ELK EFK日志搜索平台 filebeat kafka logstash elasticsearch(es) kibana

已于 2024-12-18 12:25:20 修改
阅读量2.3k 收藏 12
点赞数
分类专栏: 分布式日志监控 文章标签: kafka elasticsearch 大数据
于 2022-07-28 14:13:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzy629442466/article/details/126031910
版权

目录

介绍

ELK是当前比较主流的分布式日志收集处理工具。
常用日志采集方式: Filebeat→Kafka集群→Logstash→ES→Kibana
Grafana(可视化监控工具)上配置连接ES数据库 进行实时监控

实施步骤:
Filebeat部署在应用服务器上(只负责Logstash的读取和转发,降低CPU负载消耗,确保不会抢占应用资源),Logstash、ES、Kibana在一台服务器上(此处的Logstash负责日志的过滤,会消耗一定的CPU负载,可以考虑如何优化过滤的语法步骤来达到降低负载)。

架构图:
在这里插入图片描述

主流架构

一、Filebeat+Elasticsearch+Kibana

filebeat 直接输出到 es,kibana做搜索展示

二、Filebeat+Kafka+Logstash+Elasticsearch+kibana

filebeat n台 输出到 kafka集群
logstash 1~3台 接收kafka日志 输出到 es集群,logstash挂1台不影响kafka日志接收。
kibana做搜索展示

通过增加消息队列中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志

Filebeat

轻量级的日志采集组件 Filebeat 讲解与实战操作

docker 部署filebeat 直接到 es

注意 filebeat版本一定要和es 版本一致
logback.xml里日志格式为json

docker run --privileged --name filebeat --net=host -d -m 1000M \
      --log-driver json-file --log-opt max-size=1024m \
      -v /data0/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml \
      -v /data0/filebeat/logs:/root \
      -v /data0/filebeat/data:/data \
      -v /data0:/home/logs \
      registry.api.ww.com/bop_ci/filebeat:6.6.0

vi filebeat.yml

filebeat.inputs:
- type: log
  eabled: true
  paths:
    - /home/logs/bop-fms-account-info/logs/*.log
    - /home/logs/bop-fms-advertiser-info/logs/*.log
    - /home/logs/bop-fms-agent-web/logs/*.log
    - /home/logs/bop-fms-api/logs/*.log
    - /home/logs/bop-fms-config/logs/*.log
    - /home/logs/bop-fms-vip-api/logs/*.log
  ignore_older: 12h
  clean_inactive: 14h
  tags: ["fms-log"]

- type: log
  eabled: true
  paths:
    - /home/logs/bop-cmc-strategy/logs/*.log
    - /home/logs/qualification/logs/*.log
    - /home/logs/bop-cmc-customer/logs/*.log
    - /home/logs/bop-mdm-cmc-diplomat/logs/*.log
    - /home/logs/bop-asm-api/logs/*.log
    - /home/logs/bop-asm-message/logs/*.log
    - /home/logs/bop-asm-notice/logs/*.log
  ignore_older: 12h
  clean_inactive: 14h
  tags: ["others-log"]

json.keys_under_root: true
json.overwrite_keys: true


setup.ilm.enabled: false
setup.template.name: "bop-log"
setup.template.pattern: "bop-log-*"
setup.template.enabled: false
setup.template.overwrite: true
setup.template.settings:
  index.number_of_shards: 1
  index.number_of_replicas: 0
  index.codec: best_compression


output.elasticsearch:
  hosts: ["10.13.177.206:9201"]
  #index: "bop-log-%{+yyyy.MM.dd}"
  pipeline: "timestamp-pipeline-id"
  indices:
    - index: "bop-log-fms-%{+yyyy.MM.dd}"
      when.contains:
        tags: "fms-log"
    - index: "bop-log-others-%{+yyyy.MM.dd}"
      when.contains:
        tags: "others-log"

processors:
  - decode_json_fields:
      fields: ["message"]
      target: ""
      overwrite_keys: true
  - rename:
      fields:
        - from: "error"
          to: "run_error"
  - drop_fields:
      fields: ["input_type", "log.offset","log.file.path","beat.version","prospector.type","beat.name", "host.name", "input.type", "agent.hostname"]
      #ignore_missing: false

到 es 示例2:

# 输出到es
output.elasticsearch:
  #username: "elastic"
  #password: "xxxxxxxxxxx"
  #worker: 1
  #bulk_max_size: 1500
  #pipeline: "timestamp-pipeline-id" #@timestamp处理
  hosts: ["elasticsearch1:9200"]
  index: "pb-%{[fields.index_name]}-*"
  indices:
    - index: "pb-nginx-%{+yyyy.MM.dd}"
      when.equals:
        fields.index_name: "nginx_log"
    - index: "pb-log4j-%{+yyyy.MM.dd}"
      when.equals:
        fields.index_name: "log4j_log"
    - index: "pb-biz-%{+yyyy.MM.dd}"
      when.equals:
        fields.index_name: "biz_log"

