ELK 接入日志数据配置参考

最新推荐文章于 2023-05-19 18:20:16 发布
最新推荐文章于 2023-05-19 18:20:16 发布
阅读量6k 收藏 3
点赞数
分类专栏: ELK 文章标签: ELK 应用 logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AbnerSunYH/article/details/73187904
版权

一、简介

    现有 ELK 平台 Filebeat, Logstash, ElasticSearch, Kibana 构成,主要提供应用日志数据的采集、转发、存储、查询、告警等功能。该文适合已经搭建好 ELK 平台的读者,搭建 ELK 或具体启动配置请查看其它文档。接入日志数据大致需要配置其中三个组件 Filebeat, Logstash, Kibana,如果只是简单采集及查看日志数据,则按照现有的日志格式打日志数据及按模版配置即可,以下是详细配置过程。


二、Filebeat 设置 ./filebeat/filebeat.xml

    filebeat 主要设置日志数据的存放路径,以及日志标志等,在现有的配置上,增加一个 prospectors 指定日志数据目录和该日志标志即可,配置如下。

 -
      paths:
        - /data/logs/scheduler/*.log
      input_type: log
      document_type: scheduler-log
      tail_files: true

input_type:指定文件输入类型,设为 log 即可;

document_type:指定 es 输出document 的 type 字段,也用来给日志分类,建议与索引名保持一致;

tail_files:设置为 true,表示从文件尾监控文件新增内容,并把新增的每一行作为一个事件依次发送。设置为 false,则从文件开始处重新发送所有内容;


三、Logstash 设置 ./logstash/conf.d

    logstash 主要设置日志数据的内容字段匹配及告警、转发等,接受 filebeat 发送过来的事件,用 grok 表达式对数据进行字段匹配。logstash 的 input 以及 output 已经配置好,所以只需配置 filter,如果需要告警则再配置 output。在./logstash/conf.d 目录(该目录由 logstash.xml 文件的 path.config 参数指定)下新增配置文件,例如 scheduler.conf 。启动 logstash 时携带 --auto-reload 参数,则 logstash 会监听配置目录下的所有文件,如有配置文件改动,自动重启并组成一个配置文件。所以请注意,一个配置文件语法错误会影响到整个 logstash 的执行。

3.1 filter 配置

filter{
        if [type] == "scheduler-log" {
#保证多行合并
                multiline {
                        pattern => "^(%{TIMESTAMP_ISO8601}|%{MONTHDAY}\s%{MONTH}\s%{YEAR}\s%{TIME})"
                                negate => true
                                what => "previous"
                }
#删掉多余的字段,增加必须的index 字段
                mutate{
                        add_field => { "[@metadata][index]" => "scheduler-log" }
                        remove_field => [ "offset", "input_type", "host", "class" ]
                }
                grok {
                        match => { "message" => "^%{TIMESTAMP_ISO8601:[@metadata][timestamp]}\s+\[%{GREEDYDATA:thread}\]\s+%{LOGLEVEL:level}\s+%{GREEDYDATA:class}\s+-\s+%{GREEDYDATA:msg}" }
                }
                date {
                        match => [ "[@metadata][timestamp]", "YYYY-MM-dd HH:mm:ss" ]
                }
                mutate{
                        remove_field => ["logtime"]
                                replace => { "[@metadata][index]" => "scheduler-log" }
                }
#统计日志数量,主要是对错误日志进行统计告警, meter字段区分不同 type 和 level
                metrics {
                        meter => [ "%{type}_%{level}" ]
                                add_tag => "metric"
                                clear_interval => 600
                                flush_interval => 600
                                ignore_older_than => 600
                        add_field => { "type" => "scheduler-log" }
                }
        }
}

    首先是 filter 组件的标志,花括号内是主要的配置内容。使用 type 字段分类出日志数据,该字段对应 filebeat 中的 document_type 字段。filter 花括号里面只能使用 filter 的插件,可安装自己开发或者官方未默认安装的插件,具体可以查看官方文档https://www.elastic.co/guide/en/logstash/current/filter-plugins.html)。 

    multiline 插件:主要对日志数据进行整合,会以 pattern 字段内 grok 表达式匹配到的内容作为一个日志数据的开头。例如,filebeat 发送三个事件过来,数据如下


2017-06-13 09:35:32,553 [IPC Server handler 6 on 9124] INFO c.m.d.s.s.JobAfterFinishService - 197 worker-6727 PartitionManager fail error.

java.lang.RuntimeException: There is too many failures.

