Filebeat + Logstash + Eleaticsearch收集日志

最新推荐文章于 2022-12-13 19:56:26 发布
最新推荐文章于 2022-12-13 19:56:26 发布
阅读量287 收藏
点赞数
分类专栏: 日志平台 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CCjedweat/article/details/105233460
版权

使用ELK方案收集日志

一、部署Filebeat

组织结构

.
├── bin
│   └── filebeat-ctl
├── conf
│   └── filebeat.yml
├── current -> /opt/filebeat/release/filebeat-7.4.2-linux-x86_64
├── data
│   ├── meta.json
│   └── registry
├── logs
└── release
    └── filebeat-7.4.2-linux-x86_64

注意:filebeat的下载请到官网下载,这里的版本是7.4.2

编辑配置文件

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /home/user/applogs/trace-es7/trace-log-cluter-es7.log
  max_bytes: 1048576
  ignore_older: 168h
  multiline.pattern: '^\[\d{4}-\d{2}-\d{2}'
  multiline.negate: true
  multiline.match: after
  multiline.max_lines: 500
  multiline.timeout: 5
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
  reload.period: 10s
output.logstash:
  hosts: ["172.17.105.101:5046"]
  bulk_max_size: 100

# filebeat logs setting
logging.level: info
logging.to_files: true
logging.files:
  path: /home/user/applogs/souche-filebeat
  name: filebeat.log
  keepfiles: 7
  permissions: 0644
  rotateeverybytesedit: 209715200

编辑启动脚本

#!/bin/bash

FILEBEAT_USER="root"
BASE_DIR="$(cd $(dirname $0)/..; pwd)"
AGENT="${BASE_DIR}/current/filebeat"
ARGS="-c ${BASE_DIR}/conf/filebeat.yml --path.home ${BASE_DIR}/current --path.config ${BASE_DIR}/current --path.data ${BASE_DIR}/data"
TEST_ARGS="test config ${BASE_DIR}/conf/filebeat.yml"

test() {
    su - ${FILEBEAT_USER} -c "$AGENT $ARGS $TEST_ARGS"
}

start() {
    pid="$(ps -ef |grep ${BASE_DIR}/data |grep -v grep |awk '{print $2}')"
    if [ ! "$pid" ];then
        echo "Starting filebeat: "
        test
        if [ $? -ne 0 ]; then
            echo
            exit 1
        fi
        /bin/su - ${FILEBEAT_USER} -c "${AGENT} ${ARGS} &"
        if [ $? -eq 0 ];then
            echo "Start filebeat ok"
        else
            echo "Start filebeat failed"
        fi
    else
        echo "filebeat is still running!"
        exit
    fi
}
stop() {
    echo -n "Stopping filebeat: "
    pid="$(ps -ef |grep ${BASE_DIR}/data |grep -v grep |awk '{print $2}')"
    if [ ! "$pid" ];then
        echo "filebeat is not running"
    else
        kill $pid
        echo "Stopping ..." && sleep 2
        echo "Stop filebeat ok"
    fi
}
restart() {
    stop
    start
}
status(){
    pid="$(ps -ef |grep ${BASE_DIR}/data |grep -v grep |awk '{print $2}')"
    if [ ! "$pid" ];then
        echo "filebeat is not running"
    else
        echo "filebeat is running"
    fi
}
case "$1" in
    start)
        start
    ;;
    stop)
        stop
    ;;
    restart)
        restart
    ;;
    status)
        status
    ;;
    *)
        echo "Usage: ${BASE_DIR} {start|stop|restart|status}"
        exit 1
esac

二、部署logstash

软件包去官方下载,然后在解压目录创建conf.d存放配置文件,可以存放多个配置文件,只需要启动时,指定这个配置目录即可,需要注意的是,每个配置文件都不是独立的配置文件,需要做标识,否则最终启动会报错

参考配置一:

input {
    beats {
        port => 5045
        type => "hadoop"
    }
}

output {
    if [type] == "hadoop" {
        elasticsearch {
            hosts => ["172.16.35.91:10201","172.16.35.90:10201"]
            index => "hadoop-yarn-log-%{+YYYY-MM-dd}"
        }
        #stdout { codec => rubydebug }
    }
}

