Logstash: 启动监控及集中管理

已于 2022-05-09 17:06:15 修改
阅读量1w 收藏 16
点赞数 6
分类专栏: Elastic Logstash 文章标签: Elasticsearch Elastic Logstash elasticsearch 大数据
于 2019-12-31 10:48:53 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/103767088
版权

在本篇文章里,我将详细介绍如果启动 Logstash 的监控及集中管理。

前提条件

如果你还没安装好自己的 Logstash,请参照文章 “如何安装 Elastic 栈中的 Logstash”。同时安装我之前的文章 “Elasticsearch:设置 Elastic 账户安全” 为我们的 Elasticsearch 及 Kibana 设置安全密码。

如何监控 Logstash?

我们安装如下的步骤来实现监控 Logstash 的目的:

Step 1: 在Kibana中启动监控:

然后,我们可以看到如下的画面:

Step 2:配置 Logstash

如果我们在没有配置 Logstash 的情况下直接运行 Logstash,我们会发现如下的错误:

liuxg-2:logstash-7.5.0 liuxg$ ./bin/logstash
Java HotSpot(TM) 64-Bit Server VM warning: Option UseConcMarkSweepGC was deprecated in version 9.0 and will likely be removed in a future release.
WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by com.headius.backport9.modules.Modules (file:/Users/liuxg/elastic5/logstash-7.5.0/logstash-core/lib/jars/jruby-complete-9.2.8.0.jar) to field java.io.FileDescriptor.fd
WARNING: Please consider reporting this to the maintainers of com.headius.backport9.modules.Modules
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release
Thread.exclusive is deprecated, use Thread::Mutex
Sending Logstash logs to /Users/liuxg/elastic5/logstash-7.5.0/logs which is now configured via log4j2.properties
ERROR: Pipelines YAML file is empty. Location: /Users/liuxg/elastic5/logstash-7.5.0/config/pipelines.yml
usage:
  bin/logstash -f CONFIG_PATH [-t] [-r] [] [-w COUNT] [-l LOG]
  bin/logstash --modules MODULE_NAME [-M "MODULE_NAME.var.PLUGIN_TYPE.PLUGIN_NAME.VARIABLE_NAME=VALUE"] [-t] [-w COUNT] [-l LOG]
  bin/logstash -e CONFIG_STR [-t] [--log.level fatal|error|warn|info|debug|trace] [-w COUNT] [-l LOG]
  bin/logstash -i SHELL [--log.level fatal|error|warn|info|debug|trace]
  bin/logstash -V [--log.level fatal|error|warn|info|debug|trace]
  bin/logstash --help
[2019-12-30T15:32:49,899][ERROR][org.logstash.Logstash    ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit

首先在 Logstash 的安装目录中找到 logstash 的配置文件 logstash.yml:

我们可以在 Logstash 的根目录下运行一下的命令:

./bin/logstash-keystore create

上面的命令将创建一个 Created Logstash keystore:

我们可以利用如下的命令来创建一些 key: ES_HOST 及 ES_PWD。

./bin/logstash-keystore add ES_HOST

当我们运行时,可以把我们的 Elasticsearch 的 host 地址粘贴过来:

比如针对我们的情况,我们粘贴的地址是 localhost:9200。按照同样的方法,我们可以创建另外一个 ES_PWD key:

./bin/logstash-keystore add ES_PWD

这些 key 可以在 logstash 的配置文件中所使用。这样我们可以不暴露我们的密码给别人看到。

我们打开 logstash.yml 文件,并同时使用如下的配置:

xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: logstash_system
xpack.monitoring.elasticsearch.password: "${ES_PWD}"
xpack.monitoring.elasticsearch.hosts: ["${ES_HOST}"]

这里,我们打开 monitoring 的开关,并同时使用我们在创建安全账户已经创建好的用户名 logstash_system:

现在我们下载一个我之前做个的一个练习:

git clone https://github.com/liu-xiao-guo/logstash_multi-pipeline

我们可以下载到我们指定的目录里。但是记得修改在 apache.conf 中的 path 路径,否则我们会错的。

apache.conf

input {
  file {
    path => "/Users/liuxg/data/multi-pipeline/apache.log"
  	start_position => "beginning"
    sincedb_path => "/dev/null"
    # ignore_older => 100000
    type => "apache"
  }
}

filter {
  	grok {
    	match => {
      		"message" => '%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent}'
    	}
  	}
}


output {
	stdout {
		codec => rubydebug
	}

  	elasticsearch {
        hosts => ["${ES_HOST}"]
        user => "elastic"
        password => "${ES_PWD}"
    	index => "apache_log"
    	template => "/Users/liuxg/data/multi-pipeline/apache_template.json"
    	template_name => "apache_elastic_example"
    	template_overwrite => true
  }	
}

