从零构建ELK日志分析平台:Logstash7.9将日志解析到ES&用Kibana日志分析

最新推荐文章于 2022-10-13 10:11:55 发布
最新推荐文章于 2022-10-13 10:11:55 发布
阅读量761 收藏 1
点赞数
分类专栏: # ELK日志分析 文章标签: kibana日志分析 elk日志分析 kibana日志查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanqingdong/article/details/108437076
版权

1. 操作前提

确保已完成logstash7.9.1 容器安装&解析kafka日志到控制台章节相关内容,本章基于上一章节内容.

2. 日志解析到ES

  • 2.1 修改logstash配置

    修改文件/root/docker-compose/logstash/pipeline/log-kafka-dev.conf内容,

    vim  /root/docker-compose/logstash/pipeline/log-kafka-dev.conf

    将原先输出到控制台配置改为输出到elasticsearch,修改完成后全部内容如下:

    input{
    kafka{
        bootstrap_servers => "192.168.1.14:9092"        #kafka地址
        auto_offset_reset => "earliest"                 #消息读取位置
        topics => ["log_kafka_dev"]        				#kafka中topic名称,记得创建该topic
        group_id => "logstash-7.9.1"                    #默认为“logstash”
        codec => "json"                                 #与Shipper端output配置项一致
        consumer_threads => 3                           #消费的线程数
        max_poll_records => "2000"
        decorate_events => true                         #在输出消息的时候回输出自身的信息,包括:消费消息的大小、topic来源以及consumer的group信息。
    }
}

filter {
    #添加字段,kafka分区,偏移,时间戳
    mutate{
        add_field =>{
            kafkaPartition => "%{[@metadata][kafka][partition]}"
            kafkaOffset => "%{[@metadata][kafka][offset]}"
            kafkaTime => "%{[@metadata][kafka][timestamp]}"
        }
    }
	# 将分区,偏移改为数值型(此处integer包含java中long类型)
    mutate{
        convert => ["kafkaPartition", "integer"]
        convert => ["kafkaOffset", "integer"]
    }
}

output {
	# ES输出
	elasticsearch {
		hosts => [ "192.168.1.14:9200" ]
		#索引名,此处每月一个索引
		index =>"logstash-%{system}-%{+YYYY.MM}"
	}
	# 将日志输出到控制台,生产环境记得注释掉控制台输出,否则会导致日志 大量堆积在kafka
	stdout { codec => rubydebug }
}

3. 日志写入&分析

3.1 启动logback-kafka-springboot项目

logback-kafka-springboot项目介绍
运行LogbackKafkaSpringbootApplication类的main方法,将项目启动,用来模拟日志写入kafka的log_kafka_dev主题.
在这里插入图片描述

3.2 通过kibana进行日志分析

  • 1. 在浏览器输入http://192.168.1.14:5601,访问kibana界面,然后依次点击三道杠->Stack Management
    在这里插入图片描述
  • 2. 点击索引管理,会发现已经有一个索引logstash-logback-kafka-springboot-dev-2020.09,命名规则为logstash-%{system}-%{+YYYY.MM},此处我们使用的系统名称为logback-kafka-springboot-dev
    在这里插入图片描述
  • 3. 依次点击索引模式->创建索引模式

在这里插入图片描述

  • 4. 填入索引模式名称logstash-logback-kafka-springboot-dev*,其中*表示匹配任意字符,因此能够匹配到索引logstash-logback-kafka-springboot-dev-2020.09,然后点击下一步
    在这里插入图片描述
  • 5. 时间字段选择@timestamp,然后点击创建索引模式.
    在这里插入图片描述
  • 6. 索引模式创建完成后,依次点击三道杠->Kibana->Discover
    在这里插入图片描述
  • 7. 此时我们的日志便显示到页面中,不足之处为日期为英文,不太好看,通过第8步进行修改日期格式
    在这里插入图片描述
  • 8. 依次点击三道杠->Management->Stack Management->高级设置,将Date format设置为YYYY-MM-DD HH:mm:ss.SSS ,然后点击保存设置
    在这里插入图片描述
    在这里插入图片描述
  • 9. 再次依次点击三道杠->Kibana->Discover,此时日期格式已符合国人审美观! 我们可以点击左侧字段旁的添加按钮,定制右面的表格,
    在这里插入图片描述
  • 10. 此处我添加level,message两个字段,效果如下:
    在这里插入图片描述
  • 11. 我们调整好字段后,可以将此样式保存起来以便下次快速浏览, 点击左上方的保存按钮,在弹出的窗口中填入标题,然后点击保存按钮,完成样式保存.
    在这里插入图片描述

