学习目标
-
能够部署kibana并连接elasticsearch集群
-
能够通过kibana查看elasticsearch索引信息
-
知道用filebeat收集日志相对于logstash的优点
-
能够安装filebeat
-
能够使用filebeat收集日志并传输给logstash
kibana
kibana介绍
Kibana是一个开源的可视化平台,可以为ElasticSearch集群的管理提供友好的Web界面,帮助汇总,分析和搜索重要的日志数据。
文档路径: https://www.elastic.co/guide/en/kibana/current/setup.html
kibana部署
第1步: 在kibana服务器(我这里是VM1)上安装kibana
[root@vm1 ~]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.5.2-x86_64.rpm
[root@vm1 ~]# rpm -ivh kibana-6.5.2-x86_64.rpm
第2步: 配置kibana
[root@vm1 ~]# cat /etc/kibana/kibana.yml |grep -v '#' |grep -v '^$'
server.port: 5601 端口
server.host: "0.0.0.0" 监听所有,允许所有人能访问
elasticsearch.url: "http://10.1.1.12:9200" ES集群的路径
logging.dest: /var/log/kibana.log 我这里加了kibana日志,方便排错与调试
日志要自己建立,并修改owner和group属性
[root@vm1 ~]# touch /var/log/kibana.log
[root@vm1 ~]# chown kibana.kibana /var/log/kibana.log
第3步: 启动kibana服务
[root@vm1 ~]# systemctl start kibana
[root@vm1 ~]# systemctl enable kibana
[root@vm1 ~]# lsof -i:5601
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node 10420 kibana 11u IPv4 111974 0t0 TCP *:esmagent (LISTEN)
第4步: 通过浏览器访问 http://kibana服务器IP:5601
kibana汉化
https://github.com/anbai-inc/Kibana_Hanization/
[root@vm1 ~]# wget https://github.com/anbai-inc/Kibana_Hanization/archive/master.zip
[root@vm1 ~]# unzip Kibana_Hanization-master.zip -d /usr/local
[root@vm1 ~]# cd /usr/local/Kibana_Hanization-master/
这里要注意:1,要安装python; 2,rpm版的kibana安装目录为/usr/share/kibana/
[root@vm1 Kibana_Hanization-master]# python main.py /usr/share/kibana/
汉化完后需要重启
[root@vm1 Kibana_Hanization-master]# systemctl stop kibana
[root@vm1 Kibana_Hanization-master]# systemctl start kibana
再次通过浏览器访问 http://kibana服务器IP:5601
通过kibana查看集群信息
通过kibana查看logstash收集的日志索引
最后点发现查看
通过kibana做可视化图形
filebeat
因为logstash消耗内存等资源太高,如果在要采集的服务上都安装logstash,这样对应用服务器的压力增加。所以我们要用轻量级的采集工具才更高效,更省资源。
beats是轻量级的日志收集处理工具,Beats占用资源少
- Packetbeat: 网络数据(收集网络流量数据)
- Metricbeat: 指标 (收集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
- Filebeat: 文件(收集日志文件数据)
- Winlogbeat: windows事件日志(收集 Windows 事件日志数据)
- Auditbeat:审计数据 (收集审计日志)
- Heartbeat:运行时间监控 (收集系统运行时的数据)
我们这里主要是收集日志信息, 所以只讨论filebeat。
filebeat可以直接将采集的日志数据传输给ES集群(EFK), 也可以给logstash(**5044**端口接收)。
filebeat收集日志直接传输给ES集群
第1步: 下载并安装filebeat(再开一台虚拟机vm4模拟filebeat, 内存1G就够了, 安装filebeat)
[root@vm4 ~]# wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.2-x86_64.rpm
[root@vm4 ~]# rpm -ivh filebeat-6.5.2-x86_64.rpm
第2步: 配置filebeat收集日志
[root@vm4 ~]# cat /etc/filebeat/filebeat.yml |grep -v '#' |grep -v '^$'
filebeat.inputs:
- type: log
enabled: true 改为true
paths:
- /var/log/*.log 收集的日志路径
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
output.elasticsearch: 输出给es集群
hosts: ["10.1.1.12:9200"] es集群节点ip
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
第3步: 启动服务
[root@vm4 ~]# systemctl start filebeat
[root@vm4 ~]# systemctl enable filebeat
第4步: 验证
在es-head和kibana上验证(验证过程省略, 参考前面的笔记)
**练习:**可以尝试使用两台filebeat收集日志,然后在kibana用筛选器进行筛选过滤查看。(可先把logstash那台关闭logstash进行安装filebeat测试)
filebeat传输给logstash
第1步: 在logstash上要重新配置,开放5044端口给filebeat连接,并重启logstash服务
[root@vm3 ~]# vim /etc/logstash/conf.d/test.conf
input {
beats {
