ELKF搭建及使用全过程(7.8版本)

最新推荐文章于 2024-06-07 18:09:17 发布
最新推荐文章于 2024-06-07 18:09:17 发布
阅读量4.7k 收藏 4
点赞数 3
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29611427/article/details/112534897
版权

ELKF搭建及使用全过程(7.8版本)

前言

讲真的现在互联网的技术更新换代实在是太快,ELK还没出几天,就又出了ELKF。好不容易找到几个6.x的版本教程,然而7.x的版本配置又和6.x天差地别。所以最好的办法真的是去看官方文档本文仅适用于以7.8版本!

ELKF框架

在这里插入图片描述
先说一下个人对ELKF的理解,只是看搭建和使用的可以跳过这个环节。

ELKF成员介绍

E:简称是Es(elasticsearch),搜索引擎,至于为什么要用ES。第一、他能存数据,第二、对于日志这些大量的数据,搜索引擎能快速定位到记录。要详细了解ES的话,网上一搜大把资料,也可以看看我历史博文讲ES原理的。
L:全称是LogStash,用于收集日志以及处理日志后丢给ES存储和检索。
K:全称是Kibana,可以理解成数据展示系统即可(因为我现在还没好好研究这玩意。。)
F:全称是FileBeat,对ELK中LogStash的中收集日志功能优化后的结果输出,LogStash直接来收集日志的话,是通过TCP连接,存在掉包的可能。并且logStash内存开销也比较大。

运行流程

例如有A,B,C三个系统和他们的日志文件。
1、首先FileBeat会读取日志文件,并且把获取到的日志发送给LogStash;
2、LogStash获取到FileBeat发来的增量日志后,进行各种匹配过滤取,存入ES;
3、Kibana从Es中查询数据进行展示;

---------------------------------------------------------------------------------------

FileBeat搭建

FileBeat的配置是最简单的,解压后,编辑 filebeat.yml文件。(注:# 标记的是重要且需要修改自定义的地方)

filebeat:
  inputs:
  -
      paths:
        - C:/Users/DELL/Desktop/ELK7.2/logs/*.log    # 日志文件所在实际路径
      fields:
         service: project_name
output:
   logstash:
    hosts: ["127.0.0.1:4567"]        # LogStash的地址

保存后命令启动

./filebeat.exe -e -c filebeat.yml

LogStash搭建

解压后在Bin文件夹新建 logstash.conf,输入以下配置

input {
  beats {
    # 占用端口
    port => 4567    
  }
}

filter {

  #定义数据的格式
  grok {
    match => { "message" => "%{DATA:timestamp}\|%{IP:serverIp}\|%{IP:clientIp}\|%{DATA:logSource}\|%{DATA:userId}\|%{DATA:reqUrl}\|%{DATA:reqUri}\|%{DATA:refer}\|%{DATA:device}\|%{DATA:textDuring}\|%{DATA:duringTime:int}\|\|"}
  }

 #定义时间戳的格式
  date {
    match => [ "timestamp", "yyyy-MM-dd-HH:mm:ss" ]
    locale => "cn"
  }

  #定义客户端的IP是哪个字段(上面定义的数据格式)
  geoip {
    source => "clientIp"
  }
}

output {
   # 输出到控制台,方便测试,线上环境必须删掉!!
   stdout { codec => rubydebug }
   elasticsearch {
   	 # ES地址
     hosts => "http://127.0.0.1:9200"
     # ES索引
     index => "log_test"
   }
}

启动命令:

./logstash -f logstash.conf

Elasticsearch搭建

在conf/elasticsearch.yml加入以下配置,这个文件是最重要的,问题也是最多的,其他可能还会出一些问题,网上搜一下即可解决。

http.port: 9200
network.host: 0.0.0.0     # 这个改为服务器IP,本地测试的话不用管
node.name: node-1
discovery.type: single-node    # 集群的话,用另外一个配置,二者取一即可
http.cors.enabled: true
http.cors.allow-origin: '*'     # 这个一定要是单引号!!!这句话看完记得删掉
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