参考配置二:

input {
  beats {
    add_field => {"beatType" => "tracelog"}
    port => "5045"
  }

  beats {
    add_field => {"beatType" => "applog"}
    port => "5044"
  }
}

filter {
    if [type] == "tracelog" {
        json {
            source => "message"
            remove_field => [ "message" ]
        }
    }
}

output {
  if [beatType] == "tracelog" {
    kafka {
        codec => plain { format => "%{msg}"}
        topic_id => "Topic_trace_log"
        max_request_size => 10485848
        batch_size => 5242880
        retries => 3
        bootstrap_servers => "10.0.0.1:9020,10.0.0.2:9092,10.0.0.3:9092"
    }
    #stdout {
    #  codec => rubydebug
    #}
  }

  if [beatType] == "applog" {
    kafka {
        codec => plain { format => "%{msg}"}
        topic_id => "kafka-applogs-collect"
        max_request_size => 10485848
        batch_size => 5242880
        retries => 3
        bootstrap_servers => "10.0.0.1:9020,10.0.0.2:9092,10.0.0.3:9092"
    }
  }
}
  • 使用supervisor应用管理工具

ubuntu系统下载

apt update && apt install -y supervisor

supervisor配置文件/etc/supervisor/conf.d/logstash.conf

[program:logstash]
directory=/home/user/projects/logstash-5.5.3
command=/home/user/projects/logstash-5.5.3/bin/logstash -f /home/user/projects/logstash-5.5.3/conf.d
user=souche
autostart=true
autorestart=false
redirect_stderr=true
stdout_logfile_maxbytes=50MB
stdout_logfile_backups=3
stdout_logfile=/home/user/projects/logstash-5.5.3/logs/logstash.log

