这里使用elasticsearch做全文检索,不是ELK日志采集。
elasticsearch作为全文检索,必须服务端和客服端的版本一致,所以在安装elasticsearch时,要注意版本问题。
前言
- 这里我的系统是阿里云的 CentOS 7.2 64位,2核8G
- $开始的命令表示你要输入的命令
一、JAVA环境配置
ElasticSearch是基于lucence开发的,也就是运行需要java支持。所以要先安装JAVA环境。 由于ElasticSearch 5.x 依赖于JDK 1.8的,所以现在我们下载JDK 1.8或者更高版本。以下命令将会下载最新的jdk
$ yum install java 安装完毕后测试
$ java -version 二、Elasticsearch引擎安装
1、创建帐号和分配权限
官方文档上说Elasticsearch不适合在root管理员帐号下运行,所以要先建立一个账号专门运行Elasticsearch.
创建es组和账户,创建组命令groupadd 用户组,创建用户useradd -g 用户组 用户名
$ groupadd es $ useradd -g es es 设置密码
$ passwd es FX_zscs_0303 按照提示输入密码和确认密码就成功创建elsearch账户了。
2、修改系统参数
使用命令vim /etc/security/limits.conf在最后添加数据如下:(soft nproc和hard nproc也可以设置成65536)
root soft nofile 65535 root hard nofile 65535 #es es soft nofile 65536 es hard nofile 65536 * soft nofile 65535 * hard nofile 65535 
使用命令vim /etc/sysctl.conf在最后添加一行数据如下:vm.max_map_count=262144
修改完后,执行如下命令
sysctl -p 3、创建elasticsearch工作目录
$ cd /data/ $ mkdir elasticsearch 4、下载elasticsearch
打开官网 https://www.elastic.co/cn/downloads
选择下载elasticsearch,根据需要选择对应的安装包,这里选择5.5.3版本,下载完后得到 elasticsearch-5.5.3.tar.gz
5、安装
将下载好的elasticsearch-5.5.3.tar.gz上传到/data/elasticsearch目录下
解压elasticsearch-5.5.3.tar.gz 到当前目录
$ tar -zxvf elasticsearch-5.5.3.tar.gz -C /data/elasticsearch 查看
$ ls
elasticsearch-5.5.3 elasticsearch-5.5.3.tar.gz 删除压缩文件,使用命令
$ rm -f elasticsearch-5.5.3.tar.gz 授权/data/elasticsearch文件给es用户,命令说明chown [选项]... [所有者][:[组]] 文件...
chown -R es:es /data/elasticsearch 6、配置
进入/data/elasticsearch/elasticsearch-5.5.3目录,使用命令
cd /data/elasticsearch/elasticsearch-5.5.3 目录结构
├── elasticsearch-5.5.3 │ ├── bin │ │ ├── elasticsearch │ │ ├── elasticsearch.bat │ │ ├── elasticsearch.in.bat │ │ ├── elasticsearch.in.sh │ │ ├── elasticsearch-keystore │ │ ├── elasticsearch-keystore.bat │ │ ├── elasticsearch-plugin │ │ ├── elasticsearch-plugin.bat │ │ ├── elasticsearch-service.bat │ │ ├── elasticsearch-service-mgr.exe │ │ ├── elasticsearch-service-x64.exe │ │ ├── elasticsearch-service-x86.exe │ │ ├── elasticsearch-systemd-pre-exec │ │ ├── elasticsearch-translog │ │ └── elasticsearch-translog.bat │ ├── config │ │ ├── elasticsearch.yml │ │ ├── jvm.options │ │ └── log4j2.properties │ ├── lib │ ├── LICENSE.txt │ ├── modules │ ├── NOTICE.txt │ ├── plugins │ └── README.textile 进入其中的config目录(使用命令cd config),编辑elasticsearch.yml文件
cd ./config vim elasticsearch.yml 添加配置,注意,配置文件“:”后要有空格
#这是集群名字,我们 起名为 elasticsearch #es启动后会将具有相同集群名字的节点放到一个集群下。 cluster.name: es-zscs #节点名字。 node.name: "es-node1" # 数据存储位置(单个目录设置) path.data: /data/elasticsearch/elasticsearch-5.5.3/data # 日志文件的路径 path.logs: /data/elasticsearch/elasticsearch-5.5.3/logs #设置绑定的ip地址,可以是ipv4或ipv6的,默认为0.0.0.0 #network.bind_host: 192.168.250.104 #设置其它节点和该节点交互的ip地址,如果不设置它会自动设置,值必须是个真实的ip地址 #network.publish_host: 192.168.250.104 #同时设置bind_host和publish_host上面两个参数。 #network.host: 192.168.250.104 # 设置节点间交互的tcp端口,默认是9300 transport.tcp.port: 9300 # 设置是否压缩tcp传输时的数据,默认为false,不压缩 transport.tcp.compress: true # 设置对外服务的http端口,默认为9200 http.port: 9200 # 使用http协议对外提供服务,默认为true,开启 #http.enabled: false #discovery.zen.ping.unicast.hosts:["节点1的 ip","节点2 的ip","节点3的ip"] #这是一个集群中的主节点的初始列表,当节点(主节点或者数据节点)启动时使用这个列表进行探测 #discovery.zen.ping.unicast.hosts: ["192.168.137.100", "192.168.137.101","192.168.137.100:9301"] #指定集群中的节点中有几个有master资格的节点。 #对于大集群可以写(2-4)。 discovery.zen.minimum_master_nodes: 1 配置说明
