使用filebeat和logstash收集多台服务器上的日志

最新推荐文章于 2025-04-01 20:19:17 发布
最新推荐文章于 2025-04-01 20:19:17 发布
阅读量3.7k 收藏 12
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glassesbamboo2/article/details/117702894
版权

由于我们的各个服务在多台服务器上部署,有时候遇到用户反馈的问题,技术人员需要挨个登录上去查看,并且dubbo服务之间链式调用时需要登录查看更多的服务器,增加了解决问题的时间,同时,error日志我们也希望统一收集起来,可以进行监控告警。

上图是通过Filebeat收集日志文件中的信息,然后统一发送到Logstash中。

我们的日志记录使用的是logback,其实本身是支持通过logback直接发送到Logstash中的,但是我们考虑日志的抽取不应该属于项目的管理范畴,logback的主要是各项目条线进行管理,因此统一由运维进行管理更加灵活。

下列是filebeat和logstash配置文件的内容:

filebeat.inputs:
- type: log
  paths:
    - /logdir/serviceA/*.debug.log
  document_type: serviceA
  fields_under_root: true
  fields:
    appid: serviceA
    log_type: debug
- type: log
  paths:
    - /logdir/serviceA/*.error-warn.log
  document_type: serviceA
  fields_under_root: true
  fields:
    appid: serviceA
    log_type: error-warn
- type: log
  paths:
    - /logdir/serviceB/*.debug.log
  document_type: serviceB
  fields_under_root: true
  fields:
    appid: serviceB
    log_type: debug
- type: log
  paths:
    - /logdir/serviceB/*.error-warn.log
  document_type: serviceB
  fields_under_root: true
  fields:
    appid: serviceB
    log_type: error-warn
output.logstash:
  enabled: true
  hosts: ["logstash服务器ip地址:5044"]
input {
    beats {
        port => 5044
    }
}

filter {
    json {
      source => "message"
      remove_field => ["@timestamp","log","input","agent","ecs"]
    }
}

output {
    file {
        path => "/存储目录/%{+yyyy}-%{+MM}-%{+dd}-%{appid}-%{log_type}.log"
        codec => line {
                format => "[%{[host][name]}] %{message}"
        }
    }
}

mark一下,如果大家有什么更好的方案,可以提供给我。

另外有一个没有考虑太清楚的就是如果服务器数量众多,网络IO太大的问题

 

一些设置过程中的经验(逐步追加完善):

1.filebeat我是使用rpm安装的,使用service filebeat start 启动时如果我的配置文件有错误,service filebeat status提供的错误信息根本无法准确判断问题,因此使用filebeat命令进行启动就可以在日志里看见了

 /usr/share/filebeat/bin/filebeat -c /etc/filebeat/filebeat.yml -path.home /usr/share/filebeat -path.config /etc/filebeat -path.data /var/lib/filebeat -path.logs /var/log/filebeat

2.按照网上的教程,增加filebeat当前服务器的ip地址,一直没有成功,启动报错,filebeat送往logstash的信息里有主机名,因为我们公司的主机名是按照一定规则起的,和ip地址效果相同,因此放弃获取ip地址,使用的主机名,我觉得运维期间规范主机名的定义也是一项应该完成的工作