2017-06-13 10:59:31,837 [IPC Server handler 9 on 9124] INFO c.m.d.s.s.JobAfterFinishService - CRON349 执行结束!taskType[1] dbType[null] 执行完毕时间:2017-06-13 10:59:30, 执行结果:2


    由于某一条日志数据中带有换行符,使得 filebeat 获取两行数据并发送两个事件。使用 multiline 插件,what 设置为 previous 时,当匹配到字符串的时候,logstash 会等待一段时间,如果有数据过来且不能被 grok 表达式匹配到,则并入上一条数据中。如上面三条数据,1、2会合并一起。如果 what 设置为 next 则 2、3会合并一起。等待的时间由 auto_flush_interval 设置,单位秒。logstash 5.2 以上可能取消了该插件,可以通过离线安装,详细查看

    mutate 插件主要对日志进行简单清理,添加或去掉一些字段;

    grok 插件主要是匹配识别出日志数据并解析成字段,grok 表达式校对可查看(http://grokdebug.herokuapp.com/)。例如上文配置文件

^%{TIMESTAMP_ISO8601:[@metadata][timestamp]}\s+\[%{GREEDYDATA:thread}\]\s+%{LOGLEVEL:level}\s+%{GREEDYDATA:class}\s+-\s+%{GREEDYDATA:msg}
    对于日志数据 

2017-06-13 11:34:21,893 [IPC Server handler 7 on 9124] INFO c.m.d.s.s.JobAfterFinishService - CRON658 执行结束!taskType[1] dbType[null] 执行完毕时间:2017-06-13 11:34:21, 执行结果:2

    该日志由 Java 程序使用 logback 输出,使用 encoder 格式如下

<pattern>%d{ISO8601} [%t] %-5p %c{2} - %m%n</pattern>

    即只要输出日志符合该 encoder 格式,则可以直接使用该 grok 表达式会匹配出 timestamp 、thread、level、class、msg 这几个字段,并将整行数据赋值给 message 字段。在 kibana 可以看到如下图


    date 插件主要是将日志数据中的时间信息赋值给 es 集群存储改行数据的时间, match 设置指定  [@metadata][timestamp] 的格式。 grok 插件中,使用 [@metadata][timestamp]匹配出日志中的时间数据。 [@metadata][timestamp] 字段名字属于官方关键字,相当于一个二维数组, [@metadata]表示元数据, [@metadata][timestamp]表示元数据下的  timestamp 字段。

    metrics 插件主要用于日志数量统计,例如上文配置文件,统计不同 level 的日志数量。每过 flush_interval 秒触发一次事件,每过 clear_interval 秒清空统计数量。

3.2 output 组件配置(如果没有使用 metrics 统计日志,可省略该配置

output {
        if "metric" in [tags] {
                if [scheduler-log_ERROR][count] and [scheduler-log_ERROR][count] > 5 {
                        #TODO something
                }
        }
}

    [tags] 字段由 metrics 插件中的 add_tag 设置,根据 meter 设置的字段名取出 [count] 数量,大于某个数则执行 if 内的语句,if 内可执行调用告警接口或者转发数据等等。