port => 5044
}
}
output {
elasticsearch {
hosts => ["10.1.1.12:9200"]
index => "filebeat2-%{+YYYY.MM.dd}"
}
stdout { 再加一个标准输出到屏幕,方便实验环境调试
}
}
[root@vm3 ~]# cd /usr/share/logstash/bin/
如果前面有使用后台跑过logstash实例的请kill掉先
[root@vm3 bin]# pkill java
[root@vm3 bin]# ./logstash --path.settings /etc/logstash/ -r -f /etc/logstash/conf.d/test.conf
第2步: 配置filebeat收集日志
[root@vm4 ~]# cat /etc/filebeat/filebeat.yml |grep -v '#' |grep -v '^$'
filebeat.inputs:
- type: log
enabled: true 改为true
paths:
- /var/log/*.log 收集的日志路径
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
output.logstash: 这两句非常重要,表示日志输出给logstash
hosts: ["10.1.1.13:5044"] IP为logstash服务器的IP;端口5044对应logstash上的配置
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
第3步: 启动服务
[root@vm4 ~]# systemctl stop filebeat
[root@vm4 ~]# systemctl start filebeat
第5步: 去ES-head上验证
第6步:在kibana创建索引模式(过程省略,参考上面的笔记操作),然后点发现验证
filebeat收集nginx日志
1, 在filebeat这台服务器上安装nginx,启动服务。并使用浏览器访问刷新一下,模拟产生一些相应的日志(强调: 我们在这里是模拟的实验环境,一定要搞清楚实际情况下是把filebeat安装到nginx服务器上去收集日志)
[root@vm4 ~]# yum install epel-release -y
[root@vm4 ~]# yum install nginx -y
[root@vm4 ~]# systemctl restart nginx
[root@vm4 ~]# systemctl enable nginx
2, 修改filebeat配置文件,并重启服务
[root@vm4 ~]# cat /etc/filebeat/filebeat.yml |grep -v '#' |grep -v '^$'
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
- /var/log/nginx/access.log 只在这里加了一句nginx日志路径(按需求自定义即可)
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
output.logstash:
hosts: ["10.1.1.13:5044"]
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
[root@vm4 ~]# systemctl stop filebeat
[root@vm4 ~]# systemctl start filebeat
3, 验证(在kibana或es-head上查询)
练习: 尝试收集httpd,mysql日志
实验中易产生的问题总结:
- filebeat配置里没有把output.elasticsearch改成output.logstash
- filebeat在收集/var/log/*.log日志时,需要对日志进行数据的改变或增加,才会传。当/var/log/yum.log增加了日志数据会传输,但不会触发配置里的其它日志传输。(每个日志的传输是独立的)
- filebeat收集的日志没有定义索引名称, 我这个实验是在logstash里定义的。(此例我定义的索引名叫filebeat2-%{+YYYY.MM.dd})
- es-head受资源限制可能会关闭了,你在浏览器上验证可能因为缓存问题,看不到变化的结果。
- 区分索引名和索引模式(index pattern)名
filebeat日志简单过滤
[root@vm4 ~]# grep -Ev '#|^$' /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/yum.log
- /var/log/nginx/access.log
include_lines: ['Installed'] 表示收集的日志里有Installed关键字才会收集
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
output.logstash:
hosts: ["10.1.1.13:5044"]
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
[root@vm4 ~]# systemctl restart filebeat
测试方法:
通过yum install
和yum remove
产生日志,检验结果
结果为: yum install
安装可以收集,yum remove
卸载的不能收集
其它参数可以自行测试
-
exclude_lines
-
exclude_files
logstash插件
输入插件(input)
Input:输入插件。
https://www.elastic.co/guide/en/logstash/current/input-plugins.html
- 所有输入插件都支持的配置选项
Setting | Input type | Required | Default | Description |
---|---|---|---|---|
add_field | hash | No | {} | 添加一个字段到一个事件 |
codec | codec | No | plain | 用于输入数据的编解码器 |
enable_metric | boolean | No | true | |
id | string | No | 添加一个ID插件配置,如果没有指定ID,则Logstash将生成一个ID。强烈建议配置此ID,当两个或多个相同类型的插件时,这个非常有用的。例如,有两个文件输入,添加命名标识有助于监视 | |
tags | array | No | 添加任意数量的标签,有助于后期处理 | |
type | string | No | 为输入处理的所有事件添加一个字段,自已随便定义,比如linux系统日志,定义为syslog |
stdin
- 标准输入
# cat /etc/logstash/config.d/stdtest.conf
input {