| 属性名 | 值 | 作用 |
|---|---|---|
| cluster.name | elk | 设置当前节点所属的集群的名称,为elasticsearch提供发现节点的作用 |
| node.name | elk-es-01 | 设置当前节点的名称 |
| path.data | /data/elk/elasticsearch/data | 设置当前节点的数据目录 |
| npath.logs | /data/elk/elasticsearch/logs | 设置当前节点的日志文件 |
| network.host | 0.0.0.0 | 设置允许访问的服务器ip,0.0.0.0代表所有的服务器 |
| http.port | 9200 | 对外提供的服务端口 |
| discovery.zen.ping.unicast.hosts | IP列表 | 用来发现新增的集群节点 |
7、引擎启动
切换到es用户
su es 启动elasticsearch,(-d表示为后台启动)
/data/elasticsearch/elasticsearch-5.5.3/bin/elasticsearch -d 查看elasticsearch进程情况
$ ps -ef |grep elasticsearch root 30076 25943 0 20:28 pts/0 00:00:00 grep --color=auto elasticsearch 或者使用
$ /data/elasticsearch/elasticsearch-5.5.3/bin/elasticsearch 打印结果,出现[es-node1] started表示启动成功
[2017-09-27T09:39:11,080][INFO ][o.e.n.Node ] [es-node1] initializing ... [2017-09-27T09:39:11,172][INFO ][o.e.e.NodeEnvironment ] [es-node1] using [1] data paths, mounts [[/data (/dev/vdb1)]], net usable_space [90.2gb], net total_space [98.3gb], spins? [possibly], types [ext3] [2017-09-27T09:39:11,173][INFO ][o.e.e.NodeEnvironment ] [es-node1] heap size [1.9gb], compressed ordinary object pointers [true] [2017-09-27T09:39:11,174][INFO ][o.e.n.Node ] [es-node1] node name [es-node1], node ID [u5y2ra-qQL-q3IpdvfT4wA] [2017-09-27T09:39:11,174][INFO ][o.e.n.Node ] [es-node1] version[5.5.3], pid[9830], build[9305a5e/2017-09-07T15:56:59.599Z], OS[Linux/3.10.0-514.6.2.el7.x86_64/amd64], JVM[Oracle Corporation/Java HotSpot(TM) 64-Bit Server VM/1.8.0_112/25.112-b15] [2017-09-27T09:39:11,174][INFO ][o.e.n.Node ] [es-node1] JVM arguments [-Xms2g, -Xmx2g, -XX:+UseConcMarkSweepGC, -XX:CMSInitiatingOccupancyFraction=75, -XX:+UseCMSInitiatingOccupancyOnly, -XX:+AlwaysPreTouch, -Xss1m, -Djava.awt.headless=true, -Dfile.encoding=UTF-8, -Djna.nosys=true, -Djdk.io.permissionsUseCanonicalPath=true, -Dio.netty.noUnsafe=true, -Dio.netty.noKeySetOptimization=true, -Dio.netty.recycler.maxCapacityPerThread=0, -Dlog4j.shutdownHookEnabled=false, -Dlog4j2.disable.jmx=true, -Dlog4j.skipJansi=true, -XX:+HeapDumpOnOutOfMemoryError, -Des.path.home=/data/elasticsearch/elasticsearch-5.5.3] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [aggs-matrix-stats] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [ingest-common] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [lang-expression] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [lang-groovy] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [lang-mustache] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [lang-painless] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [parent-join] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [percolator] [2017-09-27T09:39:12,109][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [reindex] [2017-09-27T09:39:12,110][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [transport-netty3] [2017-09-27T09:39:12,110][INFO ][o.e.p.PluginsService ] [es-node1] loaded module [transport-netty4] [2017-09-27T09:39:12,110][INFO ][o.e.p.PluginsService ] [es-node1] loaded plugin [analysis-ik] [2017-09-27T09:39:13,899][INFO ][o.e.d.DiscoveryModule ] [es-node1] using discovery type [zen] [2017-09-27T09:39:14,389][INFO ][o.e.n.Node ] [es-node1] initialized [2017-09-27T09:39:14,389][INFO ][o.e.n.Node ] [es-node1] starting ... [2017-09-27T09:39:14,520][INFO ][o.e.t.TransportService ] [es-node1] publish_address {127.0.0.1:9300}, bound_addresses {127.0.0.1:9300} [2017-09-27T09:39:17,579][INFO ][o.e.c.s.ClusterService ] [es-node1] new_master {es-node1}{u5y2ra-qQL-q3IpdvfT4wA}{PALJMXYuQmeQ2ZDaGzAhfw}{127.0.0.1}{127.0.0.1:9300}, reason: zen-disco-elected-as-master ([0] nodes joined) [2017-09-27T09:39:17,605][INFO ][o.e.h.n.Netty4HttpServerTransport] [es-node1] publish_address {127.0.0.1:9200}, bound_addresses {127.0.0.1:9200} [2017-09-27T09:39:17,605][INFO ][o.e.n.Node ] [es-node1] started [2017-09-27T09:39:17,614][INFO ][o.e.g.GatewayService ] [es-node1] recovered [0] indices into cluster_state 测试服务是否启动,如果启动成功则有如下提示
curl http://localhost:9200/?pretty 打出如下,说明没问题
{
"name" : "es-node1", "cluster_name" : "es-zscs", "cluster_uuid" : "DaViHV9TRaKL-AVobcjfAw", "version" : { "number" : "5.5.3", "build_hash" : "9305a5e", "build_date" : "2017-09-07T15:56:59.599Z", "build_snapshot" : false, "lucene_version" : "6.6.0" }, "tagline" : "You Know, for Search" } 8、错误问题
ERROR: [2] bootstrap checks failed [1]: max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536] [2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144] 解决办法
以管理员的账号登录linux,修改系统参数
使用命令vim /etc/security/limits.conf在最后添加数据如下:(soft nproc和hard nproc也可以设置成65536)
root soft nofile 65535 root hard nofile 65535 #es es soft nofile 65536 es hard nofile 65536 * soft nofile 65535 * hard nofile 65535
使用命令vim /etc/sysctl.conf在最后添加一行数据如下:vm.max_map_count=262144
修改完后,执行如下命令
sysctl -p 参考
http://blog.csdn.net/u012371450/article/details/51776505 三、Elasticsearch中安装中文分词器(IK+pinyin)
在安装分词器的时候要注意版本问题,分词器的版本要和elasticsearch版本一致
1、安装IK
IK,elasticsearch-analysis-ik提供了两种方式,ik_smart就是最少切分,ik_max_word则为细粒度的切分(可能是双向,没看过源码)
1.1 下载地址
ik分词器下载地址
https://github.com/medcl/elasticsearch-analysis-ik 也可以下载对应的releases版本进行安装
https://github.com/medcl/elasticsearch-analysis-ik/releases 1.2获取ik分词器插件包
ik分词器插件可以直接下载对应版本的源码进行maven打包,也可以直接下载打包好的文件进行安装,下面介绍两种方式
1.2.1 maven打包安装
下载对应版本的ik源码,这里下载elasticsearch-analysis-ik-5.5.3.zip,下载地址https://github.com/medcl/elasticsearch-analysis-ik/releases
如果没有对应的版本,只需要修改pom.xml就可以了
<properties>
<!-- 这里的版本号,修改成你对应的版本就行了。 不过最好不要跨度太大,相近的版本可能没有问题,但是跨度太大的版本,这样做就不保证好使了--> <elasticsearch.version>5.5.3</elasticsearch.version> <maven.compiler.target>1.7</maven.compiler.target> <elasticsearch.assembly.descriptor>${project.basedir}/src/main/assemblies/plugin.xml</elasticsearch.assembly.descriptor> <elasticsearch.plugin.name>analysis-ik</elasticsearch.plugin.name> <elasticsearch.plugin.classname>org.elasticsearch.plugin.analysis.ik.AnalysisIkPlugin</elasticsearch.plugin.classname> <elasticsearch.plugin.jvm>true</elasticsearch.plugin.jvm> <tests.rest.load_packaged>false</tests.rest.load_packaged> <skip.unit.tests>true</skip.unit.tests> <gpg.keyname>4E899B30</gpg.keyname> <gpg.useagent>true</gpg.useagent> </properties> 下载后,执行mvn package,进行打包