    最后将 filter 和 output 配置内容放于一个文件(例:scheduler.conf)即可。

    如果使用了 metric 插件,且不想将 metric 统计的数据发送到 es 集群,则在发送到 es 集群的 output 中增加 if 条件。./logstash/conf.d 目录下获取 filebeat 发送到 es 集群的配置文件 beats_to_es.conf 如下

input {
                beats {
                                port => 5044
                                                ssl => true
                                                ssl_certificate => "/etc/logstash/logcollect.crt"
                                                ssl_key => "/etc/logstash/logcollect.key"
                                                ssl_verify_mode => "none"
                }
}

output {
#只发送 filebeat 传过来的数据到 es 集群
                if "beats_input_codec_plain_applied" in [tags] {
                                elasticsearch {
                                                hosts => ["http://192.168.1.1:9200","http://192.168.1.2:9200","http://192.168.1.3:9200"]
#每天生成一个索引
                                                                index => "%{[@metadata][index]}-%{+YYYY.MM.dd}"
                                                                document_type => "%{[@metadata][type]}"
                                }
                }
}

四、Kibana 配置

    当日志数据正确从 filebeat 采集到 logstash 再到 es 集群后,这时还需要在 Kibana 上配置索引:『Management』-> 『Index Patterns』-> 『add new』。在 Index name 输入框,填写索引名称及星号通配符。索引名称和 logstash 配置 filter 中的 [@metadata][index] 字段一致,也应该与 filebeat 中的 type 一致。索引名称后面加星号通配符,是因为 logstash 配置 output 到 es 集群时,会按天切分索引(详细见 3.2 中的 beats_to_es.conf 配置文件),方便管理数据。 


