nginx日志 - filebeat - kafka - logstash - elasticsearch - kibana

最新推荐文章于 2023-09-22 12:01:01 发布
最新推荐文章于 2023-09-22 12:01:01 发布
阅读量331 收藏 1
点赞数
文章标签: nginx elasticsearch kafka zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lunan/article/details/106722848
版权

elasticsearch-7.7.1
filebeat-7.7.1-linux-x86_64
kafka_2.13-2.5.0
kibana-7.7.1-linux-x86_64
logstash-7.7.1

参照:
各种组件安装:https://blog.51cto.com/xiangcun168/1933509
单机版kafka+zookeeper:https://blog.51cto.com/xiangcun168/1933375
Nginx日志格式、反向代理配置:https://blog.csdn.net/stephen_curry11/article/details/85339898

1、启动elasticsearch
如果出现max virtual memory areas vm.max_map_count,或者出现 the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts, discovery.seed_providers, cluster.initial_master_nodes] must be configured,参考 https://www.cnblogs.com/hellxz/p/11057234.html,执行:sudo sysctl -w vm.max_map_count=262144
启动:nohup bin/elasticsearch >> nohup.es &
验证:http://192.168.2.99:9200/

2、启动kibana
启动:nohup bin/kibana >> nohup.kibana &
验证:http://192.168.2.99:5601/

3、启动zookeeper
启动:nohup bin/zookeeper-server-start.sh config/zookeeper.properties >> nohup.zookeeper &
验证:bin/zookeeper-shell.sh 192.168.2.99:2181 ls /

4、启动kafka
启动:nohup bin/kafka-server-start.sh config/server.properties >> nohup.kafka &
如果报clusterID不匹配,/config/server.properties找到logs.dir/meta.properties,修改cluster.id即可
验证:

bin/kafka-topics.sh --create --bootstrap-server 192.168.2.99:9092 --replication-factor 1 --partitions 1 --topic test
bin/kafka-topics.sh --list --bootstrap-server 192.168.2.99:9092
bin/kafka-topics.sh --list --zookeeper 192.168.2.99:2181

bin/kafka-console-producer.sh --broker-list 192.168.2.99:9092 --topic test
bin/kafka-console-consumer.sh --bootstrap-server 192.168.2.99:9092 --topic test --from-beginning

5、启动nginx
修改日志格式(nginx.conf):

    log_format  json  '{"@version":"1",'
                      '"time_local":"$time_local",'
                      '"remote_addr":"$remote_addr",'
                      '"http_host":"$http_host",'
                      '"http_x_forwarded_for":"$http_x_forwarded_for",'
                      '"request_method":"$request_method",'
                      '"request_uri":"$request_uri",'
                      '"server_protocol":"$server_protocol",'
                      '"status":"$status",'
                      '"body_bytes_sent":"$body_bytes_sent",'
                      '"http_referer":"$http_referer",'
                      '"http_user_agent":"$http_user_agent",'
                      '"request_time":"$request_time",'
                      '"upstream_response_time":"$upstream_response_time"'
                      '}';
    access_log  logs/access.log  json;

输出:

{
	"@version": "1",
	"time_local": "16/Jul/2020:14:16:25 +0800",
	"remote_addr": "192.168.2.103",
	"http_host": "192.168.2.99:7000",
	"http_x_forwarded_for": "-",
	"request_method": "GET",
	"request_uri": "/",
	"server_protocol": "HTTP/1.1",
	"status": "304",
	"body_bytes_sent": "0",
	"http_referer": "-",
	"http_user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36",
	"request_time": "0.000",
	"upstream_response_time": "-"
}

启动:sudo /usr/local/nginx/sbin/nginx
验证:http://192.168.2.99:7000/

6、启动filebeat
启动:nohup ./filebeat -c filebeat.yml >> nohup.filebeat &
验证:bin/kafka-console-consumer.sh --bootstrap-server 192.168.2.99:9092 --topic ngx-access --from-beginning --group grp1
结果:

{
	"@timestamp": "2020-07-16T06:16:27.801Z",
	"@metadata": {
		"beat": "filebeat",
		"type": "_doc",
		"version": "7.7.1"
	},
	"log": {
		"offset": 3685504,
		"file": {
			"path": "/usr/local/nginx/logs/access.log"
		}
	},
	"message": "{\"@version\":\"1\",\"time_local\":\"16/Jul/2020:14:16:25 +0800\",\"remote_addr\":\"192.168.2.103\",\"http_host\":\"192.168.2.99:7000\",\"http_x_forwarded_for\":\"-\",\"request_method\":\"GET\",\"request_uri\":\"/\",\"server_protocol\":\"HTTP/1.1\",\"status\":\"304\",\"body_bytes_sent\":\"0\",\"http_referer\":\"-\",\"http_user_agent\":\"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\",\"request_time\":\"0.000\",\"upstream_response_time\":\"-\"}",
	"input": {
		"type": "log"
	},
	"log_type": ["ngx_access"],
	"agent": {
		"type": "filebeat",
		"ephemeral_id": "71135a05-4022-4b9a-b32b-0543c269dfb4",
		"hostname": "ebda-Z390-UD",
		"id": "a9a2827c-98cc-46cd-9869-360f17946787",
		"version": "7.7.1"
	},
	"tags": ["ngx"],
	"log_topic": "ngx-access",
	"ecs": {
		"version": "1.5.0"
	},
	"host": {
		"name": "ebda-Z390-UD"
	}
}

7、启动logstah
配置(nginx.conf):

input {
    kafka  {
        codec => "json"
        topics_pattern => "ngx-access"
        bootstrap_servers => "192.168.2.99:9092"
        auto_offset_reset => "latest"
        group_id => "logstash-ngx-access"
    }
}

filter {
    if "ngx" in [tags] {
      json {
        source => "message"
        target => "msg"
        skip_on_invalid_json => true
      }
    }
}

output {

    elasticsearch {
        hosts => ["192.168.2.99:9200"]
        index => "logstash-%{type}-%{+YYYY.MM.dd}"
        #document_type => "%{type}"
    }

#stdout { codec => rubydebug }
}

1)document_type需要设置为_doc或去掉,否则会提示Rejecting mapping update to [house] as the final mapping would have more than 1 type: [_doc, XXXX]
2)如果json中没有target,所有字段会和message字段平级
启动:nohup bin/logstash -f config/nginx.conf >> nohup.logstash &

8、kibana呈现
Discover中看到的日志:

