Filbeat提取Json日志文件到Elasticsearch

最新推荐文章于 2024-06-10 00:31:35 发布
最新推荐文章于 2024-06-10 00:31:35 发布
阅读量2.5k 收藏
点赞数
分类专栏: 中间件 文章标签: filebeat elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fraps_/article/details/124205836
版权

Filbeat提取Json日志文件到Elasticsearch

Filebeat 是一个用于转发和集中日志数据的轻量级插件。通过简单的配置就可以接入任何应用。

实验环境:

  • centos7,kernel 3.10

  • Filbeat:7.12.1

  • Elasticsearch:7.12.0

Filebeat使用日志文件作为输出

Filebeat使用yml作为配置文件格式,日志路径支持多个,多级目录。多级目录支持参考Go Glob.

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /tmp/data.log
  ### JSON configuration
  json.keys_under_root: true

Filebeat使用Elasticsearch作为输出

  1. 配置es地址:
output.elasticsearch:
  enabled: true
  hosts: ["localhost:9200"]
  1. 配置索引模板:
setup.template.enabled: true

# Select the kind of index template. Available options: legacy, component, index.
setup.template.type: index

# Enable JSON template loading. 
setup.template.json.enabled: true
setup.template.json.path: "${path.config}/es_template.json"
setup.template.json.name: "envoy_access_template_ID"

# Overwrite existing template
setup.template.overwrite: true

使用指定的json文件作为索引模板,例如:

{
    "index_patterns":"envoy_access_log_ID*",
	"template": {
		"settings":{
			"index":{
				"lifecycle":{
					"name":"dmp-als-ilm-policy_ID",
					"rollover_alias":"envoy_access_log_ID"
				},
				"refresh_interval":"5s",
				"number_of_shards":"3",
				"number_of_replicas":"0"
			}
		},
		"mappings":{
			"properties":{
				"search_request_path":{
					"type":"text",
					"fields":{
						"keyword":{
							"type":"keyword",
							"ignore_above":"256"
						}
					}
				}
			}
		}
    }
}
  1. 配置索引生命周期管理器(ILM):
setup.ilm.enabled: true

# Set the prefix used in the index lifecycle write alias name. 
setup.ilm.rollover_alias: 'envoy_access_log_ID'

# Set the lifecycle policy name.
setup.ilm.policy_name: "dmp-als-ilm-policy_ID"

# The path to a JSON file that contains a lifecycle policy configuration. Used
# to load your own lifecycle policy.
#setup.ilm.policy_file: "${path.config}/es_policy.json"

# Disable the check for an existing lifecycle policy. The default is true. If
# you disable this check, set setup.ilm.overwrite: true so the lifecycle policy
# can be installed.
setup.ilm.check_exists: true

# Overwrite the lifecycle policy at startup. 
setup.ilm.overwrite: true

可以使用默认配置,也可以指定配置文件。

  1. 配置过滤器(processors)
processors:
  - drop_fields:
      fields: ["@timestamp", "log","input","ecs","host","agent"]

删除一些filebeat自带的日志字段。

启动

filebeat将es作为输出情况下,它在启动时会连接es,如果连接的es没有需要的索引模板和ILM,它会自动创建相关资源。如果es中已有相关资源,建议手动推送相关资源到es。

建议的启动执行命令

./filebeat test config 
./filebeat test output
./filebeat setup --index-management
./filebeat run -e

其中任何一步出现错误,都会使得日志读取出现预期之外的情况。

完整配置文件

目录结构:

filebeat-7.12.1-linux-x86_64
├── es_policy.json
├── es_template.json
├── filebeat
├── filebeat.yml
├── ...
└── ...
  • filebeat.yml
#=========================== Filebeat inputs =============================
filebeat.inputs:
#------------------------------ Log input --------------------------------
- type: log
  # Change to true to enable this input configuration.
  enabled: true
  paths:
    - /tmp/envoy_access.log
  ### JSON configuration
  # By default, the decoded JSON is placed under a "json" key in the output document.
  # If you enable this setting, the keys are copied top level in the output document.
  json.keys_under_root: true
#=========================== Filebeat Outputs =============================
# ------------------------------- Console Output -------------------------------
#just for test!
#output.console:
  # Boolean flag to enable or disable the output module.
  #enabled: true

  # Configure JSON encoding
  #codec.json:
    # Pretty-print JSON event
    #pretty: true
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Boolean flag to enable or disable the output module.
  enabled: true
  hosts: ["localhost:9200"]
# ================================== Template ==================================
# Set to false to disable template loading.
setup.template.enabled: true

# Select the kind of index template. From Elasticsearch 7.8, it is possible to
# use component templates. Available options: legacy, component, index.
# By default filebeat uses the legacy index templates.
setup.template.type: index

