper可以实现实时监控节点状态变化。可将节点信息写入ZooKeeper上的一个ZNode。监听这个ZNode可获取它的实时状态变化。

服务器动态上下线

客户端能实时洞察到服务器上下线的变化。

软负载均衡

在Zookeeper中记录每台服务器的访问数，让访问数最少的服务器去处理最新的客户端请求。

Zookeeper 选举机制

第一次启动选举机制

假设有5台服务器：

1. 服务器1启动，发起一次选举。服务器1投自己一票。此时服务器1票数一票，不够半数以上（3票），选举无法完成，服务器1状态保持为LOOKING；

2. 服务器2启动，再发起一次选举。服务器1和2分别投自己一票并交换选票信息：此时服务器1发现服务器2的myid比自己目前投票推举的（服务器1）大，更改选票为推举服务器2。此时服务器1票数0票，服务器2票数2票，没有半数以上结果，选举无法完成，服务器1，2状态保持LOOKING。

3. 服务器3启动，发起一次选举。此时服务器1和2都会更改选票为服务器3。此次投票结果：服务器1为0票，服务器2为0票，服务器3为3票。此时服务器3的票数已经超过半数，服务器3当选Leader。服务器1，2更改状态为FOLLOWING，服务器3更改状态为LEADING；

4. 服务器4启动，发起一次选举。此时服务器1，2，3已经不是LOOKING状态，不会更改选票信息。交换选票信息结果：服务器3为3票，服务器4为1票。此时服务器4服从多数，更改选票信息为服务器3，并更改状态为FOLLOWING；

5. 服务器5启动，和服务器4一样当小弟。

非第一次启动选举机制

1. 当ZooKeeper 集群中的一台服务器出现以下两种情况之一时，就会开始进入Leader选举：
   • 服务器初始化启动。
   • 服务器运行期间无法和Leader保持连接。
2. 而当一台机器进入Leader选举流程时，当前集群也可能会处于以下两种状态：
   • 集群中本来就已经存在一个Leader。
     • 对于已经存在Leader的情况，机器试图去选举Leader时，会被告知当前服务器的Leader信息，对于该机器来说，仅仅需要和 Leader机器建立连接，并进行状态同步即可。
   • 集群中确实不存在Leader。
     • 假设ZooKeeper由5台服务器组成，SID分别为1、2、3、4、5，ZXID分别为8、8、8、7、7，并且此时SID为3的服务器是Leader。某一时刻，3和5服务器出现故障，因此开始进行Leader选举。

选举Leader规则

• EPOCH大的直接胜出
• EPOCH相同，事务id大的胜出
• 事务id相同，服务器id大的胜出

• SID：服务器ID。用来唯一标识一台ZooKeeper集群中的机器，每台机器不能重复，和myid一致。
• ZXID：事务ID。ZXID是一个事务ID，用来标识一次服务器状态的变更。在某一时刻，集群中的每台机器的ZXID值不一定完全一致，这和ZooKeeper服务器对于客户端“更新请求”的处理逻辑速度有关。
• Epoch：每个Leader任期的代号。没有Leader时同一轮投票过程中的逻辑时钟值是相同的。每投完一次票这个数据就会增加。

部署 Zookeeper 集群

准备 3 台服务器做 Zookeeper 集群：

192.168.44.50

192.168.44.100

192.168.44.150

各节点关闭防火墙selinux，上传好相关的包到/opt下

操作过程（3台服务器操作相同）

1. 准备好jdk环境

   

2. 解压包到/usr/local下，并改名

   

3. 进入到zookeeper/conf目录中，复制zoo_sample.cfg为zoo.cfg

   

4. 修改配置文件zoo.cfg

   

server.A=B:C:D
●A是一个数字，表示这个是第几号服务器。集群模式下需要在zoo.cfg中dataDir指定的目录下创建一个文
件myid，这个文件里面有一个数据就是A的值，Zookeeper启动时读取此文件，拿到里面的数据与zoo.cfg里
面的配置信息比较从而判断到底是哪个server。
●B是这个服务器的地址。
●C是这个服务器Follower与集群中的Leader服务器交换信息的端口。
●D是万一集群中的Leader服务器挂了，需要一个端口来重新进行选举，选出一个新的Leader，而这个端口
就是用来执行选举时服务器相互通信的端口。
复制代码

1. 在每个节点上创建数据目录和日志目录

   

2. 在每个节点的dataDir指定的目录下创建一个 myid 的文件

   