{
  "_index": "logstash-ngx-access-2020.07.16",
  "_type": "_doc",
  "_id": "JatXVnMBG8J699ywC3FX",
  "_version": 1,
  "_score": null,
  "_source": {
    "ecs": {
      "version": "1.5.0"
    },
    "host": {
      "name": "ebda-Z390-UD"
    },
    "@version": "1",
    "log_type": [
      "ngx_access"
    ],
    "@timestamp": "2020-07-16T06:36:50.614Z",
    "log_topic": "ngx-access",
    "msg": {
      "http_user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36",
      "@version": "1",
      "request_time": "0.000",
      "http_referer": "-",
      "upstream_response_time": "-",
      "body_bytes_sent": "0",
      "remote_addr": "192.168.2.103",
      "time_local": "16/Jul/2020:14:36:47 +0800",
      "server_protocol": "HTTP/1.1",
      "request_uri": "/",
      "http_x_forwarded_for": "-",
      "status": "304",
      "http_host": "192.168.2.99:7000",
      "request_method": "GET"
    },
    "message": "{\"@version\":\"1\",\"time_local\":\"16/Jul/2020:14:36:47 +0800\",\"remote_addr\":\"192.168.2.103\",\"http_host\":\"192.168.2.99:7000\",\"http_x_forwarded_for\":\"-\",\"request_method\":\"GET\",\"request_uri\":\"/\",\"server_protocol\":\"HTTP/1.1\",\"status\":\"304\",\"body_bytes_sent\":\"0\",\"http_referer\":\"-\",\"http_user_agent\":\"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\",\"request_time\":\"0.000\",\"upstream_response_time\":\"-\"}",
    "agent": {
      "type": "filebeat",
      "ephemeral_id": "71135a05-4022-4b9a-b32b-0543c269dfb4",
      "version": "7.7.1",
      "hostname": "ebda-Z390-UD",
      "id": "a9a2827c-98cc-46cd-9869-360f17946787"
    },
    "input": {
      "type": "log"
    },
    "tags": [
      "ngx"
    ],
    "log": {
      "offset": 3687367,
      "file": {
        "path": "/usr/local/nginx/logs/access.log"
      }
    }
  },
  "fields": {
    "@timestamp": [
      "2020-07-16T06:36:50.614Z"
    ]
  },
  "sort": [
    1594881410614
  ]
}
鲁鲁517
关注
filebeat+kafka+logstash+es日志系统的搭建以及性能专题
qq_40673687的博客
12-18 1519
一、环境及组件版本 Windows10. filebeat6.8.1 kafka2.11logstash同681es7.1.1,Linux下部分配置通用 二、各组件配置 filebeat,可配置多种输出方式,logstash的filter通常是整个系统的性能薄弱环节,一般会使用削峰手段避免过大数据涌入 logstash,导致性能下降甚至宕机 ...
【ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1721
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
logstash通过kafka传输nginx日志(三)
bahusuo2688的博客
08-04 303
  单个进程 logstash 可以实现对数据的读取、解析和输出处理。但是在生产环境中,从每台应用服务器运行 logstash 进程并将数据直接发送到 Elasticsearch 里,显然不是第一选择:第一,过多的客户端连接对 Elasticsearch 是一种额外的压力;第二,网络抖动会影响到 logstash 进程,进而影响生产应用;第三,运维人员未必愿意在生产服务器上部署 Java...
nginx + Filebeat +Kafka + Logstash + ElasticSearch +Kibana +解析日志文件实例
qwerty1372431588的博客
08-06 503
环境搭建1. 环境搭建2. 部署大框架2.1 filebeat采集日志文件推倒kafka指定的topic2.1.1 filebeat配置(将日志信息推到kafka)2.1.2 配置kafka信息 1. 环境搭建 ELK环境的搭建,可查看连接对应专栏内容 filebeat的环境部署 nginx部署 kafka集群的部署 2. 部署大框架 2.1 filebeat采集日志文件推倒kafka指定的topic -注: nginxfilebeat配置在了一台机器 2.1.1 filebeat配置(将日志信息推到ka
搭建nginx-logstash-kafka-elasticsearch服务
福州零叶的博客
12-04 605
1、nginx作为web服务器,用来做服务访问入口、及静态资源服务器。对access.log日志格式化为json,这里要注意$变量的取值,否则会启动异常。  log_format access_log_json '{"user_ip":"$http_x_real_ip","lan_ip":"$remote_addr","log_time":"$time_iso8601","user_requrl
Logstash+Redis+Elasticsearch+Kibana+Nginx搭建日志分析系统
weixin_33691700的博客
03-02 252
前言: 随着实时分析技术的发展及成本的降低,用户已经不仅仅满足于离线分析。目前我们服务的用户包括微博、微盘、云存储、弹性计算平台等十多个部门的多个产品的日志搜索分析业务,每天处理约32亿条(2TB)日志。哈哈 以上都是新浪的信息~不是我们小公司的分析业务规模。 当然为了使得运行在客户端的软件有良好的体验,并且得到有用的数据,我们需要...