多行合并

异常堆栈的多行合并问题
在 -type下面增加属性:
multiline:
  # pattern for error log, if start with space or cause by 
  pattern: '^[[:space:]]+(at|\.{3})\b|^Caused by:'
  negate:  false
  match:   after

支持es 自定义索引字段的索引类型

filebeat.yml配置文件增加

setup.template.json.enabled: true
setup.template.json.path: "/usr/share/filebeat/logs_template.json"
setup.template.json.name: "logs_template"

docker run 增加配置
-v /data0filebeat/fields.yml:/usr/share/filebeat/fields.yml
-v /data0/filebeat/logs_template.json:/usr/share/filebeat/logs_template.json
新建fields.yml

- key: bop-log
  title: bop-log
  description: >
    custom fields
  fields:
    # some desc
    - name: args
      type: text
    - name: serviceuri
      type: text
    - name: serviceurl
      type: text
    - name: beat.hostname
      type: text
    - name: class
      type: text

新建logs_template.json

{
    "index_patterns": [
        "bop-log-*"
    ],
    "mappings": {
        "doc": {
            "dynamic_templates": [
                {
                    "strings_as_keyword": {
                        "mapping": {
                            "type": "text",
                            "analyzer": "standard",
                            "fields": {
                                "keyword": {
                                    "type": "keyword"
                                }
                            }
                        },
                        "match_mapping_type": "string",
                        "match": "*"
                    }
                }
            ],
            "properties": {
                "httpmethod": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "responseheader": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "function": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                
                "servicename": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "serviceuri": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "serviceurl": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "responsebody": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "args": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                },
                "requestheader": {
                    "type": "text",
                    "fields": {
                        "keyword": {
                            "ignore_above": 256,
                            "type": "keyword"
                        }
                    }
                }
            }
        }
    }
}

filebeat @timestamp日期处理

在Kibana Management Advanced Settings 搜索Date format 格式化设置成:
YYYY-MM-DD HH:mm:ss.SSS
或者
在 Kibana 中的 Devtools 界面中编写如下 pipeline 并执行
查询 GET _ingest/pipeline/timestamp-pipeline-id

PUT _ingest/pipeline/timestamp-pipeline-id
{
  "description": "timestamp-pipeline-id",
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": [
          "%{TIMESTAMP_ISO8601:timestamp}"
        ],
        "ignore_failure": true
      },
      "date": {
        "field": "timestamp",
        "timezone": "Asia/Shanghai",
        "formats": [
          "yyyy-MM-dd HH:mm:ss.SSS"
        ],
        "ignore_failure": true
      }
    }
  ]
}

filebeat 设置索引分片及复本个数
在kibana DevTools执行
设置1个分片 0个复本

PUT /_template/filebeat
{
  "index_patterns": ["bop-log-*"],
  "settings": {
    "number_of_shards": 1,
    "number_of_replicas": 0
  }
}

GET /_template/filebeat

使用filebeat采集文件到es

docker部署filebeat到es

filebeat采集日志到ES

filebeat7.7.0相关详细配置预览

filebeat7.7.0相关详细配置预览- processors

filebeat采集docker日志

docker部署filebeat到kafka

filebeat采集多个日志(推送给ES或者logstash)

Filebeat+Elasticsearch收集整洁的业务日志

Logstash

docker 部署logstash

mkdir /data0/logstash/log -p
cd /data0/logstash

vi logstash.conf

input {
     kafka {
      topics => "kafkaTopic"  #kafka的topic
      bootstrap_servers => ["192.168.1.100:9092"]  #服务器地址
      codec => "json"  #以Json格式取数据   
           }
}
output {
  elasticsearch {
    hosts => ["192.168.1.110:9009"]  #ES地址
    index => "errorlog"    #ES index,必须使用小写字母     
    user => "elastic"      #这里建议使用  elastic 用户
    password => "**********"
  }
}

vi logstash.yml

http.host: "0.0.0.0"
#ES地址
xpack.monitoring.elasticsearch.hosts: ["http://192.168.1.110:9009"] 
xpack.monitoring.enabled: true
#ES中的内置账户和密码,在ES中配置
xpack.monitoring.elasticsearch.username: logstash_system    
xpack.monitoring.elasticsearch.password: *****************


docker pull logstash:6.7.0

docker run  --name logstash --privileged=true -p 9007:9600  -d -v /data/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf -v /data/logstash/log/:/home/public/  -v /data/logstash/logstash.yml:/usr/share/logstash/config/logstash.yml logstash:8.1.3

Kibana

docker 部署kibana

注意,kibana要和es的版本一致,否则版本不兼容

cd /data0
mkdir kibana
cd kibana

docker run --name kibana  -p 5601:5601 -d kibana:6.6.0
docker cp kibana:/usr/share/kibana/config/kibana.yml .