stdin {
}
}
filter {
}
output {
stdout {
}
}
file
- 从文件中读取内容
https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html
Setting | Input type | Required | Default | Description |
---|---|---|---|---|
close_older | number | No | 3600 | 单位秒,打开文件多长时间关闭 |
delimiter | string | No | \n | 每行分隔符 |
discover_interval | number | No | 15 | 单位秒,多长时间检查一次path选项是否有新文件 |
exclude | array | No | 排除监听的文件,跟path一样,支持通配符 | |
max_open_files | number | No | 打开文件最大数量 | |
path | array | YES | 输入文件的路径,可以使用通配符 例如/var/log/**/*.log,则会递归搜索 | |
sincedb_path | string | No | sincedb数据库文件的路径,用于记录被监控的日志文件当前位置 | |
sincedb_write_interval | number | No | 15 | 单位秒,被监控日志文件当前位置写入数据库的频率 |
start_position | string, one of [“beginning”, “end”] | No | end | 指定从什么位置开始读取文件:开头或结尾。默认从结尾开始,如果要想导入旧数据,将其设置为begin。如果sincedb记录了此文件位置,那么此选项不起作用 |
stat_interval | number | No | 1 | 单位秒,统计文件的频率,判断是否被修改。增加此值会减少系统调用次数。 |
# cat /etc/logstash/conf.d/filetest.conf
input {
file {
path => "/var/log/messages"
}
}
filter {
}
output {
stdout {
}
}
TCP
- 通过TCP套接字读取事件,即接收数据。与标准输入和文件输入一样,每个事件都被定位一行文本。
# cat /etc/logstash/conf.d/tcptest.conf
input {
tcp {
port => 12345
}
}
filter {
}
output {
stdout{
}
}
在其他主机上安装nc工具,对logstash发送信息,即可被读取出来。
[root@vm4 ~]# yum -y install nc
[root@vm4 ~]# nc 10.1.1.13 12345
haha
在vm3上验证查看
{
"@version" => "1",
"@timestamp" => 2019-07-02T15:28:00.301Z,
"port" => 33778,
"type" => "nc",
"message" => "haha",
"host" => "vm4.cluster.com"
}
Beats
- 从Elastic Beats框架接收事件
logstash配置文件
# cat /etc/logstash/conf.d/filebeattest.conf
input {
beats {
port => 5044
host => "0.0.0.0"
}
}
filter {
}
output {
stdout {
}
}
filebeat配置文件
filebeat.prospectors:
- type: log
paths:
- /var/log/messages
tags: ["system-log","123"]
fields:
level: debug
output.logstash:
hosts: ['127.0.0.1:5044']
过滤插件(filter)
参考: https://www.elastic.co/guide/en/logstash/current/filter-plugins.html
Filter:过滤,将日志格式化。
有丰富的过滤插件:
- Grok正则捕获
- date时间处理
- JSON编解码
- 数据修改Mutate
- geoip等。
所有的过滤器插件都支持以下配置选项:
Setting | Input type | Required | Default | Description |
---|---|---|---|---|
add_field | hash | No | {} | 如果过滤成功,添加任何field到这个事件。例如:add_field => [ “foo_%{somefield}”, “Hello world, from %{host}” ],如果这个事件有一个字段somefiled,它的值是hello,那么我们会增加一个字段foo_hello,字段值则用%{host}代替。 |
add_tag | array | No | [] | 过滤成功会增加一个任意的标签到事件例如:add_tag => [ “foo_%{somefield}” ] |
enable_metric | boolean | No | true | |
id | string | No | ||
periodic_flush | boolean | No | false | 定期调用过滤器刷新方法 |
remove_field | array | No | [] | 过滤成功从该事件中移除任意filed。例:remove_field => [ “foo_%{somefield}” ] |
remove_tag | array | No | [] | 过滤成功从该事件中移除任意标签,例如:remove_tag => [ “foo_%{somefield}” ] |
json(关注)
- JSON解析过滤器,接收一个JSON的字段,将其展开为Logstash事件中的实际数据结构。
示例: 将原信息转成一个大字段,key-value做成大字段中的小字段
# cat /etc/logstash/conf.d/jsontest.conf
input {
stdin {
}
}
filter {
json {
source => "message"
target => "content"
}
}
output {
stdout {
}
}
对标准输入的内容进行json格式输出
把输出内容定向到target指定的content
[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/jsontest.conf
输入测试数据
{"ip":"10.1.1.1","hostname":"vm3.cluster.com"}
输出测试数据
{
"content" => {
"hostname" => "vm3.cluster.com",
"ip" => "10.1.1.1"
},
