Filebeat+Logstash+Elasticsearch抓取日志

最新推荐文章于 2024-08-23 20:18:55 发布
最新推荐文章于 2024-08-23 20:18:55 发布
阅读量5.1k 收藏 1
点赞数
分类专栏: NoSQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzi19933/article/details/62214928
版权

环境:

Nginx:10.10.36.126:8000

Filebeat:10.10.36.126

Logstash:10.10.36.128:5044

Elasticsearch:10.10.36.128:9200

1、安装Nginx

sudo yum install pcre pcre-devel zlib zlib-devel openssl openssl-devel

tar -zxvf nginx-1.11.8.tar.gz

cd nginx-1.11.8

./configure --prefix=/home/wangzi/Downloads/nginx

make && make install

cd ../nginx

vi conf/nginx.conf

user  root;

# 自定义日志格式

log_format json '{"@timestamp":"$time_iso8601",'
                 '"slbip":"$remote_addr",'
                 '"clientip":"$http_x_forwarded_for",'
                 '"serverip":"$server_addr",'
                 '"size":$body_bytes_sent,'
                 '"responsetime":$request_time,'
                 '"domain":"$host",'
                 '"method":"$request_method",'
                 '"requesturi":"$request_uri",'
                 '"url":"$uri",'
                 '"appversion":"$HTTP_APP_VERSION",'
                 '"referer":"$http_referer",'
                 '"agent":"$http_user_agent",'
                 '"status":"$status",'
                 '"devicecode":"$HTTP_HA"}';

listen 8000;

access_log  /var/log/host.access.log  json;

启动:sudo ./sbin/nginx 

访问http://10.10.36.126:8000/可以看到Nginx主页面

2、安装Elasticsearch

sudo rpm -ivh elasticsearch-5.2.2.rpm

# ES 会被默认安装在 /usr/share/elasticsearch/

# ES配置文件在/etc/elasticsearch/

# ES日志文件在/var/log/elasticsearch/

# 配置系统最大打开文件描述符数
sudo vi /etc/sysctl.conf
fs.file-max=65535
# 配置进程最大打开文件描述符
sudo vi /etc/security/limits.conf
# End of file
* soft nofile 65535
* hard nofile 65535
# 配置 JVM内存
sudo vi /etc/sysconfig/elasticsearch
ES_HEAP_SIZE=4g

启动: sudo systemctl start elasticsearch

执行 curl 'http://10.10.36.128:9200/_search?pretty' 可以看到ES中的所有数据

# 删除数据:curl -XDELETE 'http://10.10.36.128:9200/indexName'

3、安装Logstash

方式一:rpm包安装

sudo rpm -ivh logstash-5.2.2.rpm

# 默认安装在 /usr/share/logstash/

# 配置文件在/etc/logstash/

# 日志文件在/var/log/logstash/

配置监听5044端口:

sudo vi /etc/logstash/conf.d/filebeat_logstash_es.conf

input {
  beats {
    port => 5044
  }
}
output {
  elasticsearch {
    hosts => "10.10.36.128:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

启动:sudo systemctl start logstash

方式二:tar包安装

tar -zxvf logstash-5.2.2.tar.gz

cd logstash-5.2.2

vi config/filebeat_logstash_es.conf

input {
  beats {
    port => 5044
  }
}
output {
  elasticsearch {
    hosts => "10.10.36.128:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

验证配置文件:./bin/logstash -f ./config/filebeat_logstash_es.conf -t

启动:./bin/logstash -f ./config/filebeat_logstash_es.conf

4、安装Filebeat

sudo rpm -ivh filebeat-5.2.2-x86_64.rpm

# 默认安装在 /usr/share/filebeat/
# 配置文件在/etc/filebeat/
# 日志文件在/var/log/filebeat/

修改配置文件:

vi /etc/filebeat/filebeat.yml

paths:
    - /var/log/host.access.log

output.logstash:
  # The Logstash hosts
  hosts: ["10.10.36.128:5044"]

修改ES的索引模版

curl -XPUT 'http://10.10.36.128:9200/_template/filebeat' -d@/etc/filebeat/filebeat.template.json