ES启动这里有个基本都会踩的通坑,就是ROOT权限不能启动,需要新建一个用户,授予权限即可;
启动命令:进入bin目录,

elasticsearch   #后台启动命令 elasticsearch -d

Kibana搭建

比较简单,参考 https://blog.csdn.net/xiaozm1223/article/details/89475003
备注:kibana是可视化界面,所以做了中文化的处理,修改conf/kibana.yml文件,最下面一个配置改为

i18n.locale: "zh-CN"

测试

引入测试包

<dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>

测试配置 log4j.properties

log4j.rootLogger=INFO,R,stdout  

log4j.appender.stdout=org.apache.log4j.ConsoleAppender  
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout  
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n  

log4j.appender.R=org.apache.log4j.DailyRollingFileAppender  
# 输出日志的路径,跟FileBeat获取日志的路径匹配即可
log4j.appender.R.File=C:\\Users\\DELL\\Desktop\\ELK7.2\\logs\\test.log  
log4j.appender.R.layout=org.apache.log4j.PatternLayout  
log4j.appender.R.layout.ConversionPattern=%d-[TS] %p %t %c - %m%n  

log4j.logger.java.sql.Connection=INFO  
log4j.logger.java.sql.Statement=INFO  
log4j.logger.java.sql.PreparedStatement=INFO  
log4j.logger.java.sql.ResultSet=INFO

编写测试类:

public class Test {

    private static final Logger logger = Logger.getLogger(Test.class);

    public static void main(String[] args) throws Exception {
        for (int i = 0; i < 20; i++) {
            logger.error("hello world ,hello YHR"+i);
        }
    }
}