├─config ├─src └─target ├─archive-tmp ├─classes ├─generated-sources ├─maven-archiver ├─maven-status ├─releases │ └─elasticsearch-analysis-ik-5.5.3.zip └─surefire 编译完成后,可以在target/releases目录下找到对应的zip包。
解压elasticsearch-analysis-ik-5.5.3.zip包,复制到/data/elasticsearch/elasticsearch-5.5.3/plugins/analysis-ik下即可
1.2.2 直接下载ik分词器插件包
下载地址https://github.com/medcl/elasticsearch-analysis-ik/releases
解压elasticsearch-analysis-ik-5.5.3.zip包,复制到/data/elasticsearch/elasticsearch-5.5.3/plugins/analysis-ik下即可
1.3 安装ik分词器插件
将下载好的elasticsearch-analysis-ik-5.5.3.zip上传到/data/elasticsearch目录下
解压到/data/elasticsearch/elasticsearch-5.5.3/plugins/analysis-ik
unzip -d ./ik ./elasticsearch-analysis-ik-5.5.3.zip mv ./ik/elasticsearch/ /data/elasticsearch/elasticsearch-5.5.3/plugins/analysis-ik rm -rf ik 这样ik分词器就安装好了,重启elasticsearch就可以使用分词器了
1.4 测试
ik 带有两个分词器
- ik_max_word :会将文本做最细粒度的拆分;尽可能多的拆分出词语
- ik_smart:会做最粗粒度的拆分;已被分出的词语将不会再次被其它词语占有
4.1测试ik_max_word分词器
这里使用curl进行测试
curl -XGET 'http://localhost:9200/_analyze?pretty&analyzer=ik_max_word' -d '联想是全球最大的笔记本厂商' 返回结果
{
"tokens" : [ { "token" : "联想", "start_offset" : 0, "end_offset" : 2, "type" : "CN_WORD", "position" : 0 }, { "token" : "是", "start_offset" : 2, "end_offset" : 3, "type" : "CN_CHAR", "position" : 1 }, { "token" : "全球", "start_offset" : 3, "end_offset" : 5, "type" : "CN_WORD", "position" : 2 }, { "token" : "最大", "start_offset" : 5, "end_offset" : 7, "type" : "CN_WORD", "position" : 3 }, { "token" : "的", "start_offset" : 7, "end_offset" : 8, "type" : "CN_CHAR", "position" : 4 }, { "token" : "笔记本", "start_offset" : 8, "end_offset" : 11, "type" : "CN_WORD", "position" : 5 }, { "token" : "笔记", "start_offset" : 8, "end_offset" : 10, "type" : "CN_WORD", "position" : 6 }, { "token" : "本厂", "start_offset" : 10, "end_offset" : 12, "type" : "CN_WORD", "position" : 7 }, { "token" : "厂商", "start_offset" : 11, "end_offset" : 13, "type" : "CN_WORD", "position" : 8 } ] } 1.4.2 测试ik_smart分词器
这里使用curl进行测试
curl -XGET 'http://localhost:9200/_analyze?pretty&analyzer=ik_smart' -d '联想是全球最大的笔记本厂商' 返回结果
{
"tokens" : [ { "token" : "联想", "start_offset" : 0, "end_offset" : 2, "type" : "CN_WORD", "position" : 0 }, { "token" : "是", "start_offset" : 2, "end_offset" : 3, "type" : "CN_CHAR", "position" : 1 }, { "token" : "全球", "start_offset" : 3, "end_offset" : 5, "type" : "CN_WORD", "position" : 2 }, { "token" : "最大", "start_offset" : 5, "end_offset" : 7, "type" : "CN_WORD", "position" : 3 }, { "token" : "的", "start_offset" : 7, "end_offset" : 8, "type" : "CN_CHAR", "position" : 4 }, { "token" : "笔记本", "start_offset" : 8, "end_offset" : 11, "type" : "CN_WORD", "position" : 5 }, { "token" : "厂商", "start_offset" : 11, "end_offset" : 13, "type" : "CN_WORD", "position" : 6 } ] } 参考文档:
http://blog.csdn.net/jam00/article/details/52983056 http://www.cnblogs.com/xing901022/p/5910139.html 1.5 热词更新配置