"@timestamp" => 2019-07-02T11:57:36.398Z,
"@version" => "1",
"host" => "vm3.cluster.com",
"message" => "{\"ip\":\"10.1.1.1\",\"hostname\":\"vm3.cluster.com\"}"
}
示例: 直接将原信息转成各个字段
# cat /etc/logstash/conf.d/jsontest.confinput { stdin { }}filter { json { source => "message" }}output { stdout { }}[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/jsontest.conf
输入测试数据
{"ip":"10.1.1.1","hostname":"vm3.cluster.com"}
输出测试数据
{
"port" => 39442,
"@version" => "1",
"@timestamp" => 2019-09-19T09:07:03.800Z,
"hostname" => "vm3.cluster.com",
"host" => "vm4.cluster.com",
"ip" => "10.1.1.1",
"message" => "{\"ip\":\"10.1.1.1\",\"hostname\":\"vm3.cluster.com\"}"
}
kv
- 自动解析为key=value。
- 也可以任意字符串分割数据。
- field_split 一串字符,指定分隔符分析键值对
URL查询字符串拆分参数示例
# cat /etc/logstash/conf.d/kvtest.conf
input {
stdin {
}
}
filter {
kv {
field_split => "&?"
}
}
output {
stdout {
}
}
文件中的列以&或?进行分隔
执行
[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/kvtest.conf
输入数据
address=www.abc.com?pid=123&user=abc
输出数据
{
"user" => "abc",
"@timestamp" => 2019-07-02T12:05:23.143Z,
"host" => "vm3.cluster.com",
"@version" => "1",
"message" => "address=www.abc.com?pid=123&abc=user",
"address" => "www.abc.com",
"pid" => "123"
}
使用正则也可以匹配
[root@vm3 bin]# cat /etc/logstash/conf.d/kvtest.conf
input {
stdin {
}
}
filter {
kv {
field_split_pattern => ":+"
}
}
output {
stdout {
}
}
grok(关注)
- grok是将非结构化数据解析为结构化
- 这个工具非常适于系统日志,mysql日志,其他Web服务器日志以及通常人类无法编写任何日志的格式。
- 默认情况下,Logstash附带约120个模式。也可以添加自己的模式(patterns_dir)
- 模式后面对应正则表达式
- 查看模式地址:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns
- 包含字段如下
Setting | Input type | Required | Default | Description |
---|---|---|---|---|
break_on_match | boolean | No | true | |
keep_empty_captures | No | false | 如果true将空保留为事件字段 | |
match | hash | No | {} | 一个hash匹配字段=>值 |
named_captures_only | boolean | No | true | 如果true,只存储 |
overwrite | array | No | [] | 覆盖已存在的字段的值 |
pattern_definitions | No | {} | ||
patterns_dir | array | No | [] | 自定义模式 |
patterns_files_glob | string | No | * | Glob模式,用于匹配patterns_dir指定目录中的模式文件 |
tag_on_failure | array | No | _grokparsefailure | tags没有匹配成功时,将值附加到字段 |
tag_on_timeout | string | No | _groktimeout | 如果Grok正则表达式超时,则应用标记 |
timeout_millis | number | 30000 | 正则表达式超时时间 |
grok模式语法
格式:%{SYNTAX:SEMANTIC}
-
SYNTAX 模式名称
-
SEMANTIC 匹配文本的标识符
例如:%{NUMBER:duration} %{IP:client}
# vim /etc/logstash/conf.d/groktest.conf
input {
stdin {
}
}
filter {
grok {
match => {
"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"
}
}
}
output {
stdout {
}
}
虚构http请求日志抽出有用的字段
55.3.244.1 GET /index.html 15824 0.043
输出结果
{
"client" => "55.3.244.1",
"duration" => "0.043",
"message" => "55.3.244.1 GET /index.html 15824 0.043",
"method" => "GET",
"bytes" => "15824",
"@version" => "1",
"@timestamp" => 2019-07-03T12:24:47.596Z,
"host" => "vm3.cluster.com",
"request" => "/index.html"
}
自定义模式
如果默认模式中没有匹配的,可以自己写正则表达式。
# vim /opt/patterns
ID [0-9]{3,5}
配置文件中应包含如下内容
filter {
grok {
patterns_dir =>"/opt/patterns"
match => {
"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{ID:id}"
}
}
}
完整文件内容
[root@vm3 ~]# cat /etc/logstash/conf.d/groktest.conf