启动:sudo systemctl start filebeat


此时,执行curl 'http://10.10.36.128:9200/_search?pretty' 可以看到Nginx输出的日志

wangziustc
关注
专栏目录
filebeat+elasticsearch日志内容提取
luo222的专栏
12-04 2306
我们知道elastisearch节点分五种类型:master(主节点)、data(数据存储,CRUD)、ingest(预处理)、coordinating(协调节点)、tribe(部落节点,用于跨集群)。有些时候我们需要对原始的日志做一些加工(比如格式转换、内容提取等),这个时候就需要使用pipeline,pipeline是在ingest节点上执行的。 在...
filbeat+logstash配置2
Baron_ND的博客
10-29 332
启动FilebeatLogstash 先启动logstash,不然的话filebeat会找不到logstash的5044端口:修改配置文件不需要重启,可以使用bin/logstash -f config/logstash_filebeat2es.conf -r 查看解析状态是否正确 bin/logstash -f config/logstash_filebeat2es.conf ./filebeat -e -c filebeat_csdn.yml 如果启动的时候报错显示地址被占用 1.ps.
日志分析新范式:手把手教你用Filebeat导入腾讯云ES
最新发布
cloudbigdata的博客
08-23 65
Filebeat简介Filebeat 是 Elastic Stack 中的一部分,是用于转发和集中日志数据的轻量级传送器。它作为代理安装在您的服务器上,监控指定的日志文件或目录,收集日志事件,并将它们转发到 ElasticsearchLogstash 进行索引和处理。Filebeat的构成Harvesters(收集器):Harvester 负责读取单个文件的内容,逐行读取每个文件,并将内容发...
日志检测-filebeat+logstash-整理.docx
07-24
filebeat收集日志,转发给logstash过滤整理成json.再转发给socket server处理业务逻辑
logstash采集数据到es
我的祖传代码
04-26 6499
日志格式: {"Q1":62442457475833333,"Q2":2016811232228686,"date":1556186700487} logstash配置文件: input { kafka { zk_connect => "localhost:2181" group_id => "test" topic_id => "test"...
LogstashFilebeat安装与数据同步(+ES安装讲解)
lydms的博客
08-04 9736
Logstash安装、Filebeat安装、数据同步到ES中
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
w1206507055的博客
06-17 434
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4221
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
Elasticsearch, Kibana, Logstash, Filebeat 实现日志的自动采集、搜索和分析
回忆中的明天
06-16 314
Elastic Stack 包括 Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化 Elasticsearch是一个分布式、RESTful 风格的搜索和数据分析引擎 Kibana是一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化管理和展示 Logstash是一个免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据...
Filebeat 实时收集 Nginx 日志1
08-03
配置完成后,Filebeat 将收集的日志发送至 Elasticsearch,这里需要配置 `output.elasticsearch`,包括 Elasticsearch 服务器的 IP 和端口,以及索引名称,例如 `filebeat_server_nginx_%{+YYYY-MM}`,这里的 `%{+...
Filebeat采集日志交给Logstash
江晓龙的博客
07-19 1357
filebeat是轻量级的日志采集工具,可以将采集的日志交给logstash进行过滤匹配,然后由logstash存储到ES集群,也可以直接存储到ES集群中。
filebeat-5.6.3-x86_64.rpm
10-26
filebeat-5.6.3-x86_64.rpm 轻量级日志数据文件监控工具
安装elasticsearchlogstashfilebeat
技术札记
06-20 307
环境 1. Linux rhel-server-6.9-x86_64-dvd master 192.168.13.149 data 192.168.13.150 JDK1.8 安装elasticsearch5.0————-master节点上 安装logstash-5.0.0.zip———–master节点上 安装filebeat6.1...
【SpringBoot】五、日志配置(Log4j2、Logback)
winrh的博客
09-02 1345
目录 一、介绍 二、Logback 1. 生成日志对象 2. 日志级别 3. 输出日志文件 (1)默认输出 (2)自定义输出 (3)设置文件属性 4. 输出格式设置 5. 指定日志配置文件 三、Log4j2 1. 配置依赖 2. 配置默认文件log4j2.yml (1)resources下创建log4j2.yml (2)在application.yml中配置读取该yml文件 (3)编辑log4j2.yml (4)如果颜色显示不了 一、介绍 常见的日志框架有下面这...
ES+Logstash+Kibana(ELK)部署---废弃版,请勿参考
l6xy6的博客
01-24 1176
有时在进行编写程序,写到查询语句时,往往我会使用kibana进行书写,然后再粘贴到程序中。发现登陆到网址提示需要再es安装路径下执行:bin\elasticsearch-create-enrollment-token.bat --scope kibana。这边考虑虚拟机内存给的少了,查阅文档,需要2G以上,添加到2G还是启动失败,参考其他答案,需要解决线程开启问题和虚拟机内存问题。​ Kibana是ES提供的一个基于Node.js的管理控制台, 可以很容易实现高级的数据分析和可视化,以图标的形式展现出来。
es+logstash做搜索
weixin_40187536的博客
01-08 505
linux安装软件 linux环境: 1`elasticsearch-6.8.12.tar.gz 2`elasticsearch-analysis-ik-6.8.12.zip 3`logstash-5.6.0.tar.gz (ex:刚开始做es时候用的es版本7.x,但是linux中安装的jdk是1.8版本的,7.x需要jdk11,后来查询找到es5.x版本支持jdk1.8,就安装的es5.6.0,由此logstash也就安装的5.6.0版本的,之后linux安装,调试没问题了,去做spring boo
ES系列之Logstash实战入门
lonelymanontheway的博客
02-29 1920
概述:原理、安装、目录;配置:logstash.yml、jvm.options、pipelines.yml;组件:input、filter、output;实战:采集Nginx日志、增量抽取表数据、加密敏感配置;进阶:条件语法、插件管理、codec、自定义插件;
使用logstash迁移ES数据并解决限流等问题
valsong的专栏
03-29 866
介绍logstash如何迁移ES的索引,同时解决一些常见的问题例如限流等
logstash+elasticsearch+Kibana(ELK)日志收集
呆萌小新@渊洁的博客
03-21 2039
访问 http://ip:9200,http://ip:5601看es,kibana是否安装完成。3.3 进入logstash容器的挂载目录logstash.conf。3.进入容器后执行以下命令 傻瓜式设置账号密码。2.重启es容器并进入es容器。3.2 重启logstash
SpringBoot日志采集:Filebeat+Logstash+ES+kibana实战
ELK栈,即ElasticsearchLogstash、Kibana的组合,是一个广泛用于实时日志收集、处理和可视化的工具套件。本教程主要涉及如何利用ELK栈来采集SpringBoot应用的日志数据。 一、日志采集 1.1 SpringBoot日志配置 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值