ELK-日志服务【filebeat-安装使用】

已于 2023-07-12 17:30:00 修改
阅读量1.7k 收藏
点赞数
分类专栏: ELK-日志服务 文章标签: elk 服务器 linux filebeat
于 2023-07-12 17:07:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L596462013/article/details/131685586
版权
本文详细介绍了如何在Linux服务器上安装并配置Filebeat,用于收集系统文件、nginx和tomcat日志,并将数据发送到ES集群。内容包括Filebeat的安装、配置测试、定制索引名称、收集多个web节点日志以及图形化展示等步骤。
摘要由CSDN通过智能技术生成

目录

【1】安装Filebeat

【2】配置-测试

【3】配置使用Filebeat 

【4】filebeat-收集系统文件日志

【5】配置filebeat,将/var/log/all.log日志采集到es集群中

【6】定制索引名称

【7】收集多个web节点的日志,输出到相同的索引中

【8】filebeat-收集nginx日志

【9】修改nginx的日志格式

【10】图形化展示

【11】filebeat-收集nginx的访问日志+错误日志

【12】filebeat收集nginx多虚拟主机日志

【13】收集tomcat日志

【14】filebeat-收集tomcat错误日志

【1】安装Filebeat

[root@filebeat ~]# rpm -ivh filebeat-7.4.0-x86_64.rpm 
warning: filebeat-7.4.0-x86_64.rpm: Header V4 RSA/SHA512 Signature, key ID d88e42b4: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:filebeat-7.4.0-1                 ################################# [100%]

【2】配置-测试

  • 配置filebeat从终端读入,从终端输出
[root@filebeat ~]# vim /etc/filebeat/test.yml
filebeat.inputs:
- type: stdin
  enabled: true
output.console:
  pretty: true
  enable: true

## 测试
[root@filebeat ~]# filebeat -e -c test.yml

【3】配置使用Filebeat 

[root@filebeat ~]# cp /etc/filebeat/filebeat.yml /etc/filebeat/filebeat.yml_bak
[root@filebeat ~]# vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/messages

output.elasticsearch:
  hosts: ["10.0.0.21:9200","10.0.0.22:9200","10.0.0.23:9200"]
  enable: true

## 测试
[root@filebeat ~]# systemctl restart filebeat.service

  • 使用kibana读取filebeat索引中的数据

 

 

 

 

  • 日志中写入新的数据,刷新验证是否能被命中
[root@filebeat ~]# echo "test" >> /var/log/messages

【4】filebeat-收集系统文件日志

系统日志包含messages、secure、cron、dmesg、ssh、boot等

如果挨个配置会变得很麻烦,我们可以将这些日志进行统一几种管理,使用rsyslog将本地所有类型的日志都写入到/var/log/all.log文件中,然后使用filebeat对该文件进行收集

[root@filebeat ~]# yum -y install rsyslog
....
$ModLoad imudp
$UDPServerRun 514
....
*.* /var/log/all.log
....

## 重启测试
[root@filebeat ~]# systemctl restart rsyslog.service    
[root@filebeat ~]# logger "rsyslog test from all"
[root@filebeat ~]# grep "all" /var/log/all.log 
Jul 11 05:25:47 filebeat root: rsyslog test from all

【5】配置filebeat,将/var/log/all.log日志采集到es集群中

  • 先删除es中的索引和kibana中匹配的索引,重启后生成新的索引

[root@filebeat ~]# vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/all.log
  include_lines: ['^ERR', '^WARN', 'sshd']

output.elasticsearch:
  hosts: ["10.0.0.21:9200","10.0.0.22:9200","10.0.0.23:9200"]
  enable: true

[root@filebeat ~]# systemctl restart filebeat.service

【6】定制索引名称

[root@filebeat ~]# vim /etc/filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/all.log
  include_lines: ['^ERR', '^WARN', 'sshd']

output.elasticsearch:
  hosts: ["10.0.0.21:9200","10.0.0.22:9200","10.0.0.23:9200"]
  enable: true
  index: "system-%{[agent.version]}-%{+yyyy.MM.dd}"
setup.ilm.enabled: false             # 索引的生命周期。默认开启,开启后索引名称只能是filebeat
setup.template.name: "system"        # 定义模板名称
setup.template.pattern: "system-*"   # 定义模板匹配索引的名称