# Enable JSON template loading. If this is enabled, the fields.yml is ignored.
setup.template.json.enabled: true

# Path to the JSON template file
setup.template.json.path: "${path.config}/es_template.json"

# Name under which the template is stored in Elasticsearch
setup.template.json.name: "envoy_access_template_ID"

# Overwrite existing template
# Do not enable this option for more than one instance of filebeat as it might
# overload your Elasticsearch with too many update requests.
setup.template.overwrite: true
# ====================== Index Lifecycle Management (ILM) ======================
# Enable ILM support. Valid values are true, false, and auto. When set to auto
# (the default), the Beat uses index lifecycle management when it connects to a
# cluster that supports ILM; otherwise, it creates daily indices.
setup.ilm.enabled: true

# Set the prefix used in the index lifecycle write alias name. The default alias
# name is 'filebeat-%{[agent.version]}'.
setup.ilm.rollover_alias: 'envoy_access_log_ID'

# Set the lifecycle policy name. The default policy name is
# 'beatname'.
setup.ilm.policy_name: "dmp-als-ilm-policy_ID"

# The path to a JSON file that contains a lifecycle policy configuration. Used
# to load your own lifecycle policy.
#setup.ilm.policy_file: "${path.config}/es_policy.json"

# Disable the check for an existing lifecycle policy. The default is true. If
# you disable this check, set setup.ilm.overwrite: true so the lifecycle policy
# can be installed.
setup.ilm.check_exists: true

# Overwrite the lifecycle policy at startup. The default is false.
setup.ilm.overwrite: true
# ================================= Processors =================================
# Processors are used to reduce the number of fields in the exported event or to
# enhance the event with external metadata. This section defines a list of
# processors that are applied one by one and the first one receives the initial
# event:
#
#   event -> filter1 -> event1 -> filter2 ->event2 ...
#
# The supported processors are drop_fields, drop_event, include_fields,
# decode_json_fields, and add_cloud_metadata.
processors:
  - drop_fields:
      fields: ["log","input","ecs","host","agent"]
  • es_template.json
{
    "index_patterns":"envoy_access_log_ID*",
	"template": {
		"settings":{
			"index":{
				"lifecycle":{
					"name":"dmp-als-ilm-policy_ID",
					"rollover_alias":"envoy_access_log_ID"
				},
				"refresh_interval":"5s",
				"number_of_shards":"3",
				"number_of_replicas":"0"
			}
		},
		"mappings":{
			"properties":{
				"search_request_path":{
					"type":"text",
					"fields":{
						"keyword":{
							"type":"keyword",
							"ignore_above":"256"
						}
					}
				}
			}
		}
    }
}
  • es_policy.json

仅作为模板参考

{
  "policy": {
    "phases": {
      "hot": {
        "actions": {
          "rollover": {
            "max_docs": 5
          }
        }
      },
      "warm": {
        "min_age": "10s",
        "actions": {
          "allocate": {
            "include": {
              "my_node_type": "warm"
            }
          }
        }
      },
      "cold": {
        "min_age": "15s",
        "actions": {
          "allocate": {
            "include": {
              "my_node_type": "code"
            }
          }
        }
      },
      "delete": {
        "min_age": "20s",
        "actions": {
          "delete": {}
        }
      }
    }
  }
}

