ELK分析系统----Filebeat

已于 2022-10-20 17:56:29 修改
阅读量455 收藏 1
点赞数
分类专栏: ELK 文章标签: elk elasticsearch linux
于 2022-10-20 17:47:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_yongpeng/article/details/127427528
版权

学习目标:

掌握filebeat软件的使用

学习内容:

Filebeat概述

  • 可以使用Filebeat收集各种日志,之后发送到指定的目标系统上,但是同时只能配置一个输出目标。
  • Filebeat会对配置好的日志内容进行收集,第一次会从每个文件的开头一直读到当前文件的最后一行
  • 每一行称为一个事件,格式是一个包含很多字段的字典,也就是JSON格式的数据,在Filebeat中负责完成这个动作的官方称它为Harvester(收割机)
  • 每个事件将来会保存到Elasticsearch中
  • 在收割机读到文件的最后,会停止工作。直到文件有新的内容写入才继续工作

在这里插入图片描述

Filebeat安装

#curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.13.2-linux-x86_64.tar.gz
#tar -zxvf filebeat-7.13.2-linux-x86_64.tar.gz -C /usr/local
#mv /usr/local/filebeat-7.13.2-linux-x86_64 /usr/local/filebeat

Filebeat启动管理

  1. 前台运行
    采用前台运行的方式查看Filebeat获取的日志结果
  2. 后台运行
    使用nohup方式启动Filebeat到后台,日志结果可查看nohup.out文件
    使用systemd管理的后台方式启动Filebeat进程不能查看输出日志,测试阶段勿用

在这里插入图片描述

#systemctl deamon-reload		#该命令是重新加载systemd文件
#systemctl start filebeat		#加载后可以用此命令启动filebeat

Filebeat简单使用

准备测试数据

#vi /tmp/access.log
159.138.94.11 - -|[20/Oct/2022:07:28:14 +0000]|"POST /cwr-user-web/rest/user/admin/refresh/session?RandStr=1666250893718 HTTP/1.1"|200|"https://sp.cwrcloud.huawei.com/cwr-user-web/pages/cwr-homepage/index.html"|"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36"|"167.1.179.193"|"upstream Addr:"10.234.252.124:8080|0.040|0.041|61|420|247040484|1|1379
#vi /tmp/error.log
2022/10/20 07:28:28 [error] 19149#0: *247040885 open() "/home/nginx/html/404.html" failed (2: No such file or directory), client: 159.138.94.174, server: , request: "GET /favicon.ico HTTP/1.1", host: "sp.cwrcloud.huawei.com", referrer: "https://sp.cwrcloud.huawei.com/cwr-user-web/shiro-cas?targetUrl=%2Findex.jsp&ticket=ST-60698-Zv0uqvLrLi-GLOlo4XV-1PlYjbYauth.cwrcloud.huawei.com"

配置Filebeat的输入输出

#文件名 filebeat.yml
filebeat.inputs:
- type: log
	enabled: true	#开关 true是开,false是关
	paths: 
	- /tmp/access.log	#指定需要收集的日志路径,支持通配符可以写多个
filebeat.config.modules:	#内置的收集日志的模块配置文件的存放路径
  path: $(path.config)/modules.d/*.yml
  reload.enabled: false		#当模块的配置文件有更新时,此程序是否要自动加载,false不加载,true加载
setup.template.settings:
	index.number_of_shards: 1	#可以指定索引的分区数[实际生产未指定]
output.console:		#添加 输出到终端即屏幕上
  pretty: true
#output.logstash:		#输出到logstash
#  hosts: ["logstash的ip:端口"]
#指定ES的配置,[实际生产未配置,测试使用]例举:
#output.elasticearch:
#	hosts: ["192.168.88.111:9200","192.168.88.112:9200","192.168.88.113:9200"]
processors:
  - add_host_metadata:		#添加此主机的源数据信息到输出数据中,比如ip、mac、os等信息
      when.not.contains.tags: forwarded

运行观察输出
在这里插入图片描述
找不到配置文件可使用 -c 指定配置文件位置

./filebeat -c /usr/local/filebeat/filebeat.yml

Filebeat进程日志
filebeat本身运行日志默认位置 /usr/local/filebeat/logs/filebeat
要修改Filebeat的日志路径,可以添加如下内容在配置文件filebeat.yml中实现
在这里插入图片描述
这样设置后,filebeat启动后,日志的目录是/var/log/,日志的文件名为filebeat,每次启动或者重启程序会生成一个新的日志文件filebeat,旧的日志文件名为filebeat.1依次类推。

启用日志收集模块

#/usr/local/filebeat/filebeat modules list
#模块配置文件存储位置 /usr/local/filebeat/modules.d