使用filebeat+logstash收集Nginx应用日志
江晓龙的博客
07-19 1285
可以看到Nginx产生的日志是有很多字段内容的,比如客户端IP、请求的URL、请求的状态码、使用的浏览器类型等等,针对这些内容是很有必要解析出单个字段的,便于我们在kibana中进行查询。采用Nginx自己的JSON格式的日志格式去收集日志数据,在logstash使用json插件进行解析。我们使用logstash的grok插件,通过正则的方式将每一个部分的内容解析成字段格式。左侧添加上中文的字段名,查询具体的日志内容。产生Nginx日志,多访问几次Nginx。左侧添加上要查询的字段,进行数据查询。...
ELK日志采集实践
qq_34677946的博客
05-19 702
ELK日志采集设计,核心部分配置,若收集k8s中的日志,可以将日志目录挂载到Ceph或者NFS统一的目录,方便收集管理。kafka集群 部署、ES、Kibana部署。
用Kibanalogstash快速搭建实时日志查询、收集与分析系统
weixin_33802505的博客
03-11 721
Logstash是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用(如,搜索),您可以使用它。说到搜索,logstash带有一个web界面,搜索展示所有日志。kibana 也是一个开源免费的工具,他可以帮助您汇总、分析搜索重要数据日志并提供友好的web界面。他可以为 Logstash ElasticSearch 提供的日志分析的 Web 界面...
ELK 通过 logstash 收集单个/多个日志文件
最新发布
不许人间丶见白头
04-01 498
【代码】ELK 通过 logstash 收集单个/多个日志文件。
filebeat采集多个日志(推送给ES或者logstash
story-xu的博客
09-20 7807
filebeat采集多个日志使用ELK做日志分析的时候,有时需要一个filebeat采集多个日志,送给ES,或者给logstash做解析。下面举例演示以下filebeat采集messages日志,secure日志,以及nginx日志送给ES或者送给logstash做解析的正确配置方法。 一、filebeat采集日志发送给ES: 1.1、filebeat.yml 配置如下: ```bash filebeat.inputs: - type: log tail_files: true scan_
使用filebeat简单收集多个nginx应用服务器日志(一)
江晓龙的博客
05-25 2804
使用filebeat简单收集日志 1.filebeat原理与介绍 filebeat收集日志的原理类似于tail -f命令,等待应用日志产生后,每隔30s将日志进行收集收集完成后存放在es的索引库中,最后展示在kibana上 当filebeat关闭后,nginx继续产生日志filebeat再次开启时不会将原来没有收集到的日志重新收集,而是收集目前最新的日志,当日志索引库被删除后,filebeat重启之后,es上没有生产新的日志索引库的原因只有是nginx没有产生日志filebeat没有收集到,所有不会产
Logstash实践: 分布式系统的日志监控
好读书,每有会意,便欣然忘食。
04-19 1167
原文出处: 赵杰    1. 前言 服务端日志你有多重视? 我们没有日志日志,但基本不去控制需要输出的内容经常微调日志,只输出我们想看有用的经常监控日志,一方面帮助日志微调,一方面及早发现程序的问题 只做到第1点的,你可以洗洗去睡了。很多公司都有做到第2点第3点,这些公司的服务端程序基本已经跑了很长时间了,已比较稳定,确实无需花太多时间去关注。如果一个新产品,在上线初
详解日志采集工具--LogstashFilebeat、Fluentd、Logagent对比
weixin_34343000的博客
04-25 5688
常见的日志采集工具有LogstashFilebeat、Fluentd、Logagent、rsyslog等等,那么他们之间有什么区别呢?什么情况下我们应该用哪一种工具?LogstashLogstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。优势Logstash 主要的有点就是它的灵活性,主要因为它有很多插...
FIlebeatLogstash部署步骤
02-26
Filebeat是Beats系列中的一个轻量级日志收集工具,占用资源少,适合在各个服务器上搜集日志后传输给LogstashFilebeat可以同时向多个Logstash日志,保证高可用性。 ELK栈的架构图如下: * 服务端:Filebeat -> ...
FilebeatLogstash部署步骤
liwu_xa的博客
02-25 1326
ELK简介 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各...
ELKF(Elasticsearch+Logstash+ Kibana+ Filebeat) 部署 Filebeat多台机器
悄悄quite
06-21 563
ELKF 部署结构 1.安装 Elasticsearch 配置 1.1 . 解压安装包到安装路径下。 比如 /usr/local/elk下 tar -zxvf elasticsearch-6.3.0-linux-x86_64.tar.gz -C /usr/local/elk/ 或者直接解压 tar -zxvf elasticsearch-6.3.0-linux-x86_64.tar.gz 1.2 修改配置文件 vi /usr/local/elk/elasticsearch-6.3.0/conf
filebeat服务器传输至logstash
qq_36218267的博客
02-09 2308
背景: 一般ELK都是一台单独服务器部署运行,而应用一般部署在另一台服务器,这个时候就需要跨服务器来传输日志,楼主目前采用的是filebeat进行跨服务器传输 1.配置logstash文件 cd /usr/local/elk/logstash-6.4.0/bin 进入bin目录 vilogstash1.conf ,写入内容 type为loacl代表本地日志,remote代表其他...
五分钟带你玩转Elasticsearch(十)企业实战——使用logstash监控多服务器并获取日志
小鲍侃java
01-15 673
input{ tcp { mode => "server" host => "0.0.0.0" port => 5000 codec => json_lines type=> "A" } tcp { mode => "server" host => "0.0.0.0" port =&.
Filebeat+kfaka+ELK架构,采集多个日志
weixin_48096142的博客
03-25 514
Filebeat+kfaka+ELK架构,采集多个日志
