基于ELK的简单数据分析

原文链接： http://www.open-open.com/lib/view/open1455673846058.html

环境

CentOS 6.5 64位

JDK 1.8.0_20

Elasticsearch 1.7.3

LogStash 1.5.6

Kibana 4.1.4

介绍

ElasticSearch是有名的开源搜索引擎，现在很多公司使用ELK技术栈做日志分析，比如新浪使用ELK处理每天32亿条记录，详细的介绍可以查看这里

我们的数据量没有新浪那么大，一天正常水平在6千万条左右，多的时候有一个亿条记录，受到新浪案例的启发我们基于ELK搭建自己的简单数据分析系统，刚开始选择这个的原因：(1)就我一个人折腾东西， (2)我不会前端，但是ELK中的kibana可以直接利用，(3)Hadoop/Hbase、Storm等大数据栈需要学习成本，短期内上手难度太大。(4)可用的机器数也是相当屌丝。

环境搭建

需要安装好Java，配置JAVA_HOME,bin目录添加到PATH环境变量

ElasticSearch

下载ElasticSearch，然后解压到/opt

执行/opt/elasticsearch-1.7.3/bin/elasticsearch -d 就可以在后台启动，但是为了同时管理ELK三个进程，我选择了supervisor做统一管理

启动ElasticSearch之后，我们需要关闭字符串的分词，对于数据分析的需求是不需要的，同时会存在问题，但是当作为搜索引擎的时候，这又是必须的。

关闭字符串的分词

curl -XPUT http://localhost:9200/_template/template_1 -d '{
"template": "*",
"settings": {
"index.refresh_interval": "5s"
},
"mappings": {
"_default_": {
"_all": {
"enabled": true
},
"dynamic_templates": [
{
"string_fields": {
"match": "*",
"match_mapping_type": "string",
"mapping": {
"index": "not_analyzed",
"omit_norms": true,
"type": "string"
}
}
}
],
"properties": {
"@version": {
"type": "string",
"index": "not_analyzed"
}
}
}
}
}'

Kibana

下载Kibana,然后解压到/opt

运行/opt/kibana-4.1.4-linux-x64/bin/kibana，同样适用supervisor管理

访问http://YourIP:5601即可

Logstash

到目前为止我们还没有数据源

下载LogStash，解压到/opt

编写如下配置文件



我们的数据来源于kafka中的一个topic，格式是json，输出到elasticsearch的索引，按天变化

简单的数据分析

跑了四个多小时，差不多有890w数据

我们先来看看设备的操作系统版本号(android 4.4.4的设备最多，差不多有300万)



设备型号分布