本文档详细介绍了如何利用Graylog Sidecar和Filebeat进行日志收集与分析。首先,讲解了Sidecar的安装与配置,包括设置更新间隔、验证密钥和节点名称等。接着,介绍了Filebeat的安装,强调其作为采集工具的角色,配置简单,无需额外设定。然后,在Graylog服务端添加Sidecar并生成验证密钥,配置inputs以接收来自客户端的日志。通过Nginx日志,可以进行地理定位分析,展示用户访问地。最后,提供了两个示例模板,用于配置不同的日志输入源。整个过程旨在实现高效、精准的日志管理和监控。
这个东西有什么用呢
我们通过搜集日志的信息。将日志在通过Graylog进行分析,例如将日志中的IP地址进行字段提取 ,可以分析用户的访问地,做一个统计,可以灵敏感知用户群体分布地,如下图:
搜集日志的过程如下图
Graylog Sidecar是一种针对不同日志收集器的轻量级配置管理系统,Graylog 节点充当包含日志收集器配置的集中式枢纽。
在支持的消息生成设备/主机上,Sidecar 可以作为服务(Windows 主机)或守护程序(Linux 主机)运行。
日志收集器配置通过 Graylog Web 界面集中管理。Sidecar 守护进程将定期使用REST API获取目标的所有相关配置。
在第一次运行时,或者当检测到配置更改时,Sidecar 将生成(呈现)相关的后端配置文件。然后它将启动或重新启动
那些重新配置的日志收集器
开始部署
之前Graylog已经部署过,这里就不在部署Graylog的服务端,可以参考之前的之前的博客
https://editor.csdn.net/md/?articleId=120563987
在客户端安装 Sidecar
安装:
采用RPM包来安装,这个要在需要收集日志的机子上安装
下载地址 https://github.com/Graylog2/collector-sidecar/releases
直接rpm 安装即可
rpm -ivh graylog-sidecar-1.1.0-1.x86_64.rpm
配置:
vim /etc/graylog/sidecar/sidecar.yml
server_url: "http://192.168.1.1:9000/api/" #graylogserver的api地址
server_api_token: "" #这是验证密钥,我们需要在graaylog的server端生成后,再回来填上,这里先空着,
#作用sidecar客户端验证
node_name: "APIServer1" #用于识别是那台sidecar发来的日志信息
update_interval: 10 #多久 Sidecar 向 Graylog 报告一次自己的运行状况,以及抓取最新下发的配置文件。
send_status: true # 是否向 Graylog 报告自己的状态信息。
启动:
graylog-sidecar -service install && systemctl start graylog-sidecar && systemctl enable graylog-sidecar
#这里可能无法正常启动,应为我们的server_api_token是空的,待会配置上在重启下服务
在客户端安装 Filebeat
安装:
我们同样采用RPM包安装,这个要在需要收集日志的机子上安装
下载地址: https://www.elastic.co/cn/downloads/beats/filebeat
直接rpm 安装即可
rpm -ivh filebeat
最低0.47元/天 解锁文章
扫一扫
到【灌水乐园】发言