启动

systemctl enable supervisor
systemctl start supervisor
CCULin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elaticsearch的基本操作
ajiang0622的博客
11-18 1868
The Elastic Stack包括 Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELKStack) 能够安全可靠地获取任何 来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。Elaticsearch,简称为 ES。 ** Elaticsearch是一个开源的高扩展的分布式全文搜索引擎 是整个 Elastic Stack 技术栈的核心。它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理 PB 级别的数据。** 一、全文搜索.
Elaticsearch基本使用
龙源IT 的博客
03-13 2708
Elaticsearch,简称为es, 是一个建立在全文搜索引擎框架 Apache Lucene™ 基础上的开源搜索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据。同时Elasticsearch 是使用 Java 编写的,采用了 Lucene 来实现索引与搜索的功能。当你使用它做全文搜索时,只需要使用简单流畅的 RESTful API即可
日志ELK问题
zhaoyizhilan的博客
11-30 521
背景:框架采用ELK(filebeat + logstash + kafka + es) 1. 问题1 消息发送失败,单条消息过大 kafka采用华为云服务,单条最大允许10MB。 filebeat默认单条message最大允许10MB. refer:https://www.elastic.co/guide/en/beats/filebeat/1.3/configuration-filebeat-options.html#_max_bytes 现象:logstash向kafka发送日志消息的时候,.
filebeat+logstash收集postgres慢查询日志
zsx18273117003的博客
05-29 1339
背景:在win10下docker启动postgres、python连接postgres,创建表和插入数据以及ELK+Filebeat的基础上进行 一、Filebeat端处理 1. 配置文件修改 1.1 filebeat.yml配置文件新增数据源类型 - type: log enabled: true paths: - /usr/share/filebeat/log/facilities/*/*.log tags: ["facility"] fields: en...
logstash-命令
大帅的博客
08-26 2011
启动命令:logstash -f …/config/logstash-sample.conf 因此启动测试配置试一下:logstash -f …/config/logstash-sample.conf --config.test_and_exit 该–config.reload.automatic选项启用自动配置重新加载,因此您不必在每次修改配置文件时停止并重新启动Logstash。 logsta...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
2021最新版7.X => filebeat+logstash+ES集群+kibana实战.txt
08-21
filebeat+logstash+ES集群+kibana实战.txt
2021最新版7.x => filebeat+logstash+ES集群+kibana实战.pdf
08-21
适用与初学者,有什么问题随时找我
日志检测-filebeat+logstash-整理.docx
07-24
filebeat收集日志,转发给logstash过滤整理成json.再转发给socket server处理业务逻辑
Filebeat+Kafka+Logstash+ElasticSearch.doc
11-19
Filebeat+Kafka+Logstash+ElasticSearch 日志监控解决方案 本文档介绍了一种基于Filebeat、Kafka、LogstashElasticSearch日志监控解决方案。该解决方案可以实时收集、处理和存储日志数据,提供了一个完整的日志...
FIlebeatLogstash部署步骤
02-26
FileBeat,隶属于Beats,是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash
log4J日志收集filebeat+logstash+Elasticsearch
qq_34646817的博客
07-27 9551
一、说明 最近在学习logstash,发现内容特别多,除了基本的知识的学习以外,最多的就是插件的学习了,可是我看了下官网的插件,最新的版本6.3的插件展示如下: - 输入插件(Input plugins) beats,cloudwatch,couchdb_changes,dead_letter_queue,elasticse,rch,exec,file,ganglia,gelf,g...
filebeat+redis+logstash+es+kibana 多日志收集
yangfusen_0212的博客
07-13 134
同时收集本地系统日志和docker 日志 [root@k8-node2-dc ~]#cat /etc/filebeat/filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log - /var/log/messages tags: ["system-log-239"] exclude_lines: ['^DBG','^$'] - type: log enabl
elasticsearch生产集群部署-脑裂问题
江勇的博客
09-19 882
最少master候选节点以及脑裂问题 discovery.zen.minimum_master_nodes 参数对于集群的可靠性来说,是非常重要的。这个设置可以预防脑裂问题,也就是一个集群中存在两个master。 如果因为网络的故障,导致一个集群被划分成了两片,每片都有多个node,以及一个master,那么集群中就出现了两个master了。但是因为master是集群中非常重要的一个角色,...
logstash到kafka:生产者发送的消息过大的报错
qq_41582883的博客
04-26 1394
1.报错提示 KafkaProducer.send() failed: org.apache.kafka.common.errors.RecordBatchTooLargeException: The request included message batch larger than the configured segment size on the server. {:exception=>java.util.concurrent.ExecutionException: org.apache.k
filebeat+logstash收集json格式的nginx日志
秋楓的博客
08-13 1036
文章目录1.nginx配置2.配置filebeat3.配置logstash4.展示 1.nginx配置 (1)编辑nginx.conf http { #其他配置 ... #需要添加的内容 log_format json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' ' "clientip" : "$remote_addr",'
elastic search 官网
github_28583061的博客
12-19 6525
elastic search 官网 https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html http://cwiki.apachecn.org/pages/viewpage.action?pageId=4883367 定位: 全文搜索分析引擎 快速(近实时)存储,查询,分析大量数据 应用场景 电...
使用filebeat+logstash收集Nginx应用日志
江晓龙的博客
07-19 1096
可以看到Nginx产生的日志是有很多字段内容的,比如客户端IP、请求的URL、请求的状态码、使用的浏览器类型等等,针对这些内容是很有必要解析出单个字段的,便于我们在kibana中进行查询。采用Nginx自己的JSON格式的日志格式去收集日志数据,在logstash中使用json插件进行解析。我们使用logstash的grok插件,通过正则的方式将每一个部分的内容解析成字段格式。左侧添加上中文的字段名,查询具体的日志内容。产生Nginx日志,多访问几次Nginx。左侧添加上要查询的字段,进行数据查询。...
elasticsearch
sharesb的博客
12-13 1156
如果根据id(索引列查询),速度会非常快,但是如果根据非索引列,并且模糊查询时,速度会非常慢,流程如下(比如id是索引列,title是要模糊查询的非索引列)1)用户搜索数据,条件是title符合"%手机%"2)逐行获取数据,比如id为1的数据3)判断数据中的title是否符合用户搜索条件4)如果符合则放入结果集,不符合则丢弃。回到步骤1。
filebeat+redis+logstash+elasticsearch+kibana
最新发布
03-11
这是一个关于日志收集和分析的技术栈,其中filebeat用于收集日志,redis用于缓存,logstash用于处理和转换日志elasticsearch用于存储和索引日志,kibana用于展示和分析日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值