3. 启动zookeeper，使用zookeeper下的zkServer.sh启动

   

4. 配置 Zookeeper 启动脚本

vim /etc/init.d/zookeeper
#!/bin/bash
#chkconfig:2345 20 90
#description:Zookeeper Service Control Script
ZK_HOME='/usr/local/zookeeper-3.5.7'
case $1 in
start)
	echo "---------- zookeeper 启动 ------------"
	$ZK_HOME/bin/zkServer.sh start
;;
stop)
	echo "---------- zookeeper 停止 ------------"
	$ZK_HOME/bin/zkServer.sh stop
;;
restart)
	echo "---------- zookeeper 重启 ------------"
	$ZK_HOME/bin/zkServer.sh restart
;;
status)
	echo "---------- zookeeper 状态 ------------"
	$ZK_HOME/bin/zkServer.sh status
;;
*)
    echo "Usage: $0 {start|stop|restart|status}"
esac

//	设置开机自启
chmod +x /etc/init.d/zookeeper
chkconfig --add zookeeper

//分别启动 Zookeeper
service zookeeper start

//查看当前状态
service zookeeper status
复制代码

消息队列概述

为什么需要消息队列（MQ）

主要原因是由于在高并发环境下，同步请求来不及处理，请求往往会发生阻塞。比如大量的请求并发访问数据库，导致行锁表锁，最后请求线程会堆积过多，从而触发 too many connection 错误，引发雪崩效应。

我们使用消息队列，通过异步处理请求，从而缓解系统的压力。消息队列常应用于异步处理，流量削峰，应用解耦，消息通讯等场景。

当前比较常见的 MQ 中间件有：ActiveMQ、RabbitMQ、RocketMQ、Kafka 等。

使用消息队列的好处

解耦

允许你独立的扩展或修改两边的处理过程，只要确保它们遵守同样的接口约束。

可恢复性

系统的一部分组件失效时，不会影响到整个系统。消息队列降低了进程间的耦合度，所以即使一个处理消息的进程挂掉，加入队列中的消息仍然可以在系统恢复后被处理。

缓冲

有助于控制和优化数据流经过系统的速度，解决生产消息和消费消息的处理速度不一致的情况。

灵活性 & 峰值处理能力

在访问量剧增的情况下，应用仍然需要继续发挥作用，但是这样的突发流量并不常见。如果为以能处理这类峰值访问为标准来投入资源随时待命无疑是巨大的浪费。使用消息队列能够使关键组件顶住突发的访问压力，而不会因为突发的超负荷的请求而完全崩溃。

异步通信

很多时候，用户不想也不需要立即处理消息。消息队列提供了异步处理机制，允许用户把一个消息放入队列，但并不立即处理它。想向队列中放入多少消息就放多少，然后在需要的时候再去处理它们。

各MQ比较

特性	ActiveMQ	RabbitMQ	RocketMQ	Kafka
单机吞吐量	万级	万级	十万级	十万级
topic数量对吞吐量的影响	-	-	topic可以达到几百，几千个的级别，吞吐量会有较小幅度的下降	topic从几十个到几百个的时候，吞吐量会大幅度下降
时效性	毫秒级}微妙级	毫秒级	毫秒级
可用性	高	高	非常高，分布式架构	非常高，分布式架构
消息可靠性	有较低的概率丢失数据	-	经过参数优化配置，可以做到0丢失	经过参数优化配置，消息可以做到0丢失
功能支持	完善	并发能力强，性能及其好，延时很低	MQ功能较为完善，还是分布式的，扩展性好	功能较为简单，主要支持简单的MQ功能，在大数据领域的实时计算以及日志采集被大规模使用，是事实上的标准
优劣势总结	非常成熟，功能强大，偶尔会有较低概率丢失消息，社区不活跃了	性能及其好，延时很低，功能完善，提供管理页面，社区比较活跃，吞吐量较低，使用erlang开发源码阅读不方便	接口简单易用，吞吐量高，分布式扩展方便，社区还算活跃，经过双11的考验	MQ功能比较少，吞吐量高，分布式架构，可能存在信息重复消费问题，主要适用大数据实时计算以及日志收集

消息队列的两种模式

点对点模式

一对一，消费者主动拉取数据，消息收到后消息清除

• 消息生产者生产消息发送到消息队列中，然后消息消费者从消息队列中取出并且消费消息。消息被消费以后，消息队列中不再有存储，所以消息消费者不可能消费到已经被消费的消息。消息队列支持存在多个消费者，但是对一个消息而言，只会有一个消费者可以消费。

