Graylog 配置Sidecar和filebeat

已于 2023-03-20 07:34:36 修改
阅读量2.3k 收藏 11
点赞数 6
分类专栏: 日志监控 文章标签: graylog linux 服务器
于 2022-12-24 13:02:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WEDUEST/article/details/128427753
版权

📚Graylog-Sidecar配置

🗒️版本选择

Sidecar versionGraylog server version
1.2.x3.2.5 or higher
1.1.x3.2.5 or higher
1.0.x3.0 or higher
0.1.x2.2.x, 2.3.x, 2.4.x, 2.5.x, 3.0.x, 4.0.x
0.0.92.1.x

官网:https://docs.graylog.org/docs/sidecar

👀添加Beats类型的Input

如果存在Beats input就不用创建。

  1. 点击System/inputs,在Select input中选中Beats,点击Launch new input

image.png

image.png

  1. 勾选Global,输入Title,其他默认即可。
    image.png

📈创建graylog-sidecar的token

  1. 登录graylog,点击System/Sidecars,点击**Create or reuse a token for thegraylog-sidecaruser**

image.png

  1. 输入Token Name,点击**Create Token**按钮即可。

image.png

  1. 提示创建成功后,需要及时复制token并保存。再次进入后不再显示token信息。

image.png

🔩安装sidecars和filebeat

可直接到安装脚本中,下载脚本安装即可。

地址:https://github.com/Graylog2/collector-sidecar/releases
image.png

🖥Linux安装

地址:https://github.com/Graylog2/collector-sidecar/releases
这里以1.2.0版本为例

下载与安装sidecar
sudo rpm -Uvh https://github.com/Graylog2/collector-sidecar/releases/download/1.2.0/graylog-sidecar-1.2.0-1.x86_64.rpm

# sudo yum install graylog-sidecar
修改配置

编辑/etc/graylog/sidecar/sidecar.yml文件进行配置
这里只需要配置 graylog地址,token等信息,日志采集路径,不用配置,通过graylog下发配置即可

# 修改为http://10.0.107.158:29000/api/
server_url: "http://10.0.107.158:29000/api/"
# 配置token
server_api_token: "bb3n4bo9kt1uqu3fkcresi6v0euc9o0vr8koevubj510i4r6nme"
# 修改node_name
node_name: "10.0.204.66"
# 取消#update_interval: 10的注释
update_interval: 10
# 取消#send_status: true 的注释
send_status: true
注册为服务
# 将sidecar注册为服务
graylog-sidecar -service install
# 启动服务
systemctl start graylog-sidecar
# 查看服务状态
systemctl status graylog-sidecar
启动后在graylog中就可以看到在线状态了

image.png

修改配置重启服务器生效
# 如果修改配置后,需要重启服务,配置即可生效
systemctl restart graylog-sidecar
安装filebeat

地址:https://www.elastic.co/cn/downloads/beats/filebeat

# 下载rpm包
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.8.23-x86_64.rpm
# 安装
rpm -ivh filebeat-6.8.23-x86_64.rpm

# 启动filebeat
systemctl start filebeat

filebeat未启动会有如下报错
image.png

💡安装脚本

在需要大量部署的情况下,推荐使用安装脚本一键安装,省时省力。

脚本地址:
链接:https://pan.baidu.com/s/1HUZ3EQIybHys3ULQseIeNA
提取码:gcjk

目录结构:
image.png
安装命令:

# 解压
tar -zxvf filebeat_install.tar.gz

# 安装示例:  ./install.sh 参数1【graylog服务地址】 参数2【token】 参数3【节点名称,可以为IP或其他自定义名称】
./install.sh 10.0.107.158:29000 bb3n4bo9kt1uqu3fkcresi6v0euc9o0vr8koevubj510i4r6nme 10.0.107.158