日志格式

在日志文件中,一行一个json格式数据。

Fraps_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Filebeat 推送json数据到ES出现Error decoding JSON: json:
有道无术,术尚可求,有术无道,止于术。
10-26 5419
问题描述:filebeat推送一个json对象到es,一个json对象被拆分了多个对象。在kibana显示如下图所示: 解决过程: ① 首先判断自己的json对象是否有效(https://www.json.cn/) ②查看filebeat的拿取json数据的格式(如果是下图多行的形式,在es会将每一行都看成一个json对象,在kibana显示的也将是多个json对象) ...
大数据ELK(十九):使用FileBeat采集Kafka日志Elasticsearch_filebeats
2401_84166327的博客
05-01 319
在资料有一个kafka_server.log.tar.gz压缩包,里面包含了很多的Kafka服务器日志,现在我们为了通过在Elasticsearch快速查询这些日志,定位问题。但上述的日志会出现一条日志,跨多行的情况。有异常信息时,肯定会出现多行。默认FileBeat会将日志数据放入到名称为:filebeat-%filebeat版本号%-yyyy.MM.dd 的索引。我们在日常日志的处理,经常会碰到日志出现异常的情况。从名字就能看出来,一个是用来输入数据的,一个是用来输出数据的。
filebeat收集json格式的tomcat日志(七)
江晓龙的博客
06-16 1168
filebeat收集json格式的tomcat日志 公司常用的web程序一般都是nginx和tomcat,tomcat也有access访问日志,输出和nginx类似,我们也将tomcat的日志输出成json格式,在配合filebeat进行收集展示 1.部署tomcat 1.1.部署tomcat 1.安装java [root@nginx02 ~]# yum -y install java 2.安装tomcat [root@nginx02 ~]# mkdir /data [root@nginx02 ~]#
使用fileBeat7.9.2读取日志文件到KAFKA
螺蛳粉不加葱的微博
11-10 2552
目录一、背景二、安装三、启用kafka模块四、修改配置四、启用脚本五、格式化springBoot日志格式七、替换@timestamp为日志时间六、遇到的问题六、参考 一、背景 需要将微服务日志传输到elk系统,需要先将日志传到kafka做缓冲; filebeat-7.9.2.tar下载 百度云盘链接:戳我 提取码:iefm 二、安装 tar -zxvf filebeat-7.9.2-linux-x86_64.tar.gz 三、启用kafka模块 进入modules.d文件夹,修改kafka.yml.dis
FileBeat 之收集 JSON 文件
菜鸟厚非
05-21 2635
https://www.cnblogs.com/sanduzxcvbnm/p/13723379.html
elk + filebeat 采集json日志
zerotoall的博客
04-04 584
elk + filebeat 采集json日志
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
Python将json文件写入ES数据库的方法
01-01
1、安装Elasticsearch数据库 PS:在此之前需首先安装Java SE环境 下载elasticsearch-6.5.2版本,进入/elasticsearch-6.5.2/bin...再下载elasticsearch-head-master包解压到/elasticsearch-6.5.2/下(链接: https://pan.
streamgoes:使用流将 json 文件导入到 ES
07-02
本文将详细介绍如何使用Go语言编写一个名为"streamgoes"的工具,该工具能够通过流式处理将JSON文件有效地导入到Elasticsearch。 首先,让我们了解一下流式处理的概念。在处理大量数据时,一次性加载整个文件到内存...
Linux从入门到放弃 filebeat收集nginx的json格式的日志
欠了三年一场梦的博客
07-22 942
1、修改nginx日志模板 vim /etc/nginx/nginx.conf log_format json '{ "time_local": "$time_local", ' '"remote_addr": "$remote_addr", ' '"referer": "$http_referer", ' '"request": "$request",
filebeat把nginx的json日志格式文件推送到es
weixin_42715225的博客
04-19 1061
#### 前言 为了方便在es查看到nginx的日志,需要把nginx日志输送到es,这里采用filebeat推送到es #### 准备工作 ##### 部署及配置nginx的日志json格式 这里不再赘述,详见:https://blog.csdn.net/weixin_42715225/article/details/105603410 ##### 部署filebea...
filebeat
最新发布
郑俊强的博客
06-10 344
下午4点filebeat崩溃,4-5的数据未收集到ES集群。ES集群只有下午5点以后的数据和4点之前的数据。请问如何找回4-5点数据,请说出思路即可。filebeat是按行输出的,如果没有换行,是不会输出的。一般先output到控制台,测试正确了,在往es上写。
Filbeat介绍
HAG_blank的博客
05-16 639
Filebeat 介绍 概要 Filebeat 是使用 Golang 实现的轻量型日志采集器,也是 Elasticsearch stack 里面的一员。本质上是一个 agent ,可以安装在各个节点上,根据配置读取对应位置的日志,并上报到相应的地方去。 Filebeat 的可靠性很强,可以保证日志 At least once 的上报,同时也考虑了日志搜集的各类问题,例如日志断点续读、文件名更改、日志 Truncated 等。 Filebeat 并不依赖于 ElasticSearch,可以单独存在。我们可以
ElasticSearch+Kibana+Filebeat 采集日志内的json数据
qq_35993868的博客
02-08 1290
ELK学习
Filbeat安装到使用
weixin_30571465的博客
09-16 148
Filebeat简介 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch或者logstarsh存放。 这里的filebeat就是beats 的一员,目前beat可以发送数据给Elasticsearch,Logstash,File,Con...
filbeat+logstash配置2
Baron_ND的博客
10-29 322
启动Filebeat和Logstash 先启动logstash,不然的话filebeat会找不到logstash的5044端口:修改配置文件不需要重启,可以使用bin/logstash -f config/logstash_filebeat2es.conf -r 查看解析状态是否正确 bin/logstash -f config/logstash_filebeat2es.conf ./filebeat -e -c filebeat_csdn.yml 如果启动的时候报错显示地址被占用 1.ps.
图文详解:ElasticSearch实战,让你Filebeat快速入门和使用
2401_83916030的博客
04-06 767
有时候,我们想采集json文件并直接将json文件的数据按照格式写入到ES对应的索引库,我们也可以通过filebeat去实现。1.在filebeat的目录下创建一个的yml文件。配置文件:type: logfields:paths:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
filebeat 读取日志文件
weixin_38982591的博客
05-10 4521
Filebeat工作原理 Filebeat由两个组件组成:prospector 和harvester harvester: 负责读取单个文件的内容 负责文件在读取时被删除或者重名名,Filebeat将继续读取文件 prospector: prospector负责管理harvester并找到所有要读取文件来源 如果输入的类型为日志,则查找器将查找路径匹配的所有文件,并为每个文件启动一个harvester Filebeat目前支持两种prospector类型:log 和 stdin File...
docker安装elk6.7.1-搜集nginx-json日志
07-09
docker安装elk6.7.1-搜集nginx-json日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值