发布/订阅模式

一对多，又叫观察者模式，消费者消费数据之后不会清除消息

• 消息生产者（发布）将消息发布到 topic 中，同时有多个消息消费者（订阅）消费该消息。和点对点方式不同，发布到 topic 的消息会被所有订阅者消费。
• 发布/订阅模式是定义对象间一种一对多的依赖关系，使得每当一个对象（目标对象）的状态发生改变，则所有依赖于它的对象（观察者对象）都会得到通知并自动更新。

Kafka概述

官方下载地址：Apache Kafka

Kafka 定义

Kafka 是一个分布式的基于发布/订阅模式的消息队列（MQ，Message Queue），主要应用于大数据实时处理领域。

Kafka 简介

Kafka 是最初由 Linkedin 公司开发，是一个分布式、支持分区的（partition）、多副本的（replica），基于 Zookeeper 协调的分布式消息中间件系统，它的最大的特性就是可以实时的处理大量数据以满足各种需求场景，比如基于 hadoop 的批处理系统、低延迟的实时系统、Spark/Flink 流式处理引擎，nginx 访问日志，消息服务等等，用 scala 语言编写， Linkedin 于 2010 年贡献给了 Apache 基金会并成为顶级开源项目。

Kafka 的特性

高吞吐量、低延迟

Kafka 每秒可以处理几十万条消息，它的延迟最低只有几毫秒。每个 topic 可以分多个 Partition，Consumer Group 对 Partition 进行消费操作，提高负载均衡能力和消费能力。

可扩展性

kafka 集群支持热扩展。

持久性、可靠性

消息被持久化到本地磁盘，并且支持数据备份防止数据丢失。

容错性

允许集群中节点失败（多副本情况下，若副本数量为 n，则允许 n-1 个节点失败）。

高并发

支持数千个客户端同时读写。

Kafka 系统架构

Broker

一台 kafka 服务器就是一个 broker。一个集群由多个 broker 组成。一个 broker 可以容纳多个 topic。

Topic

可以理解为一个队列，生产者和消费者面向的都是一个 topic。 类似于数据库的表名或者 ES 的 index 物理上不同 topic 的消息分开存储

Partition

为了实现扩展性，一个非常大的 topic 可以分布到多个 broker（即服务器）上，一个 topic 可以分割为一个或多个 partition，每个 partition 是一个有序的队列。Kafka 只保证 partition 内的记录是有序的，而不保证 topic 中不同 partition 的顺序。

每个 topic 至少有一个 partition，当生产者产生数据的时候，会根据分配策略选择分区，然后将消息追加到指定的分区的队列末尾。

Partation 数据路由规则

1. 指定了 patition，则直接使用；
2. 未指定 patition 但指定 key（相当于消息中某个属性），通过对 key 的 value 进行 hash 取模，选出一个 patition；
3. patition 和 key 都未指定，使用轮询选出一个 patition。

注意

• 每条消息都会有一个自增的编号，用于标识消息的偏移量，标识顺序从 0 开始。
• 每个 partition 中的数据使用多个 segment 文件存储。
• 如果 topic 有多个 partition，消费数据时就不能保证数据的顺序。严格保证消息的消费顺序的场景下（例如商品秒杀、 抢红包），需要将 partition 数目设为 1。

broker、topic、partition三者的关系

• broker 存储 topic 的数据。如果某 topic 有 N 个 partition，集群有 N 个 broker，那么每个 broker 存储该 topic 的一个 partition。
• 如果某 topic 有 N 个 partition，集群有 (N+M) 个 broker，那么其中有 N 个 broker 存储 topic 的一个 partition， 剩下的 M 个 broker 不存储该 topic 的 partition 数据。
• 如果某 topic 有 N 个 partition，集群中 broker 数目少于 N 个，那么一个 broker 存储该 topic 的一个或多个 partition。在实际生产环境中，尽量避免这种情况的发生，这种情况容易导致 Kafka 集群数据不均衡。

分区的原因

• 方便在集群中扩展，每个Partition可以通过调整以适应它所在的机器，而一个topic又可以有多个Partition组成，因此整个集群就可以适应任意大小的数据了；
• 可以提高并发，因为可以以Partition为单位读写了。