安装成功:
服务器显示服务状态为activegraylog页面中可以查看到sidecar的状态。

image.png

📌修改token等配置

编辑/etc/graylog/sidecar/sidecar.yml文件进行配置,修改后重启服务即可

# 修改配置文件 qsc841q7fvsjglcatpd7vhk69e0qfott9ss63u7k8bpflk5p0v6
vim /etc/graylog/sidecar/sidecar.yml
# 重新启动服务
systemctl restart graylog-sidecar

💻windows安装

windows版本的sid ecar自带了filebeatwinlogbeat,不用单独安装。

下载与安装

地址:https://github.com/Graylog2/collector-sidecar/releases
github下载对应文件。
双击graylog_sidecar_installer_1.2.0-1.exe
填写相关参数:
Graylog APIgray log的api接口,格式为http://{ip}:{port}/api{}中的数据替换为真实Ip和端口
insatance:实例名称,填写本机IP即可。
API tokengraylog 生成的Token

示例:
Graylog API: http://10.0.107.158:29000/api
instance:192.168.124.75
API token:bb3n4bo9kt1uqu3fkcresi6v0euc9o0vr8koevubj510i4r6nme

image.png

安装好以后的配置文件路径为C:\Program Files\Graylog\sidecar\sidecar.yml,修改配置文件重新启动服务即可。(此电脑->右键->管理->服务和应用程序
日志文件路径:C:\Program Files\Graylog\sidecar\logs

脚本地址:
链接:https://pan.baidu.com/s/1yeZcVjON1WtfJIpVQ6_tAw
提取码:zsq2

命令行注册服务,并启动服务,管理员权限执行

win+r 输入cmd
按ctrl+shift+enter 即可进入管理员

"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start

注册完,并启动以后在服务中就可以看到
image.png
grayLog中也可以看到该windows主机上线了
image.png

📗配置采集规则

📃采集文件配置

  1. System/sidecars界面点击Configuration按钮,进入页面后点击 Create Configuration

image.png

  1. 填写必要信息

image.png
示例:
Name自定义为windows_filebeat_conllector_cfg
Configuration color挑选一个颜色
Collector选择为filebeat on Windows类型
Configuration配置文件修改

# Needed for Graylog
fields_under_root: true
fields.collector_node_id: ${sidecar.nodeName}
fields.gl2_source_collector: ${sidecar.nodeId}

output.logstash:
   hosts: ["10.0.107.158:5044"] # 日志发送给graylog的地址,默认端口为5044,即我们创建input时的端口
path:
  data: C:\Program Files\Graylog\sidecar\cache\filebeat\data
  logs: C:\Program Files\Graylog\sidecar\logs
tags:
 - windows
filebeat.inputs:
- type: log
  enabled: true
  paths: # 采集E:\prometheus\graylog\目录下.log结尾的日志
    - E:\prometheus\graylog\*.log
  fields: # 定义字段 app_name即服务名编码,environment为环境(预生产pre、生产pro),log_type为日志类型,严格与系统保持一致
   app_name: example_glef_graylog
   environment: pro
   log_type: Java
  1. 配置完点击Create保存即可

image.png

💡配置下发

  1. 进入System/Sidecars,找到对应的fileBeat点击Manage sidecar进行配置下发

配置下发后,就可以直接采集日志文件了
image.png

变量配置:
可以配置变量,新增的配置直接引用变量即可。
image.png

🔖相关路径

在配置文件中可以对sidecardatalog目录进行配置。
linux默认路径为:

  • data: /var/lib/graylog-sidecar/collectors/filebeat/data
  • logs: /var/lib/graylog-sidecar/collectors/filebeat/log
  • 安装路径:/etc/filebeat /etc/graylog/sidecar

windows默认路径为:

  • data: C:\Program Files\Graylog\sidecar\cache\filebeat\data
  • logs: C:\Program Files\Graylog\sidecar\logs
  • 安装路径:C:\Program Files\Graylog