    添加索引后,即可在 Discover 页面上查看,在搜索框可以简单的输入关键字进行搜索,也可以直接输入正则表达式进行匹配搜索。



更多 ELK 使用详情,请查看官方文档

https://www.elastic.co/guide/index.html



AbnerSunYH
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK导入数据
彭淦淦的博客
05-23 715
5.1 问题 本案例要求批量导入数据: 使用 curl 命名为集群批量导入数据,并查看 5.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:导入数据 使用POST方式批量导入数据数据格式为json,url 编码使用data-binary导入含有index配置的json文件 [student@room9pc01 ~]$ scp /var/ftp/elk/*.gz [email protected]:/root/ [root@kibana ~]# gzip -d logs.jsonl.gz [root
2021.02.24日记,elk 自定义日志格式解析
u011803677的博客
02-24 1576
elk的好处,我就不用说明了,部署的话可以参考 快速搭建ELK日志分析系统,点击这里 然后日志的常规格式方式,我也不做说明了,请看这里 ELK 经典用法—企业自定义日志收集切割和mysql模块 所以我们来讲讲非常规的日志格式,因为项目过程,肯定会有一个整体格式,像那种常规的的解析方式的话,我们可能就处理不了 如 [接口调用] [开始时间 1614073281781] [接口 TestController-getAreaChildList] [参数 [AreaChildListBo(countr
ELK(Elasticsearch、Kibana、Logstash)以及向ES导入mysql数据数据或CSV文件数据,创建索引和可视化数据
超级无敌王大侠的博客
05-19 2518
在Products和version处分别选择需要下载的产品和版本,E(elasticsearch)L(logstash)K(kibana)三者版本必须相同将下载好的elk分别解压到相同路径下。
Docker安装ELK并实现JSON格式日志分析的方法
01-10
ELK是什么 ELK是elastic公司提供的一套完整的日志收集以及前端展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash和Kibana。 其中Logstash负责对日志进行处理,如日志的过滤、日志的格式化等;ElasticSearch具有强大的文本搜索能力,因此作为日志的存储容器;而Kibana负责前端的展示。 ELK搭建架构如下图: 加入了filebeat用于从不同的客户端收集日志,然后传递到Logstash统一处理。 ELK的搭建 因为ELK是三个产品,可以选择依次安装这三个产品。 这里选择使用Docker安装ELk。 Docker安装ELk
SpringBoot日志原理,日志实现
suitianshuang
09-15 916
SpringBoot日志原理,日志实现 日志门面(日志的抽象层);logging-abstract.jar 给项目中导入具体的日志实现就行了;我们之前的日志框架都是实现的抽象层 市面上的日志框架 日志门面选择:SLF4J(其他两个日志门面一个不适合、一个很久没有更新) 日志实现选择:Logback SpringBoot:底层使用Spring框架,而Spring框架默认使用的是JCL,SpringBoot选用SLF4J和Logback 如何在系统中使用SLF4j 以后开发的时候,日志
ELK 海量日志收集架构设计
Qynwang的博客
05-17 647
一、架构图:ELK 技术栈架构设计图:从左往右看,BeatsFilebeatKafkaLogstashKibanaLog4j2Log4j2app.logerror.logslf4jLog4j2(1)slf4j:全称是Log4jLog4j2Log4j全称是,即是上面接口的一个实现,Log4j2是Log4j的升级版本,提高日志输出的吞吐量。
logstash配置导致ELK日志重复
07-11 1420
logstash配置文件pipeline中的文件不是依据文件后缀进行判断该文件是否作为配置文件生效的。 如果pipeline目录下有logstash.conf和logstash.confbak,2个配置文件都会被启用。正确的做法是将logstash.confbak移除(或者移出去) ...
ELK日志接入流程
克隆大菠萝的超市
04-26 2398
首先接入测试环境中进行适配测试,确认无误后,根据生产环境上线安排或做重启操作,最后完成生产环境的接入。 以下是通用接入步骤,使用正式环境部署路径,截图为例: (一) 以下步骤和操作仅针对java项目,根据日志引擎输出的日志格式,使用log4j或者log4j2的配置文件为模板,和研发人员协商进行日志改造,改造完毕后重启应用,确认输出新格式的日志,整改前的旧日志删除掉或者移动到其他目录作为归档(生产和测试适用)。准备先接入ELK测试环境。 (二) 编辑logstash配置文件,加入新项目的配置: v.
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash数据采集案例(一) 03 Logstash数据采集案例(二) 04...
elk采集服务日志数据
03-23
springboot日志通过filebeat,logstash日志内容采集到es中,kibana展示日志数据
浅谈Node框架接入ELK实践总结
10-17
主要介绍了浅谈Node框架接入ELK实践总结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
elk接收linux安全日志,ELK学习笔记(syslog日志收集)
weixin_35565522的博客
05-02 510