Replica

副本，为保证集群中的某个节点发生故障时，该节点上的 partition 数据不丢失，且 kafka 仍然能够继续工作，kafka 提供了副本机制，一个 topic 的每个分区都有若干个副本，一个 leader 和若干个 follower。

Leader

每个 partition 有多个副本，其中有且仅有一个作为 Leader，Leader 是当前负责数据的读写的 partition。

Follower

Follower 跟随 Leader，所有写请求都通过 Leader 路由，数据变更会广播给所有 Follower，Follower 与 Leader 保持数据同步。Follower 只负责备份，不负责数据的读写。

如果 Leader 故障，则从 Follower 中选举出一个新的 Leader。

当 Follower 挂掉、卡住或者同步太慢，Leader 会把这个 Follower 从 ISR（Leader 维护的一个和 Leader 保持同步的 Follower 集合） 列表中删除，重新创建一个 Follower。

Producer

生产者即数据的发布者，该角色将消息 push 发布到 Kafka 的 topic 中。

broker 接收到生产者发送的消息后，broker 将该消息追加到当前用于追加数据的 segment 文件中。

生产者发送的消息，存储到一个 partition 中，生产者也可以指定数据存储的 partition。

Consumer

消费者可以从 broker 中 pull 拉取数据。消费者可以消费多个 topic 中的数据。

Consumer Group（CG）

• 消费者组，由多个 consumer 组成。
• 所有的消费者都属于某个消费者组，即消费者组是逻辑上的一个订阅者。可为每个消费者指定组名，若不指定组名则属于默认的组。
• 将多个消费者集中到一起去处理某一个 Topic 的数据，可以更快的提高数据的消费能力。
• 消费者组内每个消费者负责消费不同分区的数据，一个分区只能由一个组内消费者消费，防止数据被重复读取。
• 消费者组之间互不影响。

offset 偏移量

• 可以唯一的标识一条消息。
• 偏移量决定读取数据的位置，不会有线程安全的问题，消费者通过偏移量来决定下次读取的消息（即消费位置）。
• 消息被消费之后，并不被马上删除，这样多个业务就可以重复使用 Kafka 的消息。
• 某一个业务也可以通过修改偏移量达到重新读取消息的目的，偏移量由用户控制。
• 消息最终还是会被删除的，默认生命周期为 1 周（7*24小时）。

Zookeeper

Kafka 通过 Zookeeper 来存储集群的 meta 信息。

由于 consumer 在消费过程中可能会出现断电宕机等故障，consumer 恢复后，需要从故障前的位置的继续消费，所以 consumer 需要实时记录自己消费到了哪个 offset，以便故障恢复后继续消费。
Kafka 0.9 版本之前，consumer 默认将 offset 保存在 Zookeeper 中；从 0.9 版本开始，consumer 默认将 offset 保存在 Kafka 一个内置的 topic 中，该 topic 为__consumer_offsets。

也就是说，zookeeper的作用就是，生产者push数据到kafka集群，就必须要找到kafka集群的节点在哪里，这些都是通过zookeeper去寻找的。消费者消费哪一条数据，也需要zookeeper的支持，从zookeeper获得offset，offset记录上一次消费的数据消费到哪里，这样就可以接着下一条数据进行消费。

部署 kafka 集群

zookeeper存储kafka集群的元数据

• 要先部署zookeeper集群，在zookeeper集群基础上安装kafka应用，节点数量要是>=3的奇数台
• 生产者推送数据到kafxa集群需要先通过zookeeper确定kafka的位置，消息者消费的数据到哪里了也要从存储在zookeeper上的offset确定
• offer偏移量记录上一条消费者消费的数据位置，以便在故障恢复后可以接着下一跳数据继续消费
• 几个kaf ka服务器就是几个broker，生成推送数据到topic当中，topie可以被分区多个Partition，一个Partition可以右多个leplicalieplica可以是一个leoder和多个folower，leader负责数据的读写，follower仅负责复制备份，消费者面向topic进行数据消费

实验环境

准备 3 台服务器做 Zookeeper 集群：

192.168.44.50

192.168.44.100

192.168.44.150

操作过程

1. 解压包到/usr/local下，并改名

   

2. 进入kafka目录，备份server.properties文件

   

3. 修改配置文件server.properties

   

4. 修改环境变量vim /etc/profile

   

5. 启动kafka

   