📖参考资料

  1. filebeat · ELKstack 中文指南
  2. 开源日志管理系统Graylog之Sidecar功能实践 - 腾讯云开发者社区-腾讯云
  3. [日志分析]Graylog2采集Nginx日志 主动方式
  4. Graylog收集nginx日志做地图事态感知_king config的博客-CSDN博客
  5. Graylog Sidecar filebeat日志收集传输工具安装_施小赞的博客-CSDN博客_filebeat graylog
背火柴的小男孩
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
graylog-sidecar部署脚本
11-11
该脚本是由shell语言编写完成,主要用于实现一键部署graylog-sidecar组件,其中包含了组件的cgroup限制、sidecar.yml文件的自动修改、开源组件的自动下载、完成部署时的提示及部署时长显示。并设置了该组件的systemctl管理方式、开机自启动,防止因宕机造成sidecar不可用,导致服务日志采集失败的现象问题。 下载该脚本后可根据自身环境的服务器大小,来动态调整cgroup资源限制,使得该组件能以更优的方式运行。不会发生抢占系统资源现象。
GrayLog日志平台的基本使用-Windows日志接入
qq_31292011的博客
12-21 1147
需要结合filebeat类型的采集器配置,并应用到该Sidecar采集器上,比如这里采集zabbix日志。打开cmd 启动filebeat,启动命令:filebeat -e c filebeat.yml。由于这里我没有重新创建新的索引,还是使用的之前的,这里看自己的需要。将下载的包拷贝到win上双击安装,然后就是一直下一步。2、创建sidecar的API token。2)、采集器配置,跟之前的配置一样的步骤。3、创建Beats类型的Input。我这里用的7.17.13的版本。6、采集器配置文件创建。
告别 ELK ,我用 Graylog,轻量多了...
最新发布
架构文摘
06-19 89
来源:www.escapelife.site/posts/38c81b25.html后台点击菜单“学习资料”—“书籍”,免费领取《程序员书籍资料一份》 后台回复“5000”,免费领取面试技术学习资料一份当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用Nginx对外提供服务,还是使用专用的日志收集服务ELK呢?这就变...
Graylog Sidecar日志采集
qq_38041439的博客
06-26 1533
Graylog Sidecar 是 Graylog 日志管理平台的一个组件,用于管理和配置日志收集代理(log collectors)。它允许你集中管理和监控分布在不同服务器上的日志收集器,方便地将日志数据发送到 Graylog 服务器进行集中存储、分析和可视化。Graylog Sidecar 可以用于集成各种不同类型的日志收集器,包括但不限于 Filebeat、Winlogbeat、NXLog、rsyslog 等。
Graylog 使用sidecar 和filebeat 采集linux日志
sinat_33381348的博客
01-22 842
记录工作实践,统一管理采集日志的地址#
Graylog Sidecar filebeat日志收集传输工具安装
赞的心路历程
07-28 3534
Graylog Sidecar是一个轻量级配置管理系统,适用于不同的日志收集器,也称为后端。Graylog节点充当包含日志收集器配置的集中式集线器。在支持的消息生成设备/主机上,Sidecar可以作为服务(Windows主机)或守护程序(Linux主机)运行。进行在不同机器上进行日志的采集并发送到graylog server 1.下载安装 Sidecar sudo rpm -Uvh https://packages.graylog2.org/repo/p...
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4153
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
graylog-sidecar:Ansible角色,用于安装和配置Graylog边车
05-14
Ansible角色,用于安装和配置Graylog边车。 赞助 我的雇主Proact Deutschland GmbH赞助了建立和改善Ansible角色的工作。 表中的内容 graylog_sidecar_node_name graylog_sidecar_package graylog_sidecar_send_...
collector-sidecar:通过Graylog管理日志收集器
05-04
Graylog Sidecar是第三方日志收集器(例如NXLog和filebeat)的管理程序。 Sidecar程序能够从Graylog服务器获取并验证各种日志收集器的配置文件。 您可以将其视为日志收集器的集中式配置和流程管理系统。 master...
ansible-role-graylog-collector:Graylog Sidecar Collector的Ansible角色
05-04
在RedHat / CentOS Linux服务器上安装和配置Graylog Sidecar Collector。 安装选项: 最新版本(从官方github仓库中提取) 特定版本(从官方github仓库中提取) 本地rpm(从文件目录复制到远程服务器) 要求 ...