3.3 通过TID快速定位一次请求日志

  • 1. 通过浏览器发送一次请求http://localhost:8080/log/998,后台返回TID为e3bf6e32-d7cb-4161-8a34-4da5c6393e8a
    在这里插入图片描述
  • 2. 依次点击三道杠->Kibana->Discover进行日志查询
    在这里插入图片描述
  • 3. 点击左上方的打开按钮,点击我们前面保存的my_title
    在这里插入图片描述
  • 4. 此时界面快速切换到我们之前保存的只有level,message两个字段的样式,我们点击TID字段右面的添加按钮,将TID字段也加入到右侧的表格
    在这里插入图片描述
  • 5. 此时表格便包含了TID列,我们可以通过TID字段右侧的按钮进行移动和删除,让我们点击右移按钮将TID字段放在level和message之间
    在这里插入图片描述
  • 6. 此时字段排序变成了level,TID,message,当我们将鼠标滑过level,message字段的值时,会提示出一个筛选按钮,然而滑过TID时不会有这个提示,如下图所示
    在这里插入图片描述
  • 7. 上面出现这个问题的原因是我们在创建索引模式的时候,还没有TID这个字段,我们只需要刷新下索引模式即可.依次点击三道杠->Management->Stack Management->索引模式->logstash-logback-kafka-springboot-dev*,然后点击右上方的刷新字段列表按钮
    在这里插入图片描述
    在这里插入图片描述
  • 8. 此时再次回到Discover页面,TID字段值上面就可以进行筛选了,我们点击筛留值按钮
    在这里插入图片描述
  • 9. 此时页面中便只有TID= e3bf6e32-d7cb-4161-8a34-4da5c6393e8a的日志了
    在这里插入图片描述
  • 10. 通过浏览器再发送一次请求http://localhost:8080/log/999,后台返回TID为13572a9a-e3a9-4885-a7e4-6165b2b04287
    在这里插入图片描述
  • 11. 改变查询条件,只查询TID=13572a9a-e3a9-4885-a7e4-6165b2b04287的日志,按下图所示进行点击操作
    在这里插入图片描述
    在这里插入图片描述
  • 12. 此时页面上便只留下TID=13572a9a-e3a9-4885-a7e4-6165b2b04287的日志了
    在这里插入图片描述
  • 13. 我们可以将这个查询方式保存下来,点击左上方的保存按钮,以便后续使用
    在这里插入图片描述
faith.huan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Elasticsearch入门之(五)windows下安装7.9版本Logstash、Filebeat,并收集log4j日志,展示在kibana
Z丶royAl的博客
09-04 6040
一、下载Logstash 官网地址:https://www.elastic.co/cn/downloads/logstash 二、下载Filebeat 官网地址:https://www.elastic.co/cn/downloads/beats/filebeat 三、修改Filebeat的配置文件 打开 四、修改Logstash的配置文件 打开logstash-7.9.0\config\ 五、 ...
使用logstash传输处理日志输出到ES,再通过Kibana做分析
shichengcheng_scc的博客
12-16 1092
目前发现网上找到了大部分kibana操作都是旧版本,已不适用于新版本的kibana操作和使用 (且发现部分数据处理过程中跟现有部分日志内容脱节) 本文重点是传输日志+处理数据+kibana操作 (对于ES+kibana搭建以及logstash原理不多做介绍) 重点内容 传输日志=logstash使用以及基本的操作规范,sincedb_path意义和常见问题。 数据处理=logstash导入输出的过程中有2个要点必须明确 1、filter grok正则,把数据导入过程中分不同的类,用于kibana数据分类处理
最新版linux logstash-7.9.3.tar.gz
10-26
最新版linux logstash-7.9.3.tar.gz
logstash 报错
yuandeyirenxins的博客
04-16 1353
elk运行一段时间后发现 logstash日志文件一直有警告输出,警告内容 [2020-04-14T05:12:39,097][WARN ][org.apache.kafka.clients.NetworkClient][main] [Consumer clientId=xxx-2, groupId=xx] 3 partitions have leader brokers without a ...