6. 配置 Zookeeper 启动脚本

vim /etc/init.d/kafka
#!/bin/bash
#chkconfig:2345 22 88
#description:Kafka Service Control Script
KAFKA_HOME='/usr/local/kafka'
case $1 in
start)
	echo "---------- Kafka 启动 ------------"
	${KAFKA_HOME}/bin/kafka-server-start.sh -daemon ${KAFKA_HOME}/config/server.properties
;;
stop)
	echo "---------- Kafka 停止 ------------"
	${KAFKA_HOME}/bin/kafka-server-stop.sh
;;
restart)
	$0 stop
	$0 start
;;
status)
	echo "---------- Kafka 状态 ------------"
	count=$(ps -ef | grep kafka | egrep -cv "grep|$$")
	if [ "$count" -eq 0 ];then
        echo "kafka is not running"
    else
        echo "kafka is running"
    fi
;;
*)
    echo "Usage: $0 {start|stop|restart|status}"
esac

//设置开机自启
chmod +x /etc/init.d/kafka
chkconfig --add kafka

//分别启动 Kafka
service kafka start
复制代码

Kafka 命令行操作

创建topic

kafka-topics.sh --create --zookeeper 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 --replication-factor 2 --partitions 3 --topic test
复制代码

• --zookeeper：定义 zookeeper 集群服务器地址，如果有多个 IP 地址使用逗号分割，一般使用一个 IP 即可
• --replication-factor：定义分区副本数，1 代表单副本，建议为 2
• --partitions：定义分区数
• --topic：定义 topic 名称

查看当前服务器中的所有 topic

kafka-topics.sh --list --zookeeper 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 
复制代码

查看某个 topic 的详情

kafka-topics.sh  --describe --zookeeper 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 
复制代码

发布消息

kafka-console-producer.sh --broker-list 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181  --topic test
复制代码

消费消息

kafka-console-consumer.sh --bootstrap-server 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 --topic test --from-beginning
复制代码

--from-beginning：会把主题中以往所有的数据都读取出来

修改分区数

kafka-topics.sh --zookeeper 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 --alter --topic test --partitions 6
复制代码

删除 topic

kafka-topics.sh --delete --zookeeper 192.168.44.50:2181,192.168.44.100:2181,192.168.44.150:2181 --topic test
复制代码

部署Filebeat+Kafka+ELK

1. 部署 Zookeeper+Kafka 集群

2. 部署 Filebeat

cd /usr/local/filebeat

vim filebeat.yml
filebeat.prospectors:
- type: log
  enabled: true
  paths:
    - /var/log/httpd/access_log
  tags: ["access"]
  
- type: log
  enabled: true
  paths:
    - /var/log/httpd/error_log
  tags: ["error"]
  
......
#添加输出到 Kafka 的配置
output.kafka:
  enabled: true
  hosts: ["192.168.44.50:9092","192.168.44.100:9092","192.168.44.150:9092"]    #指定 Kafka 集群配置
  topic: "httpd"    #指定 Kafka 的 topic
  
#启动 filebeat
./filebeat -e -c filebeat.yml
复制代码

1. 部署 ELK，在 Logstash 组件所在节点上新建一个 Logstash 配置文件

cd /etc/logstash/conf.d/

vim kafka.conf
input {
    kafka {
        bootstrap_servers => "192.168.44.50:9092","192.168.44.100:9092","192.168.44.150:9092"  #kafka集群地址
        topics  => "httpd"     #拉取的kafka的指定topic
        type => "httpd_kafka"  #指定 type 字段
        codec => "json"        #解析json格式的日志数据
        auto_offset_reset => "latest"  #拉取最近数据，earliest为从头开始拉取
        decorate_events => true   #传递给elasticsearch的数据额外增加kafka的属性数据
    }
}

output {
  if "access" in [tags] {
    elasticsearch {
      hosts => ["192.168.44.20:9200"]
      index => "httpd_access-%{+YYYY.MM.dd}"
    }
  }
  
  if "error" in [tags] {
    elasticsearch {
      hosts => ["192.168.44.20:9200"]
      index => "httpd_error-%{+YYYY.MM.dd}"
    }
  }
  
  stdout { codec => rubydebug }
}

#启动 logstash
logstash -f kafka.conf
复制代码

1. 浏览器访问 http://192.168.44.40:5601 登录 Kibana，单击“Create Index Pattern”按钮添加索引“filebeat_test-*”，单击 “create” 按钮创建，单击 “Discover” 按钮可查看图表信息及日志信息。