## 索引分片,方式一
setup.template.settings:
  index.number_of_shards: 3
  index.number_of_replicas: 1

## 索引分片,方式二
1、修改system模板,添加分片和副本数量
2、删除模板关联的索引
3、重启filebeat
4、产生新的日志验证

  • 我们需要删除syste模板和索引,因为模板默认分片就是1,要不然分片永远不会生效

最低0.47元/天 解锁文章
梦有一把琐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ELK应用之Filebeat
qq_40907977的博客
03-02 330
介绍 Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。 ElasticSearch Elasticsearch 是一个实时的分布...
ELK详解(十六)——filebeat安装使用_filebeat配置文件详解
2301_76225520的博客
04-11 1255
filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。。
filebeat生产环境配置
最新发布
罗伯特是疯子丶
07-17 752
filebeat生产环境详情配置及名词解释
ELK+FileBeat
weixin_38367535的博客
07-21 237
介绍 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。 安装 ELK服务器:codeus-log 172.17.202.147 n...
FileBeat 安装配置
Qynwang的博客
05-15 1243
Filebeat使用 Golang 实现的轻量型日志采集器。本质上是一个 agent ,可以安装在各个节点上,根据配置读取对应位置的日志,并上报到相应的地方去。
ELK(六)—Filebeat安装部署
qq_51010919的博客
12-09 3180
Filebeat是一个轻量级的日志和文件数据收集器,属于Elastic Stack(ELK Stack)中的一个组件。它的主要作用是搜集、传输和转发各种类型的日志和事件数据,将这些数据发送到中央的Elasticsearch集群或者Logstash进行处理和存储。Filebeat的官网网址如下:https://www.elastic.co/cn/beats/filebeat当我们的元数据没办法支撑我们的业务时,我们还可以自定义添加一些字段.修改"filebeat-log.yml"文件的内容。
ELK-6.3和Filebeat-6.3在docker-compose环境下的安装部署和使用.pdf
11-13
ELK+Filebeat日志监控系统,在docker环境下的安装部署,使用docker环境省去了繁琐的下载安装时间,实现docker快速搭建,ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件(日志系统的三剑客)。
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-08-filebeat日志过滤.mp4
05-28
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-08-filebeat日志
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-06-filebeat收集日志.mp4
06-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-06-filebeat收集日
docker-compose配置elk + filebeat(版本:7.16.1)
paidaxinga的博客
12-29 2814
docker-compose配置elk + filebeat(版本:7.16.1)前言1 环境2 拉取镜像3 创建自定义网络4 elasticsearch配置4.1 创建目录4.2 配置elasticsearch.yml文件5 kibana配置5.1 配置kibana.yml文件6 logstash配置6.1 logstash.yml文件6.2 my.conf文件7 filebeat配置7.1 创建测试目录7.2 配置filebeat.yml文件8 docker-compose.yml文件配置8.1 配置
ELK日志分析--Filebeat
qq_47800859的博客
02-22 1048
ELK架构 Filebeat简介 Filebeat安装 Filebeat简单使用 专用日志搜集模块 案例模块-Nginx 模块 重读日志文件 使用Processors(处理器)过滤和增强数据
Filebeat安装使用
qq_28326501的博客
07-20 2455
Logstash 是一款强大的数据处理工具,它可以实现数据传输,格式处理,格式化输出,还有强大的插件功能,常用于日志处理 Filebeat是一个轻量级日志传输Agent,可以将指定日志转发到Logstash、Elasticsearch、Kafka、Redis等中。Filebeat占用资源少,而且安装配置也比较简单,支持目前各类主流OS及Docker平台。 ...
ELKFilebeat使用
zc190692107的博客
01-08 1123
ELK 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录ELK前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一
FileBeat安装配置
程序猿·李的博客
11-11 2658
Filebeat 是属于 Beats 家族的日志传送器——一组安装在主机上的轻量级传送器,用于将不同类型的数据传送到 ELK 堆栈中进行分析。每个节拍都专用于传送不同类型的信息——例如,Winlogbeat 传送 Windows 事件日志,Metricbeat 传送主机指标等等。Filebeat,顾名思义,提供日志文件。
日志收集分析利器-ELKFileBeat
小僵尸打字员的博客
06-30 350
安装docker-compose pip install --upgrade pip pip install -i https://pypi.tuna.tsinghua.edu.cn/simple -U docker-compose 编写配置文件 别忘了把127.0.0.1 替换成自己的ip地址 创建挂载目录 mkdir -p /data/elk/es /data/elk/filebeat cd /data/elk 小技巧 linux vim下粘贴文件可能会存在格式文件, 在粘贴前进入paste模式 :
Filebeat的入门安装使用
我的祖传代码
05-10 2494
日志采集的工具有很多种,如logagent, flume, logstash,betas等等。首先要知道为什么要使用filebeat呢?因为logstash是jvm跑的,资源消耗比较大,启动一个logstash就需要消耗500M左右的内存,而filebeat只需要10来M内存资源。常用的ELK日志采集方案中,大部分的做法就是将所有节点的日志内容通过filebeat送到kafka消息队列,然后使用l...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦有一把琐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值