input {
stdin {
}
}
filter {
grok {
patterns_dir =>"/opt/patterns"
match => {
"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{ID:id}"
}
}
}
output {
stdout {
}
}
#执行
[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/groktest.conf
输入测试数据
55.3.244.1 GET /index.html 15824 0.043 6666
输出测试数据
{
"client" => "55.3.244.1",
"host" => "vm3.cluster.com",
"request" => "/index.html",
"@timestamp" => 2019-07-02T12:34:11.906Z,
"bytes" => "15824",
"method" => "GET",
"message" => "55.3.244.1 GET /index.html 15824 0.043 15BF7F3ABB",
"@version" => "1",
"id" => "666",
"duration" => "0.043"
}
geoip(关注)
- 开源IP地址库
- https://dev.maxmind.com/geoip/geoip2/geolite2/
下载IP地址库
[root@vm3 ~]# wget https://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz
[root@vm3 ~]# tar xf GeoLite2-City.tar.gz
[root@vm3 ~]# cp GeoLite2-City_20190625/GeoLite2-City.mmdb /opt
# cat /etc/logstash/conf.d/geoiptest.conf
input {
stdin {
}
}
filter {
grok {
match => {
"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"
}
}
geoip {
source => "client"
database => "/opt/GeoLite2-City.mmdb"
}
}
output {
stdout {
}
}
执行
[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/geoiptest.conf
输入测试数据
202.106.0.20 GET /index.html 123 0.331
输出结果
{
"method" => "GET",
"client" => "202.106.0.20",
"bytes" => "123",
"request" => "/index.html",
"geoip" => {
"country_code2" => "CN",
"country_name" => "China",
"region_code" => "BJ",
"longitude" => 116.3883,
"latitude" => 39.9289,
"timezone" => "Asia/Shanghai",
"location" => {
"lon" => 116.3883,
"lat" => 39.9289
},
"country_code3" => "CN",
"ip" => "202.106.0.20",
"continent_code" => "AS",
"region_name" => "Beijing"
},
"duration" => "0.331",
"host" => "vm3.cluster.com",
"message" => "202.106.0.20 GET /index.html 123 0.331",
"@timestamp" => 2019-07-02T12:15:29.384Z,
"@version" => "1"
}
[root@vm3 bin]# cat /etc/logstash/conf.d/geoiptest2.conf
input {
stdin {
}
}
filter {
grok {
match => {
"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"
}
}
geoip {
source => "client"
database => "/opt/GeoLite2-City.mmdb"
target => "geoip"
fields => ["city_name", "country_code2", "country_name","region_name"]
}
}
output {
stdout {
codec => rubydebug
}
}
执行
[root@vm3 bin]# ./logstash --path.settings /etc/logstash -r -f /etc/logstash/conf.d/geoiptest2.conf
输入测试数据
110.226.4.6 GET /home.html 518 0.247
输出结果
{
"host" => "vm3.cluster.com",
"duration" => "0.247",
"request" => "/home.html",
"@version" => "1",
"client" => "110.226.4.6",
"message" => "110.226.4.6 GET /home.html 518 0.247",
"method" => "GET",
"bytes" => "518",
"@timestamp" => 2019-07-02T12:22:22.458Z,
"geoip" => {
"country_name" => "India",
"country_code2" => "IN"
}
}
输出插件(output)
Output:输出,输出目标可以是Stdout、ES、Redis、File、TCP等。
ES
Setting | Input type | Required | Default | Description |
---|---|---|---|---|
hosts | URL | No | ||
index | string | No | logstash-%{+YYYY.MM.dd} | 将事件写入索引。默认按日期划分。 |
user | string | No | ES集群用户 | |
password | password | No | ES集群密码 |
input {
file {
path => ["/var/log/messages"]
type => "system"
tags => ["syslog","test"]
start_position => "beginning"
}
file {