Filebeat + Logstash + Kafka + Elasticsearch 架构部署详细步骤
panbuhei
07-29 4615
此文档是在生产环境中搭建日志(Java)收集系统后的整理文档,其中除了 elk 常规架构以外,还添加了 kafka 集群,可以起到解耦和缓冲(削峰)的作用。 还部署了 kafka 的 web 端监控 kafka-eagle 和 elasticsearch 的 web 端cerebro。 最后还增加了 Nginx 日志收集(测试)的相关配置文件。
filebeat 收集nginx日志发送到logstash,并且用logstash 切割日志发送到elasticsearch,使用kibana展示出来
最新发布
huyue1107的博客
09-22 718
注意:eskibana配置没什么好说的,kibana主要是打开console.enabled: "true",logstat 需要给nginx日志切割一下,message是切割nginx日志,下面会详细讲如何切割。3、type: nginx-log 这个是类型,要和lostash中的output名称一致,看不清楚可以浏览器 curl+f 搜一下nginx-log。说明:准备的都是单台没有集群,es也没设置密码,项目内部使用,并没用对外开,都是安全组过白IP的。
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 1928
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
w1206507055的博客
06-17 454
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
filebeat+redis+logstash+elasticsearch+kibana搭建日志分析系统
weixin_30561425的博客
01-25 252
filebeat+redis+elk搭建日志分析系统 官网下载地址:https://www.elastic.co/downloads 1、下载安装filebeat wgethttps://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.4-linux-x86_64.tar.gz tar -zxff...
filebeat->redis->logstash->elasticsearch->kibana
weixin_30381793的博客
08-28 292
整体流程 filebeat收集openresty应用日志传输到Redis集群中 Logstash从Redis集群中拉取数据,并传输到Elasticsearch集群 使用Kibana可视化索引 使用Elasticsearch-head管理lasticsearch集群 注:Logstash不支持集群模式 环境 均为CentOS 7.4 x64系统 openresty 192.168.0....
LogStash采集Nginx日志Kafka操作手册
qq_33865863的博客
09-03 554
nginx配置 编辑nginx配置文件 vim /usr/local/nginx/conf/nginx.conf 定义日志格式为json,修改http模块 http { include mime.types; default_type application/octet-stream; ​ log_format logstash_json '{ "@timestamp": "$time_iso8601", ' ...
ELK+KAFKA+FILEBEAT集群实战(nginx访问日志收集)
xiaowaixi的博客
10-13 590
组件介绍 1、Elasticsearch: 主要用来日志存储 2、Logstash: 主要用来日志的搜集(filebeat) 3、Kibana: 主要用于日志的展示 4、Kafka:是一个分布式的消息发布—订阅系统(kafka其实是消息队列) 5、Filebeat: 轻量级数据收集引擎 ELK作用 建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一:Elasticsearch集群部署 #我们需要准备的安装包 [root@server7 ~]# ls anaconda-ks.cfg
Logstash处理(nginxnginx_error、application)日志ES
小叶博客
09-25 902
input{ #从kakfa读取数据 kafka{ bootstrap_servers => ["xxx:9092"] client_id => "logstash_app_log_group" group_id => "logstash_app_log_group" auto_offset_reset => "latest" consumer_threads
filebeat + logstash + es项目
登高~
01-20 1467
背景 对于部分生产上的日志无法像 Nginx 那样,可以直接将输出的日志转为 Json 格式 但是可以借助 Logstash 来将我们的 ”非结构化数据“,转为 "结构化数据"; logstash介绍 Logstash 的基础架构类似于 pipeline 流水线: Input:数据采集(常用插件:stdin、file、kafka、beat、http、) Filter:数据解析/转换(常用插件:grok、date、geoip、mutate、useragent) Output:数据输出 (常用插件:El
ELK采集nginx错误日志
huchao_lingo的博客
03-10 1492
ELK采集nginx错误日志 一、filebeat采集配置 1、在nginx服务器上安装filebeat wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.3.1-x86_64.rpm yum localinstall filebeat-6.3.1-x86_64.rpm 2、配置filebeat采集文件 v...
filebeat+redis+logstash+elasticsearch filebeat+kafka+zookeeper+logstash+elasticsearch
春风吹尽叁佰里的博客
04-12 483
收集日志的工具 日志易(收费) splunk(国外,按流量收费) 介绍 发展史:使用java语言,在luncen的基础上做二次封装,提供restful接口 搜索的原理:倒排索引 特点:水平扩展方便、提供高可用、分布式存储、使用简单 配置文件 /etc/elasticsearch/elasticsearch.yml#es的主要配置文件 /etc/elasticsearch/jvm.options...
kafka->logstash->es
xuguokun1986的博客
10-27 5978
本片博客的场景:具有一定格式的数据首先被推送到Kafka活着是redis(本实验选择的是Kafka),当数据从Kafka出来之后,被送到Logstash进行简单的处理,然后数据从Logstash出来再被存储进Elasticsearch中。        首先需要说明的一点是,开始用的是Elasticsearch-1.7.1、Logstash-1.5.4、JDK-1.7.0_79,在将es配置成为
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值