graylog-plugin-collector:Graylog的收集器插件
05-15
:warning: Graylog Collector Sidecar已弃用,可以用替换 所需的Graylog版本: 2.0及更高版本 安装 然后将.jar文件放在Graylog插件目录中。 默认情况下,plugin目录是相对于您的graylog-server目录的plugins/文件夹...
graylog 后起之秀,可以替代elk的轻量化工具
02-09
Docker默认使用了json-file driver作为log driver,因此日志是存储在一个json.log的本地文件中的。而gelf则是本文需要使用的log driver。 当容器多了,或者是采用类似swarm集群部署Docker的时候,各种日志分散存在各个json.log文件中,当查找问题或者进行相关统计的时候,分散的日志对我们来说是非常不友好的。我们需要一个能够集中管理Docker日志的工具
利用logstash/filebeat/插件,将graylog日志传输到kafka中
weixin_42478365的博客
08-11 1825
在System-outputs,选择GELF Output,填写如下内容,其它选项默认。也可以使用filebeat将日志转发到kafka中,原理一样。在要输出的Stream中,选择Manage Outputs。选择GELF Output,右边选择刚才创建好的test。上传到服务器,编写test.conf配置文件,内容如下。下载logstash,最新版就可以。运行logstash,输入以下命令。前提:安装好kafka集群,最终消息传递到kafka上。
ELK 不香了!我用 Graylog,轻量多了...
Java技术栈,分享最主流的Java技术
10-30 266
服务日志收集方案:Filebeat + Graylog![1] Filebeat - 日志文件托运服务Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会自动监控给定的日志目录或者指定的日志文件,追踪读取这些文件,不停的读取,并且转发这些信息到或者logstarsh或者graylog中存放。[2] Filebeat - 工作流程介绍当你安装并启用filebeat程序的时候,它会启动一个或多个探测器()去检测你指定的日志目录或文件,对于探测器找出的每一个日志文件,
graylog实现日志监控
woshiwjma956的博客
04-13 2136
graylog日志监控与告警
企业级日志平台新秀Graylog,比ELK轻量多了
qianshanding0708的博客
11-13 1004
更多内容关注微信公众号:fullstack888当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用Nginx对...
filebeat、kafka、graylog日志采集架构,如何区分日志的来源地址
m0_64799652的博客
09-01 1286
日志收集系统graylog
如何使用Graylog来收集日志?
Docker的专栏
11-25 2746
当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用 Nginx 对外提供服务,还是使用专用的日志收集服务 ELK ...
graylog使用Sidecars方式收集springboot程序的日志
青春不流名
04-08 649
services:mongodb:networks:- graylogulimits:memlock:hard: -1soft: -1nofile:networks:- grayloggraylog:networks:- graylog- mongodbports:# GELF TCP# GELF UDPnetworks:graylog:
graylog 配置文件
10-25
根据提供的引用内容,Graylog配置文件包括以下几个方面: 1. Graylog-server的配置文件:该配置文件位于/etc/graylog/server/server.conf,其中包括了Graylog-server的基本配置信息,如监听地址、端口、日志存储路径、认证信息等。 2. Graylog Collector Sidecar的配置文件:该配置文件位于/etc/graylog/collector-sidecar/collector_sidecar.yml,其中包括了Collector Sidecar的基本配置信息,如Graylog-server的地址、日志收集规则、日志发送方式等。 3. Elasticsearch的配置文件:该配置文件位于/etc/elasticsearch/elasticsearch.yml,其中包括了Elasticsearch的基本配置信息,如集群名称、节点名称、监听地址、内存大小、磁盘路径等。 4. MongoDB的配置文件:该配置文件位于/etc/mongod.conf,其中包括了MongoDB的基本配置信息,如监听地址、端口、数据存储路径、认证信息等。 需要注意的是,以上仅是Graylog平台相关组件的基本配置文件,具体的配置信息还需要根据实际情况进行调整。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值