ELK入门(八)——Logstash多beat配置(以Filebeat、Metricbeat为例)

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量3k 收藏 8
点赞数
分类专栏: ELK入门 文章标签: ELK beat logstash filebeat metricbeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Netceor/article/details/113178912
版权

之前的文章中我们用Filebeat连接Logstash实现了到es的传输,但如果我们有多种采集器(beat)时,该如何配置呢。我尝试了几种方法

一、多端口(不推荐)

在之前文章中,我们的Filebeat和Logstash之间通过5044端口进行传输,如果想要不同的beat,可以开设不同的端口号,例如Filebeat为5044,Metricbeat为5043。

1.配置logstash

vim /etc/logstash/conf.d/logstash-sample.conf
input {
  beats {
    add_field => {"beatType" => "filebeat"}
    port => 5044
  }
  beats {
    add_field => {"beatType" => "metricbeat"}
    port => "5043"
  }
}

# 日志添加  remote_ip字段=>IP地址  来作为不同被监控服务器的标识
filter{
  mutate{
    add_field => {"remote_ip" => "%{[@metadata][ip_address]}"}
  }
}


output {
  if [beatType] == "filebeat" {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "filebeat-logstash-test"
    }
  }
  if [beatType] == "metricbeat" {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "metricbeat-logstash-test"
    }
  }
}

2.配置filebeat

vim /etc/filebeat/filebeat.yml

这个没有什么需要改变的,直接按原本的就好,如果没有配置过则回顾ELK入门(六)——Filebeat安装与启动(rpm包)+logstash(rpm包) 

3.配置metricbeat

在上一节中我们只尝试了metricbeat直接传到elasticsearch,所以这里要重新配置一下。

vim /etc/metricbeat/metricbeat.yml

以下只列出调整过的内容

reload.enabled: true
setup.dashboards.enabled: true

 ②output中注释elasticsearch,启用logstash

4.重启

重启logstash和beats

systemctl restart logstash
systemctl restart filebeat
systemctl restart metricbeat

发现在head上已经显示出这两个索引了

这里filebeat读取的内容很少,是因为已经有了采集过的记录,想要从头开始导入可参见博客ELK入门——解决:删除索引,重运行logstach后messages数据量变少

二、加入tag,输出判断(少量时推荐)

多端口配置这是一种方法,不过当采用多种采集器的时候,难道要给每个采集器都分配一个端口么,这显然是不太合理的,配置过程也非常麻烦,可移植性低。因此还有另外一种方法,就是给每种beat在配置文件中分配好tag,用if [tag]=="" 来区分不同的采集器。

我们先删除方法一中生成的索引,然后同样的,需要对logstash和beat进行相关配置。

1.配置filebeat

vim /etc/filebeat/filebeat.yml
reload.enabled: true

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression


tags: ["filebeat_messages"]

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

2.配置metricbeat

vim /etc/metricbeat/metricbeat.yml
reload.enabled: true

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression


tags:["metricbeat_system"]

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

3.配置logstash

vim /etc/logstash/conf.d/logstash-sample.conf
nput {
  beats {
    port => 5044
  }
}

output {
  if "filebeat_messages" in [tags] {
     elasticsearch {
        hosts => ["http://local:9200"]
        index => "filebeat_logstash_test"
     }
  }
  if "metricbeat_system" in [tags] {
       elasticsearch {
          hosts => ["http://localhost:9200"]
          index => "metricbeat_logstash_test"
       }
    }
  # elasticsearch {
  #   hosts => ["http://localhost:9200"]
  #   index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  # }
}

4.启动

systemctl restart logstash
systemctl restart filebeat
systemctl restart metricbeat

查看head,有索引成功生成

这两种方法掌握后更多的beat其实也是相类似的配置方法

三、logstash.yml表达式区分(推荐)