path => ["/var/log/audit/audit.log"]
type => "system"
tags => ["auth","test"]
start_position => "beginning"
}
}
filter {
}
output {
if [type] == "system" {
if [tags][0] == "syslog" {
elasticsearch {
hosts => ["http://es1:9200","http://es2:9200","http://es3:9200"]
index => "logstash-system-syslog-%{+YYYY.MM.dd}"
}
stdout { codec=> rubydebug }
}
else if [tags][0] == "auth" {
elasticsearch {
hosts => ["http://es1:9200","http://es2:9200","http://es3:9200"]
index => "logstash-system-auth-%{+YYYY.MM.dd}"
}
stdout { codec=> rubydebug }
}
}
}
综合案例
ELK+filebeat+nginx+json
nginx配置
1,在nginx服务器上安装nginx
# yum install epel-release
# yum install nginx
2,将nginx日志改成json格式,这样各个字段就方便最终在kibana进行画图统计了
# vim /etc/nginx/nginx.conf
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
log_format json '{ "@timestamp": "$time_iso8601", '
'"remote_addr": "$remote_addr", '
'"remote_user": "$remote_user", '
'"body_bytes_sent": "$body_bytes_sent", '
'"request_time": "$request_time", '
'"status": "$status", '
'"request_uri": "$request_uri", '
'"request_method": "$request_method", '
'"http_referer": "$http_referer", '
'"http_x_forwarded_for": "$http_x_forwarded_for", '
'"http_user_agent": "$http_user_agent"}';
access_log /var/log/nginx/access.log json; 把main格式换为json格式
# systemctl restart nginx
# systemctl enable nginx
3,使用浏览器或curl
或elinks
访问nginx.然后查看日志,发现都变成可以转成json格式的格式
# tail -1 /var/log/nginx/access.log
{ "@timestamp": "2019-07-04T17:19:27+08:00", "remote_addr": "10.1.1.1", "remote_user": "-", "body_bytes_sent": "3650", "request_time": "0.000", "status": "404", "request_uri": "/favicon.ico", "request_method": "GET", "http_referer": "-", "http_x_forwarded_for": "-", "http_user_agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.75 Safari/537.36 Maxthon/5.1.5.1000"}
filebeat配置
1,在nginx服务器上安装filebeat安装(filebeat要安装到nginx服务器上收集)
过程省略
2,配置filebeat输出给redis
# cat /etc/filebeat/filebeat.yml | grep -v "#" | grep -v "^$"
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/nginx/access.log
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
output.redis:
hosts: ["10.1.1.14"] IP为redis服务器IP
password: "123456" redis的密码
key: "filebeattoredis"
db: 0
datatype: list
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
# systemctl restart filebeat
# systemctl enable filebeat
redis配置
1, 在redis服务器上,安装redis并启动(需要epel源)
# yum install redis -y
# vim /etc/redis.conf
61 bind 10.1.1.14 需要filebeat可以连接,或者改为0.0.0.0
480 requirepass 123456
# systemctl start redis
# systemctl enable redis
# redis-cli -h 10.1.1.14 -a 123456
10.1.1.14:6379> keys *
1) "filebeattoredis"
10.1.1.14:6379> llen filebeattoredis
(integer) 6 使用浏览器访问nginx,这里就会有相关信息,6表示有6条日志在队列中
logstash配置
1, 在logstash服务器上安装logstash
过程省略
2, 配置logstash,输入为redis,输出给es
# vim /etc/logstash/conf.d/logstash_from_redis.conf
input {
redis {
host => "10.1.1.14"
port => 6379
password => "123456"
db => "0"
data_type => "list"
key => "filebeattoredis"
}
}
filter {
}
output {
elasticsearch {
hosts => ["http://10.1.1.12:9200","http://10.1.1.11:9200"]
index => "filebeattoredis-%{+YYYY.MM.dd}"
}
stdout {
}
}