华为抓取错误日志在哪里_Java程序员须知的七个日志管理工具,提高排查错误效率...
weixin_39938165的博客
10-24 297
Java识堂,一个高原创,高收藏,有干货的微信公众号,一起成长,一起进步,欢迎关注Splunk vs. Sumo Logic vs. LogStash vs. GrayLog vs. Loggly vs. PaperTrails vs. Splunk>Storm日志管理工具有Splunk、Sumo Logic、LogStash、GrayLog、LogglyPaperTrails等等,数不胜...
Java程序员须知的七个日志管理工具
java面试笔试
03-05 334
日志管理工具有Splunk、Sumo Logic、LogStash、GrayLog、LogglyPaperTrails等等,数不胜数。日志就像石油,二十多年了我们一直想...
filebeat收集多个域名网站日志并存储到不同的es索引库(五)
江晓龙的博客
06-09 1204
filebeat收集多个域名日志并创建不同索引 1.为什么要针对不同的应用系统创建不同的索引 公司生产环境中一台机器上一定会运行着多个域名的应用,web应用也是集群的方式,如果filebeat收集来的日志都是分散存储,且在es上建立的索引也都是分散的,这样不利于日志的聚合汇总,因此就需要把同一种应用的不同机器上的日志全部采集过来存储到一个索引库中,在kibana根据各种条件去匹配 2.搭建web集群环境 2.1.环境准备 IP 服务 应用 192.168.81.210 nginx01 bbs
pom里面不要logback_slf4j logback pom
weixin_39945178的博客
12-21 394
slf4j-api-1.7.7.jar 一、logback 属性配置(一) ...-- logback --> org.slf4j slf4j-api 1.7.21 日志规范 ?Logback介绍 ?Logback配置 2 Java常用日志框架 ?Log4j ?Log4j 2 ?Commons Logging ?Slf4j ?Logback ?Jul 3 日志级别 1. DEBUG:...
logstash接收多台服务器日志_[日志收集]Graylog2收集rsyslog日志(json篇)
weixin_29696711的博客
12-25 880
之前讲了一下通过创建syslog udp 收集syslog日志。这次讲通过Gelf udp方式接收syslog的json日志。Graylog服务器:1、导航栏选择System->Inputs ,创建一个Gelf udp的input。2、端口为udp 12201客户端:1、确认rsyslog已经安装了rsyslog-mmjsonparse模块,然后编辑文件:vi /etc/rsyslog.d/...
filebeatlogstash关系
06-28
### 回答1: FilebeatLogstash都是用于处理日志数据的开源工具,它们可以协同工作来将日志从各种来源(如服务器、应用程序设备)中收集、传输处理。 Filebeat主要用于从服务器、应用程序设备等来源采集日志数据,并将其传输到Elasticsearch或Logstash等目标位置。它非常轻量级,能够高效地收集传输日志数据。 Logstash则主要用于对日志数据进行转换、过滤聚合等处理操作,以便更好地支持可视化分析需求。它具有强大的处理功能灵活的配置选项,可以将数据从各种来源汇聚到一起,并将其转换为统一的格式。 在实际使用中,Filebeat可以作为Logstash的数据源之一,将收集到的日志数据传输到Logstash进行进一步处理。同时,Logstash也可以作为Filebeat的目标位置之一,接收Filebeat传输过来的数据进行处理分析。两者可以结合使用,相互补充,以满足不同场景下的日志数据处理需求。 ### 回答2: FilebeatLogstash都是Elastic Stack中的数据收集工具,它们的作用都是将各种数据源的数据采集并传递给Elasticsearch,以实现数据可视化实时分析的目的,但两者在实现方式适用场景上有所不同。 Filebeat是一款轻量级的数据收集工具,主要用于收集传递日志数据。它通过监控指定的文件、目录或标准输入来采集数据,并将采集到的数据发送给Elasticsearch或Logstash进行处理分析。Filebeat可以压缩加密传输数据,并且对于大量数据采集传输来说,Filebeat的性能比Logstash更好。 Logstash是一款完整的数据收集、处理、转换输出工具,它除了可以收集传输日志数据之外,还可以对收集到的数据进行多种处理转换操作,如Grok、csv、json等数据格式处理、SQL数据库连接等等,最后再将数据输出到指定目的地,如Elasticsearch、Kafka、RabbitMQ、s3、HDFS、Amazon SNS等。相对于FilebeatLogstash功能更加强大灵活,但同时也更加重量级耗费资源。 综上所述,FilebeatLogstash都是Elastic Stack中非常重要的数据收集工具,而且它们经常被一起使用,但在实际应用中,需要根据不同场景需求来选择使用哪一个工具,或者同时使用两个工具来完成数据采集、处理输出的工作。 ### 回答3: FilebeatLogstash都是常用的开源日志收集工具,主要用于将分散在各个服务器上的日志数据收集起来并传输到集中式的日志存储或分析平台中进行处理。但是FilebeatLogstash的作用定位并不完全相同。 Filebeat是一款轻量级的日志收集工具,主要用于收集服务器产生的日志文件,通过配置将日志文件发送到Logstash或Elasticsearch进行处理分析。Filebeat基于go编写,运行时资源占用较小,支持多平台操作系统,具有从日志文件中持续读取数据的能力,能够保证日志数据的实时性。使用Filebeat可以将大量的日志数据错误信息发送到集中管理平台,方便日志分析人员对问题进行快速定位排查。 Logstash是一款功能比较强大的日志收集、处理转发工具,支持多种数据源、数据格式数据目的地的交互,可以对日志数据进行过滤加工,支持解析多种日志格式,能够将日志发送到各种目的地。Logstash主要包括输入、过滤器输出三个部分,每个部分都有丰富的插件支持。因此,Logstash集成度扩展性都非常高,能够满足不同的日志收集处理需求。 FilebeatLogstash可以合作使用Filebeat作为日志收集工具,将日志数据发送给中央服务器之后,Logstash负责对接收到的数据进行进一步的解析处理。Logstash支持从Filebeat接收数据,可以对日志数据进行提取、解析、转换、过滤、聚合发送等操作,然后再将处理后的数据发送给下一个目的地(例如Elasticsearch、Redis、Kafka、S3等)。通过这种方式,可以实现灵活、高效的日志收集、处理分析。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值