同时,我们需要添加 hosts, user 及 password 的定义。这是因为我们现在我们是需要有用户名及密码才可以连接到 Elasticsearch。这个和之前的练习是不一样的。同时我们可以创建自己的用户名及密码。我们可以参考 “Elasticsearch:用户安全设置” 来创建自己喜欢的账号。在这里,为了方便,我们使用elastic账号。在这里,我们是用 ${ES_HOST} 及 ${ES_PWD} 来代表我们的 Elasticsearch 地址及密码。这样的好处是我们不暴露我们的密码在配置文件中。

一旦上面的配置已经做好了,我们可以使用如下的命令来把我们的 apache log 文件上传到 Elasticsearch 之中:

sudo ./bin/logstash -f ~/data/multi-pipeline/apache.conf

Step3:打开 Stack Monitoring UI

 我们安装如下的步骤来查看 Logstash 的 monitoring:

我们会发现在 Logstash 运行的情况下,有一个 Logstash 的类别出现了。这在之前是没有的。我们点击 Nodes 1

我们看到一个 Logstash 的运行实例。它显示了目前 CPU 的使用情况和 Load Average 及 JVM head 的使用情况。点击上面的超链接:

我们可以看到更加详细的使用情况。我们也可以查看 pipeline 的状况:


Logstash 集中管理

首先我们来创建一个叫做 logstash_writer 的 role:

点击 “Create role” 来创建我们的 role。

首先让我们来创建一个具有 logstash_user 的用户账号:

点击上面的 “Create user” 按钮来创建一个用户:

点击 “Create user” 来创建一个叫做 logstash_user 的账号。它具有 logstash_admin 及 logstash_system 的权限。

为了启动集中管理,我们必须在 logstash.yml 文件里做相应的配置:

xpack.management.enabled: true
xpack.management.pipeline.id: ["main", "apache_logs", "my_apache_logs"]
xpack.management.elasticsearch.username: "logstash_user"
xpack.management.elasticsearch.password: "123456"
xpack.management.elasticsearch.hosts: ["${ES_HOST}"]

我们可以在链接 Centralized Pipeline Management | Logstash Reference [8.2] | Elastic 找到更多的描述。在这里,我们启动 logstash 的管理,同时也把我们刚才创建的 logstash_user 的账号填入进来,并同时取了一个叫做 my_apache_logs 的 pipeline id。

一旦启动了 Logstash 的集中管理,我们就可以直接启动 Logstash,而不用跟任何的参数:

sudo ./bin/logstash

这样我们的 Logstash已经被成功运行起来了。我们接下来可以在Kibana中创建自己的pipeline。

点击上面的 “Create pipeline” 按钮,我们可以看到如下的画面:

接下来我们点击 “Create and Deploy” 按钮:

这样我们的 my_apache_logs 就被创建好了,而且已经被成功执行了。我们可以在 Kibana 中创建一个叫 apache_log 的 index pattern,然后打开 Discover,你可以看到刚刚被 Logstash 导入的数据:

好了到此,我们关于如何启动 Logstash 的监控及集中管理讲完了。如果想了解更多关于 Logstash 的知识,可以参阅 链接

博客
Elasticsearch:没有 “AG” 的 RAG?
04-30 795
了解如何利用语义搜索和 ELSER 构建一个强大且视觉上吸引人的问答体验,而无需使用 LLMs。想要获得 Elastic 认证?查看下一期的时间!Elasticsearch 拥有众多新功能,帮助你为你的用例构建最佳搜索解决方案。深入学习我们的,了解更多信息,开始,或立即在上尝试 Elastic。你可能听说过(Retrieval Augmented Generation - 检索增强生成),这是一种将你自己的文档与 LLM 结合,以生成类人回答的常用策略。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elasticsearch:一家全球银行如何将搜索引擎转变为其数据支柱
04-30 424
BBVA 通过使用 Elastic 将超过 450 亿个数据点统一到 50 多个银行服务中,实现了客户体验和运营洞察的转型,并实现了亚秒级响应时间。当 BBVA 的 David Jiménez Ausin 回顾 2014 年时,他看到的是一个截然不同的银行业景观。“几乎一切都还通过网页渠道,因为 [银行] 应用程序并不像现在这么成熟,而且每个服务的资讯都存在各自的系统中,” 他回忆道。作为服务于。
博客
Elasticsearch:ES|QL lookup JOIN 介绍 - 8.18/9.0
04-29 761
​ES|QL LOOKUP JOIN 处理命令将你的 ES|QL 查询结果表中的数据与指定的查找索引中的匹配记录合并。它根据联接字段中的匹配值,将查找索引中的字段作为新列添加到结果表中。团队常常将数据分散在多个索引中,例如日志、IP、用户 ID、主机、员工等。如果没有直接的方式来丰富或关联每个事件与参考数据,那么根本原因分析、安全检查和操作洞察将变得耗时。
博客
Elasticsearch 内存使用指南
04-29 547
探索 Elasticsearch 的内存需求以及不同类型的内存统计信息。Elasticsearch 拥有丰富的新功能,帮助你为你的使用场景构建最佳搜索解决方案。浏览我们的了解更多信息,开始,或者现在就在上体验 Elastic。
博客
Elastic Platform 8.18 和 9.0:ES|QL Lookup Joins 功能现已推出,Lucene 10!
04-28 1160
Elastic 最新发布的 8.18 和 9.0 版本包含了强大的更新,将显著提升你的体验、增强查询性能并优化日志管理。无论你是在处理搜索、可观察性还是安全用例,本次发布都带来了大量新特性,旨在提高工作流效率并解锁新的可能性。在这篇博客中,我们将按主要主题分解 Elasticsearch 和 Kibana 的关键更新:ES|QL 改进Elasticsearch logsdb 索引模式优化搜索和索引增强Kibana 用户体验升级Lucene 性能提升。
博客
Elastic Observability 9.0/8.18:EDOT 现已正式发布,支持 LLM observability ,以及更多功能
04-28 853
Elastic Observability 9.0/8.18 宣布了几项关键功能:1)​Elastic Distributions of OpenTelemetry ( EDOT )正式发布 2)​面向 GenAI 应用的 LLM observability 3)对 Logstash 的性能和安全性改进、Elastic Agent 对 AWS EKS 的支持,以及 Discover 的增强。​
博客
Elasticsearch 9.0 和 8.18:为开发者精心打造,带来更快速的 BBQ 体验 — 比 OpenSearch 快 5 倍
04-28 710
我们很高兴向 Elastic Cloud 和自托管用户发布 Elasticsearch 9.0 和 8.18 版本。这些版本中的功能已经向我们的 Elastic Cloud Serverless 用户,他们可以使用在 AWS、和上提供的完全托管的 Elasticsearch。
博客
Elastic Cloud Serverless 现在在 Google Cloud 上正式发布
04-28 1025
Elastic Cloud Serverless 提供了启动和扩展安全、可观察性和搜索解决方案的最快方式 — 无需管理基础设施。今天,我们很高兴宣布 Elastic Cloud Serverless 在 Google Cloud 上正式发布 — 现在已在爱荷华(us-central1)区域提供。Elastic Cloud Serverless 提供了启动和扩展可观察性、安全性和搜索解决方案的最快方式,无需管理基础设施。它基于业界首个。
博客
Elastic Security 简化了预构建 SIEM 检测规则的自定义
04-28 789