# /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/conf.d/logstash_from_redis.conf
3, 在redis服务器上查看
# redis-cli -h 10.1.1.14 -a 123456
10.1.1.14:6379> LLEN filebeattoredis
(integer) 0 为0了,表示上面6条信息被传到了logstash
# cat /etc/logstash/conf.d/logstash_from_redis.conf
input {
redis {
host => "10.1.1.14"
port => 6379
password => "123456"
db => "0"
data_type => "list"
key => "filebeattoredis"
}
}
filter {
json {
source => "message"
}
}
output {
elasticsearch {
hosts => ["http://10.1.1.12:9200","http://10.1.1.11:9200"]
index => "filebeattoredis-logstashfromredis-%{+YYYY.MM.dd}"
}
stdout {
}
}
注意:这次使用了json插件,索引名请再修改一个新的
如果要画图的话,请重新创建索引模式来匹配新的索引,才能在图形里找到remote_addr这个字段**
# /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/conf.d/logstash_from_redis.conf
ELK+filebeat+nginx+grok+geoip
上面的做法还不够高级,下面使用grok插件与geoip插件来实现
1, 停掉前面的logstash进程
- 如果是前台启动,直接ctrl+c即可
- 如果是后台启动, 使用
ps -ef |grep java
找出pid,再kill -9 PID
2, 修改nginx日志格式
# vim /etc/nginx/nginx.conf
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main; 改为main格式
# systemctl restart nginx
3, 清空日志
# echo > /var/log/nginx/access.log
可以让客户端重新访问几次,确认日志格式正常
4, 配置filebeat并重启
[root@app ~]# cat /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/nginx/access.log
fields:
app: www
type: nginx
fields_under_root: true
output.redis:
hosts: ["10.1.1.14"]
password: "123456"
key: "filebeattoredis2"
db: 0
datatype: list
# systemctl restart filebeat
5, 客户端访问nginx, 查看redis是否有队列
# redis-cli -h 10.1.1.14 -a 123456
10.1.1.14:6379> keys *
1) "filebeattoredis2"
10.1.1.14:6379> llen filebeattoredis2
(integer) 2
6, 使用logstash grok插件完成对nginx日志格式化
# vim /etc/logstash/conf.d/logstash_nginx_format.conf
input {
redis {
host => "10.1.1.14"
port => 6379
password => "123456"
db => "0"
data_type => "list"
key => "filebeattoredis2"
}
}
filter {
if [app] == "www" {
if [type] == "nginx" {
grok {
match => {
"message" => "%{IPV4:remote_addr} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:time_local}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:http_protocol}\" %{NUMBER:http_status} %{NUMBER:body_bytes_sent} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\" \"(%{IPV4:http_x_forwarded_for}|-)\""
}
overwrite => ["message"]
}
geoip {
source => "remote_addr"
target => "geoip"
database => "/opt/GeoLite2-City.mmdb"
add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]
add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]
}
date {
locale => "en"
match => ["time_local", "dd/MMM/yyyy:HH:mm:ss Z"]
}
mutate {
convert => ["[geoip][coordinates]", "float"]
}
}
}
}
output {
elasticsearch {
hosts => ["http://10.1.1.12:9200","http://10.1.1.11:9200"]
index => "logstash-nginx-log-format-%{type}-%{+YYYY.MM.dd}"
}
stdout{
}
}
# /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/conf.d/logstash_nginx_format.conf
7, 确认redis队列为0,说明传给了logstash
# redis-cli -h 10.1.1.14 -a 123456
10.1.1.14:6379> keys *
1) "filebeattoredis2"
10.1.1.14:6379> llen filebeattoredis2
(integer) 2
8, 模拟假的客户端访问数据(主要是模拟一些假的公网IP)
可手动在nginx服务器上vim /var/log/nginx/access.log
复制粘贴多行,然后改成不同的公网IP
9, 在kibana创建索引模式
过程省略
10, 在kibana创建可视化图形
使用unique count用于计算地图区域的客户端IP统计
11, 可选择创建仪表盘,将图形加入仪表盘