禁用模块

#/usr/local/filebeat/filebeat modules disable 模块名

启用模块

#/usr/local/filebeat/filebeat modules enable 模块名

示例模块–nginx模块

情景1:使用模块默认的日志路径
修改modules.d/nginx.yml文件内容如下:

 - module: nginx
  access:
    enabled: true
  errorr:
    enabled: true

nginx模块收集的日志的默认路径是:

  • /var/log/nginx/access.log*
  • /var/log/nginx/error.log*

情景2:使用非默认路径(适用于所有模块)
假如所要收集的日志真实路径和日志路径收集模块默认的路径不一致,可以配置 var.paths: 属性进行配置,接收的值是一个包含一个以上的日志绝对路径列表,接收的值是一个数组
用于给日志文件设置自定义路径的,如果不设置此选项,Filebeat将根据你的操作系统选择路径使用默认值,可以使用如下方式配置:

 - module: nginx
  access:
    enabled: true
    var.paths: ["/opt/nginx/log/access.log*","/opt/nginx/log/error.log*"]

或者下面的方式:

 - module: nginx
  access:
    enabled: true
    var.paths: 
      - "/opt/nginx/log/access.log*"
      - "/opt/nginx/log/error.log*"

注意
var.pahts指定的路径,是以追加的方式和模块默认路径合并在一起
测试:调用模块进行测试:./filebeat -e

配置output
filebeat适用于收集日志,之后把日志推送到某个接收的系统中,这些系统或者装置在filebeat中称为output,output类型:

  • console:终端屏幕
  • elasticsearch:存放日志、并提供查询
  • logstash:进一步对日志数据进行处理
  • kakfa:消息队列
    如果只想输出完整json数据中的某些字段
output.console:
  codec.format:
    string: '%{[@timestamp]} %{[message]}'
  pretty: true

使用processors(处理器)过滤和增强数据(扩展部分)

可以在配置中定义处理器,以便在事情发送到配置的输出之前对其进行处理,libbeat库提供以下处理器:

  • 减少导出字段的数量
  • 使用其他元数据增强事件
  • 执行其他处理和解码

工作方式
每个处理器都接收到一个事件,对该事件应用已定义的操作,然后返回该事件,如果定义处理器列表,则按照在filebeat配置文件中定义的顺序执行它们

去重日志中的某些行

  1. 删除所有以 DBG开头的行
processors:
  - drop_event:
      when:
        regexp:
          message: "^DBG"		#message为自定义字段
  1. 向输出的数据中添加某些自定义字段
processors:
  - add_fields:
      target: project
      fields:
        name: myproject
        id: '12324435566'
  1. 从事件中删除某些字段
processors:
  - drop_fields:
      fields: ["field1","field2",....]
      ignore_missing: false

以上配置,将删除字段:field1和field2
ignore_missing的值为false表示,字段名不存在则返回错误,为true不会返回错误
注意:事件中的 @timestamp 和 type 字段是无法删除的