自定义和更新预构建 SIEM 检测规则变得更简单了,提升了精准度,扩大了覆盖范围,并节省了时间。使用 Elastic Security,定制和更新预构建检测规则变得前所未有的简单。我们简化了检测工程工作流程,并通过开箱即用的 SIEM 检测规则实现了更广泛的用例覆盖。提供了 1,300 多条由专家编写的检测规则,这些规则映射到中的战术、技术和程序(TTPs)。我们的研究工程师积极维护和优化这些规则,每两周发布一次更新,帮助你在不断演变的威胁面前保持领先,而无需手动维护的负担。
博客
使用 LangGraph 和 Elasticsearch 构建强大的 RAG 工作流
04-26 1200
在这篇博客中,我们将向你展示如何配置和自定义 LangGraph Retrieval Agent 模板与 Elasticsearch,以构建一个强大的 RAG 工作流,实现高效的数据检索和由 AI 驱动的响应。本博客重点介绍如何使用 LangGraph Studio 和 LangGraph CLI 运行并自定义 LangChain Retrieval Agent Template。该模板为构建检索增强生成(RAG)应用提供了框架,并支持多种检索后端,如 Elasticsearch。
博客
更智能的银行体验:生成式 AI 与语义搜索的实际应用
04-25 786
了解 Elastic 与生成式 AI 如何正在改变银行业务,从个性化服务到具备上下文感知的搜索以及更智能的客户支持。在上,Elastic 的首席解决方案架构师 Tim Brophy 解释了。该会议讨论了四个关键挑战:让交易搜索真正为客户服务提升聊天机器人交互,利用实时知识提供个性化客户推荐提高运营效率Brophy 解释道:“生成式 AI 不仅仅是提高效率,它还代表着创新和更深层次的客户互动。
博客
检测特权访问活动:一个新的 Kibana 集成
04-25 1111
特权访问活动是指由具有高权限的用户(如系统管理员或服务账户)执行的操作。这些用户可以修改系统配置、访问敏感数据、管理用户角色、安装软件、更改安全策略,并直接与关键控制系统进行交互。传统的安全措施依赖于预定义的规则和特征签名,但这些方法往往无法检测出新型或复杂的攻击模式。由于特权用户会执行各种管理任务,区分正常操作和可疑行为是一个挑战。特权访问检测包通过机器学习建立用户和实体的行为基线,从而检测出偏离正常使用模式的异常行为。目前,该包主要关注来自合法账户的异常特权访问活动,例如基于管理员的事件和命令。
博客
使用 AutoGen 与 Elasticsearch
04-25 1496
学习如何使用 AutoGen 为你的 agent 创建一个 Elasticsearch 工具。Elasticsearch 拥有与行业领先的生成式 AI 工具和提供商的原生集成。查看我们的网络研讨会,了解,或使用构建可投入生产的应用。为了为你的使用场景构建最佳搜索解决方案,现在就开始,或者在上试用 Elastic。AutoGen 是微软的一个框架,用于构建可以与人类互动或自主行动的应用程序。它提供了一个完整的生态系统,具备不同层级的抽象,取决于你需要自定义的程度。
博客
如何将 Better Binary Quantization ( BBQ )应用到你的用例中,以及为什么你应该这样做
04-24 1279
探讨为什么你会在你的用例中实现 Better Binary Quantization ( BBQ )以及如何实现它。通过这个,你可以亲自尝试向量搜索。你现在可以开始,或者在上试用 Elastic。向量搜索为实现文本语义搜索或图像、视频、音频的相似度搜索提供了基础。使用向量搜索时,向量是数据的数学表示,通常体积庞大且处理缓慢。
博客
Elasticsearch:生成式 AI 热潮 - 为 IT 领导者揭穿 4 个神话
04-23 885
不可否认的是:生成式 AI(- GenAI)正在重塑 IT 的未来(甚至可能是世界的未来)。根据 Forrester 2024 年的脉搏调查,67% 的 AI 决策者表示,他们的组织计划在未来一年增加对生成式 AI 的投资。那么,什么只是生成式 AI 的炒作,什么又值得长期投资呢?IT 和商业领导者如何区分事实与虚构?这种热潮带来了兴奋和怀疑。人们对生成式 AI 如何收集数据、其安全措施以及其对 IT 和商业运营的影响提出了许多问题。
博客
Elasticsearch 堆内存使用情况和 JVM 垃圾回收
04-23 1194
探索 Elasticsearch 堆内存使用情况和 JVM 垃圾回收,包括最佳实践以及在堆内存使用过高或 JVM 性能不佳时的解决方法。堆内存大小是分配给 Elasticsearch 节点中 Java 虚拟机的 RAM 数量。从 7.11 版本开始,Elasticsearch 默认会根据节点的角色和总内存自动设置 JVM 堆内存大小。对于大多数生产环境,推荐使用默认配置。然而,如果你希望手动设置 JVM 堆内存大小,一般规则是将 -Xms 和 -Xmx 设置为相同的值,。
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值