还有一种方法及其简单,我在后面的博客进行了应用,可以参见ELK入门(十)——Beats的多服务器/系统部署(以Metricbeat为例)并Kibana查看

只修改logstash.yml即可

input {
  beats {
    port => 5044
  }
}

output {
  elasticsearch  {
    hosts => ["172.31.131.224:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-test"
  }
}

通过这段语句,可以区分开不同beat的不同版本 

重运行logstash后会发现head生成索引了,因为此时我有三种采集器在采集,所以也生成了三个采集器的索引。

 

参考博客

安装部署ELK教程 (Elasticsearch+Kibana+Logstash+Filebeat+Metricbeat) 基于7.9.3版本

Logstash多beat数据源配置

Netceor
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
logtash + filebeat 采集多日志的区分使用
weixin_39602215的博客
12-12 1028
filebeat配置文件中加入以下内容,然后重启filebeat vim filebeat.yml #由于需要收集多个日志文件以便在Elasticsearch中生成索引,因此我们需要给不同的日志文件先打一个标记,以便在logstash中使用 tags: ["zgzg"] #开启该配置,表示从日志文件的尾部开始获取日志,不必完全加载所有日志,以防数据太大 tail_files...
filebeat+metricbeat.zip
05-12
包里有filebeat的rpm包和tar包,以及metricbeat的rpm包。资源下载太慢,自己下载打包。这里分享给需要的朋友。都是7.5.1版本
ELKB Logstash+Filebeats配置文件
01-14
Logstash配置文件包括grok,字段分隔,字段移除,日志中日期替换@timestamp,动态索引根据日志日期生成等等...... Filebeat日志多行合并,日志分类索引等等...... 注意修改配置文件中关于Logstash及Elasticsearch的IP地址的配置
Nginx日志分析系统——Elastic Stack的系列产品的使用
不愿意做鱼的小鲸鱼の博客
04-18 842
目录1、Nginx日志分析系统1.1、项目需求2、部署安装Nginx3、Beats 简介4、Filebeat4.1、架构4.2、部署与运行4.3、读取文件4.4、自定义字段4.5、输出到Elasticsearch4.6、Filebeat工作原理4.7、读取Nginx日志文件4.7、Module4.7.1、nginx module 配置4.7.2、配置filebeat4.7.3、测试4.7.4、启动...
Logstash常用配置和日志解析_logstash 日志输出位置
2401_84715926的博客
05-16 1038
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
Logstashbeat数据源配置
qq_27548447的博客
08-06 4497
Logstash配置不同服务器多种beat 环境配置: 被监控服务器OS:windows7 centos logstash版本      :6.2.4 logstash Doc       : https://www.elastic.co/guide/en/logstash/current/index.html 配置input 配置metric和packetbeat两种b...
filebeat同时采集多个日志时,logstashfilebeat的文件配置
hjxloveqsx的博客
09-15 2190
filebeat同时采集多个日志时,logstashfilebeat的文件配置
elasticsearch安装,elk elasticsearch+logstash+filebeat+kibana安装部署文档
最新发布
06-25
elasticsearch安装,elk elasticsearch+logstash+filebeat+kibana安装部署文档,运维监控
Elk-Stack:麋鹿堆栈部署,Ansible自动化,FilebeatMetricbeat
04-14
自动化ELK堆栈和Beats部署 该存储库中的文件用于配置以下所示的... such as Filebeat/Metricbeat or any other Beats desired. 本文档包含以下详细信息: 拓扑描述 访问政策 ELK配置 使用中的节拍 被监视的机器 ELK
新版 metricbeat-7.7.0-linux-x86_64.tar.gz
05-25
metricbeat-7.7.0-linux-x86_64.tar.gz 新版急速下载,官网下载太慢了,这里给大家提供方便下载
ES+Logstash+Kibana+filebeatELK)单点部署文档