基于腾讯云服务器的Docker环境,使用logstash同步的Kafka中数据时报错partitions have leader brokers without a matching listener
热门推荐
dkgee
02-26 1万+
发现是ZK问题,重启ZK后,再同步kafka中数据,logstash日志就正常了。 ZK配置如下: docker run --name myzk -p 2181:2181 -d jplock/zookeeper Kafka配置如下: docker run -d --name mykafka --publish 9092:9092 --link myzk --env KAFKA_ZOO...
Elasticsearch:运用 Python 实时通过 Logstash 写入日志到 Elasticsearch
Elastic 中国社区官方博客
10-13 4445
在我之前的文章,我详细地介绍了如何通过 Filebeat 来收集日志并写入到 Elasticsearch。在今天的文章中,我将分享如何使用 Logstash日志文件发送到 Elasticsearch。使用 Logstash 的好处是它可以很方便地使用它丰富的过滤器对数据进行清洗以便更好地对数据进行分析。我们使用如下的架构:在今天的展示中,我将使用最新的 Elastic Stack 8.4.3 来进行展示。
Centos7.9安装Elasticsearch, Logstash, and Kibana (ELK Stack)
sgj584520的专栏
08-26 398
1.elashticsearch禁止使用root账户启动 通过SSH登录服务器 useradd elk passwd elk chmod 640 /etc/sudoers vi /etc/sudoers chmod 440 /etc/sudoers 2.安装OpenJDK 8 Java sudo yum -y install java-1.8.0-openjdk java -version 3.添加Elasticsearch存储库 sudo rpm --impo...
Centos7下搭建ELK日志分析系统
11-02
ELK栈是日志管理和分析的强大工具,由Elasticsearch、LogstashKibana三个组件组成。Elasticsearch是一个分布式的实时搜索和分析引擎,用于存储、分析和检索大量数据。Logstash是一个数据收集器,可以收集、解析和...
logstash-7.9.3-linux.rar
04-07
Logstash是Elastic Stack(以前称为ELK Stack)的一部分,与Elasticsearch和Kibana一起,为日志分析和实时数据可视化提供了一个完整的解决方案。 **Logstash的主要组件和功能:** 1. **输入插件(Inputs)**:...
最新版windows logstash-7.9.3.zip
10-26
这个配置从指定的文件夹中读取日志文件,使用Grok解析日志格式,然后将结果存储到Elasticsearch索引中。 **7. 性能优化** - 使用`pipeline.workers`配置调整并行处理线程数。 - 使用`queue.type`设置内存或磁盘队列...
logstash-7.9.3.7z
11-07
Elastic Stack,也称为 ELK Stack(Elasticsearch、LogstashKibana),是用于实时大数据分析和可视化的强大工具集。在这个场景中,我们讨论的是 "logstash-7.9.3.7z",这是一个压缩包,包含了Logstash7.9.3版本...
Elasticsearch+Logstash+kibana+filebeat二进制部署(7.9.0版本)
liuchao666888的博客
11-19 1867
Elastic Stack简介 Elasticsearch的组成 Elasticsearch Elasticsearch 基于java,是个开源分布式搜索引擎,它的特点有:分布式,配置,自动发现,索引自动分片,索引,副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash Logstash 基于java,是一个开源的用于收集,分析和存储日志的工具。 Kibana Kibana 基于nodejs,也是一个开源和免费的工具,Kibana可以为 Logstash 和 Elast
docker部署elk(elasticsearch+logstash+kibana)并监控springboot日志
zyxzj的博客
06-26 959