本帖最后由 唯品会SRC 于 2017-4-12 16:21 编辑2de742e9780a2bf57f7b497e33676900.jpg (16.69 KB, 下载次数: 30)2017-4-12 16:17 上传收日志,更要懂日志!生产环境收集 syslog 日志是安全审计的重要举措之一。我在搭建 ELK 服务器期间,生产环境收集的第一类日志就是 CentOS 系统的 syslog 日志。生产...
ELK聚集查询之指标聚集和单通聚集(八)
nandao158的博客
10-13 1150
聚集查询(Aggregation)提供了针对多条文档的统计运算功能,它不是针对文 档本身内容的检索,而是要将它们聚合到一起运算某些方面的特征值。 聚集查询与 SQL 语言中的聚集函数非常像,聚集函数在 Elasticsearch 中相当 于是聚集查询的一种聚集类型。 比如在 SQL 中的 avg 函数用于求字段平均值, 而在 Elasticsearch 中要实现相同的功能可以使用 avg 聚集类型。 聚集查询也是通过_search 接口执行,只是在执行聚集查询时使用的参数是 aggr
ELK日志收集分析系统部署
qq_35479765的博客
08-15 607
文章目录前言一、ElasticSearch、Logstash和Kibana 简介1.1、ElasticSearch 介绍1.2、Elasticsearch的基础核心概念1.2.1 接近实时(NRT)1.2.2 集群(cluster)1.2.3 节点(node)1.2.4 索引(index)1.2.5 类型(type)1.2.6 文档(document)1.2.7 分片和副本(shards & replicas)1.2、Logstash 介绍1.2.1 logStash的主要组件1.2.2 LogSt
ELK】metricbeat扩展自定义配置字段
没枕头我咋睡觉
03-21 700
一、增加config.go 在上文中创建的module中,在flow目录中增加config.go,代码示例: package flow type config struct { NETCARD string `config:"flow.NETCARD"` } func defaultConfig() config { return config{ NETCARD: "ens33", } } 二、...
ELK中不同的日志方式介绍
Baron_ND的博客
10-22 803
介绍 当谈及集中日志到 Elasticsearch 时,首先想到的日志传输(log shipper)就是 Logstash。开发者听说过它,但是不太清楚它具体是干什么事情的: 当深入这个话题时,我们才明白集中存储日志通常隐含着很多的事情,Logstash 也不是唯一的日志传输工具(log shipper) 从数据源获取数据:文件、UNIX socket、TCP、UDP 等等 处理:添加时间戳、解析非结构化数据、根据 IP 添加地理位置信息 传输:到目标存储。比如,Elasticsearch 。由于
Elastic Stack (ELK) 实战篇:实现分布式系统日志收集与统计分析
语雀同名:犬豪 yuque.com/qhao
11-02 1474
Elastic Stack(ELK) ElasticSearch + Logstash + Kibana 一、分布式带来的变革 1. 多个节点 分布式系统的特点:SOA,微服务架构,大规模集群网络 试想一下: 假设集群网络只有 100 台服务器。采用人肉运维的方式,处理服务器各种异常。 运维人员:每一台服务器打一个记号,Excel 记录下每一台机器运行特点,如果某一台服务器出现问题,运维人员直接定位机器,查询日志,修复问题。 如果是10000 台 服务器怎么办?那么如何收集海量服务器节点上的日志,进行分析
Logstash日志处理-Logstash的使用
上官玺的博客
10-07 3909
日志可以协助我们的调试和开发。在开发中尽量使用日志的方式来调试,是我们推荐的做法。尽量避免使用System.out.println. 因为很多时候我们调试完毕都要进行删除调试代码。留下会给程序增加运行时间。而日志可以很方便的控制级别就可以控制是否输入,而支持存储的形态很多。比如数据库,文件等。所以日志是我们开发中必不可少的一环。如果级别是:debug ,debug和 info以及error都会输出如果级别是:info ,那么只会打印初:info和error。
springcloud怎么接入elk
最新发布
09-08
在Spring Cloud中接入ELK(Elasticsearch、Logstash、Kibana)可以通过集成Logstash和Kibana来实现。 首先,你需要在你的Spring Cloud项目中添加Logstash依赖,例如fc-gateway-zuul、fc-service-portal和fc-service-screen。然后,你需要启动这些服务,并确保它们将日志输出到Logstash。 接下来,你需要启动Elasticsearch和Kibana。Elasticsearch是一个用于存储和搜索日志数据的分布式搜索和分析引擎,而Kibana则是一个用于可视化和分析日志数据的工具。你需要配置Logstash数据发送到Elasticsearch,并使用Kibana来查看和搜索日志数据。 在你的Spring Cloud项目中,你可以使用Logstash日志输出功能将日志发送到Logstash服务器。通过在Logstash配置文件中指定接收日志的端口和协议,你可以让Logstash接收来自Spring Cloud应用程序的日志数据。然后,你可以在Kibana中配置Logstash索引模式,以便对日志数据进行搜索和分析。 通过在你的Spring Cloud项目中添加Logstash和Kibana的集成,你可以使用Kibana来查看和搜索你的应用程序的日志,以便于进行故障排除和性能监控。 在你的Spring Cloud项目中,你可以通过在控制器方法中添加日志语句,并确保将日志级别设置为合适的级别,从而记录日志。这样,你就可以在Kibana中查看和搜索这些日志。 总之,通过在Spring Cloud项目中集成Logstash和Kibana,你可以方便地将日志数据发送到Elasticsearch,并使用Kibana来可视化和分析这些日志数据。这样可以帮助你更好地理解和监控你的应用程序的运行情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值