努力变强的小刘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK6.3和Filebeat6.3在Docker-Compose环境下安装和使用
11-29
Centos系统ELK6.3和Filebeat6.3在Docker-Compose环境下安装和使用
二、Filebeat
Six_three的博客
03-29 9053
二、Filebeat 可以使用 Filebeat 收集各种日志,之后发送到指定的目标系统上,但是同一时间只能配置一个输出目标。 Filebeat 会对配置好的日志内容进行收集,第一次会从每个文件的开头一直读到当前文件的最后一行。 每一行称为一个事件,格式是一个包含很多字段的大字典,也就是 JSON 格式的数据。在 Filebeat中负责完成这个动作的官方称它为 Harvester (收割机)。 每个事件将来会被保存到 Elasticsearch 中 在收割机读到文件的最后,会停止工作。直到文件有新的内容
filebeat.service
aokedlpxv22775032的博客
06-15 401
# # filebeat systemd service # [Unit] Description=Filebeat Documentation=https://www.elastic.co/guide After=network.target [Service] Type=simple Restart=always WorkingDirectory=/v...
filebeat 收集的进度日志查看
weixin_30482181的博客
04-28 3673
filebeat 收集的日志进度和文件在data 目录中是有保存的 默认路径地址: /usr/share/filebeat/data 里面有两个文件: meta.json:{"uuid":"ae79aee8-59d7-442c-99ef-ddcf7dd9000b"} ...
基于CentOS 7上使用Filebeat进行后台启动
zuihongyan518的博客
03-15 1278
使用命令启动filebeat,窗口关闭或者连接中断后就回退出;当然也可以使用nohup命令后台启动,不过需要使用exit命令退出才行。在CentOS 7上使用Filebeat进行后台启动,你可以通过systemd来实现。现在Filebeat应该在后台安静运行了。下面介绍一种一劳永逸的方式:基于CentOS的方式启动filebeat。指向Filebeat的正确路径,你可以通过。来查找Filebeat的安装路径。
ELK日志分析系统-filebeat
10-19
ELKElasticsearch, Logstash, Kibana)日志分析系统是一个广泛使用的开源解决方案,用于收集、处理、分析和可视化各种来源的日志数据。Filebeat是这个系统中的一个关键组件,它作为轻量级的日志转发器,负责从...
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-06-filebeat收集日志.mp4
06-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-06-filebeat收集日
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-08-filebeat日志过滤.mp4
05-28
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-08-filebeat日志过
filebeat-6.2.2-linux-x86_64.tar.gz下载
12-24
这个名为 "filebeat-6.2.2-linux-x86_64.tar.gz" 的压缩包是Filebeat的特定版本,适用于64位Linux操作系统。 Elastic Stack,又被称为ELKElasticsearch, Logstash, Kibana)堆栈,是用于日志管理和数据分析的开源...
filebeat-6.2.4-linux-arm.tar.gz
10-25
总之,Filebeat-6.2.4-linux-arm.tar.gz是为ARM架构的中标麒麟系统设计的日志收集工具,它提供了在该平台上的日志管理和分析能力,有助于提升运维效率和系统安全性。正确安装和配置Filebeat,能够帮助用户更好地理解...
filebeat收集nginx日志的配置文件
02-11
本资源结合我的博客一并使用,用于解决filebeat收集nginx日志用的
ELK日志分析--Filebeat
qq_47800859的博客
02-22 1049
ELK架构 Filebeat简介 Filebeat安装 Filebeat简单使用 专用日志搜集模块 案例模块-Nginx 模块 重读日志文件 使用Processors(处理器)过滤和增强数据
filebeat运行时日志
weixin_43317654的博客
07-14 1151
filebeat运行时日志
filebeat日志收集
最新发布
韩华盛博客
05-06 431
filebeat是一个用于转发和收集日志数据的轻量级托运工具,监控日志文件或指定的本地路径,收集日志事件,并转发到Elasticsearch和Logstash用于检索。Filebeat工作介绍:当启动Filebeat时,它启动一个或多个输入,这些输入查看为日志数据指定的位置。对于Filebeat定位的每个日志,Filebeat都会启动一个收集器。每个收集器读取单个日志以获取新内容,并将新日志数据发送给libbeat, libbeat聚合事件并将聚合的数据发送到为Filebea配置的输出。
Filebeat(Beats)详细介绍与使用
一个认真学习的女孩子的博客
03-13 2978
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引Filebeat隶属于Beats。Filebeat 作为代理安装在的服务器上,可监控日志指定的文件或位置,收集日志事件并转发它们使用或Logstash进行索引。
Filebeat详细介绍,下载和启动,日志读取和模块设置等
热门推荐
生夏夏的博客
06-14 1万+
Filebeat是一个轻量级的日志采集器当我们的元数据没办法支撑我们的业务时,我们还可以自定义添加一些字段tags: [ "web" , "test" ] #添加自定义tag,便于后续的处理 fields: #添加自定义字段 from: web-testfields_under_root: true #true为添加到根节点,false为添加到子节点中 setup.template.settings:添加完成后,重启 filebeat然后添加新的数据到 test.log中。
filebeat采集k8s日志 - docker目录(默认docker目录使用此方法)
晓俊子的博客
01-16 830
filebeat采集k8s日志 - docker目录(默认docker目录使用此方法)
elastic filebeat 7.x设置服务日志输出路径
zhangpfly的博客
11-03 2295
filebeat 7.x以后的默认日志输出到了/var/log/messages里面,这样查看日志的时候不太方便。使用如下设置可以把filebeat服务的日志输出到指定目录 设置服务日志输出路径 logging.level: info logging.to_files: true logging.files: path: /var/log/filebeat name: filebeat keepfiles: 7 permissions: 0644 参考:https://www.elasti
SpringBoot 项目使用 SLF4J+logback 进行日志记录,来增强可维护性
Java知音
11-02 966
作者:云深不知处blog.csdn.net/mu_wind/article/details/99830829SpringBoot会默认使用logback作为日志框架,在生成springb...
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
"ELK日志归集是一个用于管理和分析日志数据的解决方案,由Elastic Stack中的Elasticsearch、Logstash、Kibana(ELK)以及Filebeat组件构成。此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集中利用Filebeat和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值