网络词语日新月异,如何让新出的网络热词(或特定的词语)实时的更新到我们的搜索当中呢 先用 ik 测试一下
curl -XGET 'http://localhost:9200/_analyze?pretty&analyzer=ik_max_word' -d '成龙原名陈港生' 返回结果
{
"tokens" : [ { "token" : "成龙", "start_offset" : 0, "end_offset" : 2, "type" : "CN_WORD", "position" : 0 }, { "token" : "原名", "start_offset" : 2, "end_offset" : 4, "type" : "CN_WORD", "position" : 1 }, { "token" : "陈", "start_offset" : 4, "end_offset" : 5, "type" : "CN_CHAR", "position" : 2 }, { "token" : "港", "start_offset" : 5, "end_offset" : 6, "type" : "CN_CHAR", "position" : 3 }, { "token" : "生", "start_offset" : 6, "end_offset" : 7, "type" : "CN_CHAR", "position" : 4 } ] } ik 的主词典中没有”陈港生” 这个词,所以被拆分了。
现在我们来配置一下,修改 IK 的配置文件 :ES 目录/plugins/ik/config/ik/IKAnalyzer.cfg.xml
修改如下:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd"> <properties> <comment>IK Analyzer 扩展配置</comment> <!--用户可以在这里配置自己的扩展字典 --> <entry key="ext_dict">custom/mydict.dic;custom/single_word_low_freq.dic</entry> <!--用户可以在这里配置自己的扩展停止词字典--> <entry key="ext_stopwords">custom/ext_stopword.dic</entry> <!--用户可以在这里配置远程扩展字典 --> <entry key="remote_ext_dict">http://192.168.1.136/hotWords.php</entry> <!--用户可以在这里配置远程扩展停止词字典--> <!-- <entry key="remote_ext_stopwords">words_location</entry> --> </properties> 这里我是用的是远程扩展字典,因为可以使用其他程序调用更新,且不用重启ES,很方便;当然使用自定义的 mydict.dic 字典也是很方便的,一行一个词,自己加就可以了。
既然是远程词典,那么就要是一个可访问的链接,可以是一个页面,也可以是一个txt的文档,但要保证输出的内容是 utf-8 的格式。
hotWords.php 的内容
$s = <<<'EOF' 陈港生 元楼 蓝瘦 EOF; header('Last-Modified: '.gmdate('D, d M Y H:i:s', time()).' GMT', true, 200); header('ETag: "5816f349-19"'); echo $s; ik 接收两个返回的头部属性 Last-Modified 和 ETag,只要其中一个有变化,就会触发更新,ik 会每分钟获取一次,
重启 Elasticsearch ,查看启动记录,看到了三个词已被加载进来
[2016-10-31 15:08:57,749][INFO ][ik-analyzer ] 陈港生 [2016-10-31 15:08:57,749][INFO ][ik-analyzer ] 元楼 [2016-10-31 15:08:57,749][INFO ][ik-analyzer ] 蓝瘦 现在我们来测试一下,再次执行上面的请求,返回
...
}, {
"token" : "陈港生", "start_offset" : 5, "end_offset" : 8, "type" : "CN_WORD", "position" : 2 }, { ... 可以看到 ik 分词器已经匹配到了 “陈港生” 这个词
参考文档:
http://blog.csdn.net/jam00/article/details/52983056 2、pinyin 分词器
2.1 安装pinyin分词器
pinyin分词器可以让用户输入拼音,就能查找到相关的关键词。比如在某个商城搜索中,输入 yonghui,就能匹配到永辉。这样的体验还是非常好的。
pinyin分词器的安装与IK是一样的。 下载地址:
https://github.com/medcl/elasticsearch-analysis-pinyin 对应的releases版本
https://github.com/medcl/elasticsearch-analysis-pinyin/releases 安装方式和ik分词器一样,这里就不介绍了。
安装路径是/data/elasticsearch/elasticsearch-5.5.3/plugins/analysis-pinyin
重启elasticsearch生效
2.2 测试
测试地址
curl -XGET 'http://localhost:9200/_analyze?pretty&analyzer=pinyin' -d '刘德华' 返回结果
{
"tokens" : [ { "token" : "liu", "start_offset" : 0, "end_offset" : 1, "type" : "word", "position" : 0 }, { "token" : "ldh", "start_offset" : 0, "end_offset" : 3, "type" : "word", "position" : 0 }, { "token" : "de", "start_offset" : 1, "end_offset" : 2, "type" : "word", "position" : 1 }, { "token" : "hua", "start_offset" : 2, "end_offset" : 3, "type" : "word", "position" : 2 } ] } 3、其它分词器
参考文档:
http://www.54tianzhisheng.cn/2017/09/07/Elasticsearch-analyzers/ 四、工具安装
1、Sense安装使用
对于不熟悉Linux的人来讲,使用curl是个硬伤,所以 Chrome有个插件Sense可以帮我们很方便的操作Elasticsearch。国内需要FQ
先来测试下分词 