elasticsearch: 拉取镜像: docker pull elasticsearch:6.8.10 单机运行: docker run -d --name elasticsearch -p 9200:9200 -p 9300:9300elasticsearch:6.8.10 你的ip:9200,可以访问则可以直接启动成功,但是如果类似出现以下错误 [2019-10-27T14:38:59,356][INFO ][o.e.n.Node ] [kniXCrn.
安装部署ELK教程 (Elasticsearch+Kibana+Logstash+Filebeat+Metricbeat) 基于7.9.3版本
MrBlackWhite的博客
11-09 3307
关于docker本地安装参考另外一篇文章 : https://blog.csdn.net/u011665991/article/details/109494752 PS:docker部署ELK 一台服务器,filebeat和metricbeat另外一台服务器,存在访问拒绝的问题,此问题暂时没有解决所以采用了 linux安装 安装使用的是官网免安装版本,解压既可以使用,所有使用版本均为7.9.3,压缩包来源于官网。es官网 PS:如果因为切换到普通用户没有访问文件夹或者文件的权限,使用roo..
logstash收集日志输出到es通过kibana日志分析
Learn From The Masters
03-31 1714
一、安装logstash, es, kibana 二、配置应用 1. 配置pom.xml,增加 <dependency> <groupId>net.logstash.logback</groupId> <artifactId>logstash-logback-encoder</artifactId> <version>7.0.1</versio
Logstash:如何使用 Elasticsearch,LogstashKibana 管理 Apache 日志
Elastic 中国社区官方博客
03-22 3228
全面的日志管理和分析策略对任务至关重要,这使组织能够了解运营,安全性和变更管理事件之间的关系,并保持对其基础架构的全面理解。 来自Web服务器,应用程序和操作系统的日志文件也提供了有价值的数据,尽管格式不同,并且以随机和分布式方式提供。 为什么Apache Web Server如此受欢迎? 它是免费和开放源代码,为全球约40%的网站提供支持。并且开放源代码正比专有软件更加流行。 由Apache ...
基于logstash+elasticsearch+kibana日志收集分析方案(Windows)
qq_28929589的博客
11-09 299
一 方案背景 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。开源实时日志分析ELK平台能够完美的解决日志收集和日志检索、分析的问题,ELK就是指ElasticSearch、Logstash和Kiabana三个开源工具。 因为ELK是可以跨平台部署,因此非常适用于多平台部署的应用。 ...
Logstash监控接入Kibana
kamisamak的博客
05-25 452
Logstash监控接入Kibana curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-6.8.20-linux-x86_64.tar.gz tar xzvf metricbeat-6.8.9-darwin-x86_64.tar.gz cd metricbeat-6.8.9-darwin-x86_64/ vim metricbeat.yml output.elasticsearch: hosts:
Logstash部署 kibana部署 ELK组合收集多个日志
Yosigo_的博客
11-23 2513
部署logstash logstash环境准备及安装 Logstash是一个开源的数据收集引擎,可以水平伸缩,而且logstash整个ELK当中拥有最多插件的一个组件,其可以接收来自不同来源的数据并统一输出到指定的且可以是多个不同目的地。 安装JDK环境 链接:jdk-11.0.5的JDK环境 提取码:1234 # 安装java JDK环境 rz -E jdk-11.0.5_linux-x64_bin.tar.gz tar -xvf jdk-11.0.5_linux-x64_bin.tar.gz
ELK日志归集 - 搭建及使用说明文档V1.0.docx
最新发布
11-14
- **Logstash**:Logstash的强大在于它的数据处理能力,它可以解析多种格式的日志,应用过滤器进行数据转换,并将处理后的数据发送到Elasticsearch。 - **Elasticsearch**:作为分布式搜索引擎,Elasticsearch能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值