02-24
本文档旨在指导用户在单点环境中部署ELK(Elasticsearch、Logstash、Kibana、Filebeat)日志分析系统。下面将详细介绍每个组件的安装、配置和启动过程。 一、环境准备 在开始部署ELK之前,需要准备一个Linux服务器...
filebeat+logstash配置
Baron_ND的博客
10-29 7065
Logstash依赖于JVM,在启动的时候大家也很容易就能发现它的启动速度很慢很慢,但logstash的好处是支持很多类型的插件,支持对数据做预处理。而filebeat很轻量,前身叫logstash-forward,是使用Golang开发的,所以不需要有java依赖,也很轻量,占用资源很小,但功能也很少,不支持对数据做预处理。因此一般都是将filebeat+logstash组合使用,在每个节点部署filbeat,然后将监控的日志推送到数据缓冲层或直接推送到logstash集群内,配合redis或kafka做
filebeat 负载均衡到多个logstash配置
cql252283126的博客
04-17 4501
logstash配置文件 input { beats { port => 5044 client_inactivity_timeout => 36000 # 如果不设置,会出现Failed to publish events: write tcp 192.168.12.141:53310->192.168.12.139:5044: write: ...
ELK filebeatlogstash使用:配置单个文件来源、配置多个文件来源
夏已微凉、
09-28 1319
一、Windows下载安装1、filebeat2、logstash二、配置1、梳理下流程2、filebeat配置3、logstash配置三、filebeat配置多个文件来源四、相关地址 一、Windows下载安装 1、filebeat 下载:filebeat下载,注意别和es相差太多版本 配置 根目录下的 文件 filebeat.yml 启动 cd D:\ProgramFiles\ELK\filebeat-7.2.0-windows-x86 filebeat.exe -e -c filebeat.ym.
logstashfilebeat多行日志 合并
cagezxy的博客
11-17 2005
filebeat logstash 配置多行日志 合并
Logstash:用 Filebeat 把数据传入到 Logstash
热门推荐
Elastic 中国社区官方博客
09-10 1万+
在今天的讲座里,我们来讲述一下如何把Filebeat里的数据传入到Logstash之中。在做这个练习之前,我想信大家已经安装我之前的文章“如何安装Elastic栈中的Logstash”把Logstash安装好。 之前,我们介绍了一这样的一幅图: 如上图所示,我们可以直接把beats里的数据直接传入到Elasticsearch,也可以直接接入到Logstash之中。 数据采集流程: ...
Logstash 参考指南(在配置中访问事件数据和字段)
weixin_33795833的博客
10-05 1547
配置中访问事件数据和字段 Logstash代理是一个包含三个阶段的处理管道:输入 → 过滤 → 输出,输入生成事件,过滤器修改事件,输出将事件发送到其他地方。 所有事件都有属性,例如,apache访问日志包含状态代码(200,404)、请求路径(“/”,“index.html”)、HTTP动作(GET,POST)、客户端IP地址等,Lo...
Logstash重要配置参数
Sebastien23的博客
11-27 9189
Logstash有两种类型的配置文件:pipeline配置文件,用于定义Logstash处理管道;以及Logstash本身的配置文件,用于指定控制Logstash启动和运行的参数。Logstash本身的配置文件位于安装路径的。
linux elk filebeatlogstash
04-30
ELK是指Elasticsearch、Logstash和Kibana,是一套常用的开源日志分析解决方案。FilebeatLogstashELK中的两个组件。 Filebeat是一个开源的日志数据收集器,它可以帮助我们从各种源(如文件、系统日志等)中收集日志数据,并将其传输到指定的目的地(如Elasticsearch或Logstash)。Filebeat的作用是将日志数据收集并送到Logstash或Elasticsearch等组件中进行处理Logstash是一个开源的数据收集引擎,它可以帮助我们从各种数据源(如文件、消息队列等)中收集数据,并将其转换成统一的格式。Logstash的作用是接收来自Filebeat等组件传来的日志数据,并对其进行处理、转换和过滤,然后将其发送到Elasticsearch中进行存储和分析。 总的来说,FilebeatLogstash都是ELK中用来收集和处理日志数据的组件,它们可以协同工作,提供可靠的数据收集和分析解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值