将如下内容写到kibana.yml中,然后保存退出::wq

server.name: kibana
server.host: "0"
#elasticsearch.hosts: [ "http://elasticsearch:9200" ]
elasticsearch.hosts: [ "http://自己的elasticsearch的IP:9200" ]
xpack.monitoring.ui.container.elasticsearch.enabled: true
#设置kibana中文显示
i18n.locale: zh-CN

重新启动

docker rm -f kibana
docker run --name kibana -p 5601:5601 -d -v /data0/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml kibana:6.6.0

kibana自动关联es索引

vi auto_add_index.sh

#!/bin/bash
today=`date +%Y.%m.%d`
yestoday=`date -d "1 days ago" +%Y-%m-%d`
pattern='bop-log-'${today}
old_pattern='bop-log-'${yestoday}
index='bop-log-'${today}
echo ${pattern} ${old_pattern}

#新增
curl -f -XPOST -H 'Content-Type: application/json' -H 'kbn-xsrf: anything' \
     "http://localhost:5601/api/saved_objects/index-pattern/${pattern}" -d"{\"attributes\":{\"title\":\"${index}\",\"timeFieldName\":\"@timestamp\"}}"

#设置默认索引
curl -f -XPOST -H 'Content-Type: application/json' -H 'kbn-xsrf: anything' http://localhost:5601/api/kibana/settings/defaultIndex -d "{\"value\":\"${pattern}\"}"

#删除
curl -XDELETE "http://localhost:5601/api/saved_objects/index-pattern/${old_pattern}" -H 'kbn-xsrf: true'

定时删除索引

kibana DevTools执行
30天后删除

PUT _ilm/policy/logs_policy
{
  "policy": {
    "phases": {
      
      "delete": {
        "min_age": "30d",
        "actions": {
          "delete": {}
        }
      }
    }
  }
}

kibana 自动创建索引模式

Kibana自动关联ES索引

ELK系列(2) - Kibana怎么修改日期格式Date format

iLogtail

iLogtail用户手册

ilogtail -> kafka -> logstash -> elasticsearch

参考文档

使用Docker搭建ELK日志系统

Kibana 可视化日志分析

docker 搭个日志收集系统

Springboot+logback集成ELK处理日志实例

Kibana + Elasticsearch + Logstash + Filebeat

Spring Cloud 分布式实时日志分析采集三种方案

10分钟部署一个ELK日志采集系统

如何快速采集分析平台日志,并进行展示监控?

手把手教你搭建ELK

filebeat上报数据异常排查

filebeat占用文件句柄磁盘满

filebeat常见问题

使用 ELK 集中管理 Spring Boot 应用日志

基于Elasticsearch + Fluentd + KibanaEFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于Elasticsearch、Fluentd和Kibana日志管理系统搭建过程。
企业级日志分析系统ELKElasticsearch , Logstash, Kibana
Z__Cheng的博客
07-04 1673
企业级日志分析系统ELKElasticsearch , Logstash, Kibana
Filebeat +Kafka + Logstash + ElasticSearch +Kibana +解析日志文件实例()
01-07
本篇文章我们来解决第三个问题: kibana又如何用直观的显示我们希望看到的日志报表? 根据数据显示看板,大致三步, 第一步是设置数据源,根据我们之前推送给elasticsearch日志数据,使用management标签创建索引模式; 第二步根据第一步创建的索引模式,使用Visualize 标签页用来设计可视化图形; 第三步根据第二步做好的可视化图形,使用Dashboard标签来配置我们的看板 一、下面我们开始做第一步,创建索引: 目前有两天的数据,我们创建一个能包含这两天数据的索引模式:  创建好索引模式后,点击“Discover”标签后就可以看到我们创建的“errinfo-scm”
Docker搭建ELK+Kafka+FileBeat统一日志中心
都超的博客
09-20 2405
一、介绍与相关资料 1. 相关地址 官网 elk镜像仓库 2. 组件分工 filebeat:负责日志抓取与日志聚合 kafka: 削峰填谷 logstash:结构化日志信息,并把字段transform成对应的类型 elasticsearch:负责存储和查询日志信息 kibana:通过ui展示日志信息 二、Kafka安装部署 1. 下载镜像 docker pull zookeeper:lates...
Filebeat+ELK实施步骤
最新发布
技术引领业务创新
03-31 4万+
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到ElasticsearchLogstash进行索引。
ELK日志收集之kafka 方案Filebeat + kafka + Logstash + ES + Kibana
qq_35485206的博客
11-30 368
一.简介常见的日志采集处理解决方案登录后复制 Filebeat + ES + Kibana Filebeat + Logstash + ES + Kibana Filebeat + Kafka/Redis/File/Console + 应用程序(处理/存储/展示) Filebeat + Logstash+Kafka/Re...
Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
Mo小泽的技术博客
09-08 2968
文章目录一、前言二、背景信息三、操作流程四、准备工作1、Docker 环境3、版本准备4、环境初始化5、服务安装6、服务设置五、配置 Filebeat六、配置 Logstash 管道七、查看 kafka 日志消费状态八、查看 ES 内容九、通过 Kibana 过滤日志数据1、创建 index-pattern2、查看日志十、小结 一、前言 随着时间的积累,日志数据会越来越多,当你需要查看并分析庞杂的日志数据时,可通过 Filebeat+Kafka+Logstash+Elasticsearch 采集日志数据到
Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版
weixin_30588907的博客
04-16 856
1. 了解各个组件的作用 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据 Logstash是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道...
filebeat + kafka + logstash + Elasticsearch + Kibana日志收集系统搭建
colourzjs的专栏
12-21 4240
一、介绍        在日常运维工作中,对于系统和业务日志的处理尤为重要。今天,在这里分享一下自己部署的filebeat + kafka + ELK开源实时日志分析平台的记录过程。 1、ELK介绍       开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELKElasticSearchLogstash和Kiabana三个开源工具组成:      1)ElasticSearc...
filebeat+kafka+logstash+elasticsearch+kibana实现日志收集解决方案
征服Bug的博客
03-15 1877
前言:我们使用nginx来模拟产生日志的服务,通过filebeat收集,交给kafka进行消息队列,再用logstash消费kafka集群中的数据,交给elasticsearch+kibana监控。1.验证java环境(存在无需安装)1.安装java环境(存在无需安装)一,配置elasticsearch。2.安装elasticsearch。1.安装java环境(存在可省略)2.安装zookeeper。2.安装filebeat。四,配置logstash。2.安装logstash。三,配置kafka环境。
【转】Filebeat+Kafka+Logstash+ElasticSearch+Kibana 日志采集方案
Jomly Kellenda的博客
04-26 3054
前言     Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且 logstashfilebeat功能更强大一点,2个都使用是因为:Beats 是一个轻量级的采集器,支持从边缘机器向 LogstashElasticsearch ...
ELK+Kafka+Filebeat企业内部日志分析系统
xiqingzhu123的博客
07-25 2048
ElasticSearch是一个基于Lucene的开源分布式搜索服务。只搜索和分析日志特点:分布式,配置简洁,自动发现,索引自动分片,索引副本机制,多数据源等。它提供了一个分布式多用户能力的全文搜索引擎。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。在elasticsearch集群中,所有节点的数据是均等的。安装软件主机名IP地址系统版本mes-1-zk。
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
wwwu1998的博客
07-14 1115
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
Filebeat+Kafka+Logstash+ElasticSearch+Kibana+elasticsearch-head搭建
Efforts to advance
02-27 728
Filebeat+Kafka+Logstash+ElasticSearch+Kibana+elasticsearch-head搭建 安装包下载 官网以及相关安装包下载https://www.elastic.co/cn/ filebeat-6.4.0-linux-x86_64.tar.gz 下载地址https://artifacts.elastic.co/downloads/beats/fileb...
Filebeat+Kafka+ELK日志采集()——Logstash
qq_40774600的博客
09-30 5280
使用Logstash消费Kafka消息,对其进行过滤、筛选、分析,输出至Elasticsearch进行持久化。
Filebeat+Kafka+Logstash+ElasticSearch+Kibana 日志采集方案
weixin_30607659的博客
01-28 579
前言     Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且 logstashfilebeat功能更强大一点,2个都使用是因为:Beats 是一个轻量级的采集器,支持从边缘机器向 LogstashElasticsearch ...
Filebeat+Kafka+Logstash+ElasticSearch搭建完整版
it_lxg123的博客
10-13 889
基本介绍 (1)Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) (2)Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据 (3)Logstash是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供里很多功能强大的滤网以满足你的各种应用场景 (4
EFK日志系统详细安装与配置指南
"该文档是关于EFK日志系统的安装配置指南,涵盖了ELK栈的主要组件,包括ElasticsearchLogstashKibana以及Kafka,并涉及到了Elasticsearch-head和Filebeat的安装与配置。文档适用于需要构建日志收集、分析和展示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值