进ES看数据或者kibana看数据都可。

我是一个有理想的程序员
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
大道至简之ELKF日志分析搭建
PHP大佬--明哥哥的博客
03-30 272
ELK是Elasticsearch、Logstash、Kibana的简称。 Logstash:数据抽取 Elasticsearch:搜索分析 Kibana:数据展现
Docker下部署ELK(7.8.0版本
weixin_45020617的博客
05-23 626
elastic 拉取镜像: docker pull docker.elastic.co/elasticsearch/elasticsearch:7.8.0 启动docker: docker run --name elasticsearch --net elastic -p 9200:9200 -p 9300:9300 -it docker.elastic.co/elasticsearch/elasticsearch:7.8.0 启动报错: max virtual memory a
ELKF搭建使用
qq_33301310的博客
11-24 447
###1.准备工作 jdk1.8 https://www.oracle.com/technetwork/java/javase/downloads/index.html Elasticsearch 7.4.2 https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-linux-x86_64.tar.gz elasticsearch-head https://github.com/mobz/elasticsearch-h
Docker搭建ELKF日志分析系统
weixin_73059729的博客
06-07 1598
在kibana中,默认通过时间来排序。在Management中找到Indexpatterns,单击进去可以看到类似以下图片中的界面,填写www-bdqn-cn-pro-access-*从上面的输入配置文件中可以看出,这里来采用的第一种图形,在Filebeat读取数据后,向logstash发送数据前添加www-bdqn-cn-pro-access的tag。在filter段内的第一行是判断语句,如果www-bdqn-cn-pro-access自定义字符在tags内,则使用grok段内的语句对日志进行处理。
Linux 搭建ELKF(Elasticsearch+Logstash+ Kibana+ Filebeat)
Mr_Hello_的博客
06-21 183
Linux 搭建ELKF(Elasticsearch+Logstash+ Kibana+ Filebeat)
Docker方式搭建ELKF集群--集成kafka和redis抽取日志
qq_39169917的博客
07-06 724
上面 必须注意: 如果要生效 /etc/sysctl.conf 请务必确保 net.ipv4.ip_forward=1 ,默认他是0,如果是0。1、启动相关应用 比如:Mysql、Nginx、Redis,具体如果安装启动,我这里就不多说,我主要讲解一下已经启动的应用。内核参数文件 /etc/sysctl.conf 里面增加一行 vm.max_map_count=262144。/kibana/config/kibana.yml 文件。192.168.88.133 上创建目录。
IBM SVC 7.8版本兼容性列表
02-14
总的来说,IBM SVC 7.8版本的兼容性列表是一个详尽的指南,帮助用户确认他们的硬件和软件环境是否适合与IBM SVC 7.8一起使用。通过遵循这个列表,用户可以避免因不兼容性导致的潜在问题,确保整个存储环境的稳定性和...
Sonar7.8版本mybatis插件
最新发布
06-18
Sonar7.8版本mybatis插件
ElasticSearch-Windows安装包7.8版本
10-17
本文将详细介绍如何在Windows上安装Elasticsearch 7.8版本。 首先,我们需要了解Elasticsearch 7.8版本的主要特性。这个版本提升了性能,优化了内存使用,增强了安全性和稳定性,并且提供了新的API和改进的查询功能...
使用emu8086及proteus7.8中断实现学号写入相应的存储地址
06-08
这个过程涉及到以下几个关键知识点: 1. **中断系统**:8086有256个中断向量,每个中断向量包含两个32位的地址,一个是中断处理程序的入口地址,另一个是中断处理程序的堆栈段寄存器值。中断分为硬件中断和软件中断...
elk安装环境搭建(集群)
08-24
elk安装环境搭建(集群)
oracle 19c 集群搭建(esxi 7.0 下centos7.8)
04-22
Oracle 19c 集群搭建(ESXi 7.0 下 CentOS 7.8) 在本文中,我们将详细介绍如何在 ESXi 7.0 下的 CentOS 7.8 环境中搭建 Oracle 19c 集群。该集群将使用两台虚拟机,分别命名为 db1 和 db2,我们将指导您完成虚拟机...
ELKF安装使用教程。elasticsearch+logstash+kibana+filebeta。
weixin_33743661的博客
10-23 105
近期因工作需要学习了ELKF的安装和使用。网络上的中文我看大部分也比较老版本了,我想写一下,希望能给他人带来一点帮助。小弟不才,有错位之处,还请大家原谅指点。 ELKF就是:elasticsearch+logstash+kibana+filebeta。 这是一个什么东西呢? 这是一个通用的日志监控工具。可以把他当做一个数据平台,可以把他作为一个异常监控平台。可以有很多的报表,折线等显示系统当...
ELK的搭建以及部署(Linux的版本
lmd770013209的博客
04-12 757
Logstash 支持各种输入选择,例如:beats、file、http、jdbc、redis、kafka…,其中在文件采集时,官方建议使用beats(因为logstash是基于java开发的,需要在jvm跑。当进行采集时会对内存、cpu、io等资源消耗比较高,而beats是基于go语言开发,性能接近c语言,是专为并发而生的).下载地址:https://artifacts.elastic.co/downloads/logstash/logstash-7.10.2-linux-x86_64.tar.gz。
ELK v7.8集群部署
weixin_45203131的博客
09-07 520
ElasticSearch基本概念 Node:运行单个ES实例的服务器. Cluster:一个或多个节点构成集群 Index:索引是多个文档的集合 Document:Index里每条记录称为Document,若干文档构建一个Index Type:一个Index可以定义一种或多种类型,将Document逻辑分组 Field:ES存储的最小单元 Shards:ES将Index分为若干份,每一份就是一个分片 Replicas:Index的一份或多份副本。 环境配置 组件名称 ip 内存 c
ELKF日志管理平台搭建教程(一)-轻量级的日志传输工具(Filebeat)
专注基础架构领域
05-30 1930
由于工作原因,需要搭建一套自己的ELKF日志管理平台,收集系统日志并分析,之Filebeat 已经完全替代了 Logstash-Forwarder 成为新一代的日志采集器,同时鉴于它轻量、安全等特点,越来越多人开始使用它。 本专栏是参照开源搜索与分析Elastic官网文档作为主要依据,系统应用示意图 上图出自于SpringCloud实战专栏,这两个专栏共同组成了上面的系统应用示意图...
ELKF——从零开始搭建部署ELKF日志系统
qq_33588972的博客
12-15 1770
elk日志系统,收集springboot日志
centos 传统方式部署和使用elk 7.8.0(非容器方式)
festone000的专栏
03-09 3726
CentOS rpm传统方式安装和部署、使用elk。 CentOS7 + elasticsearch + logstash + kibana
Elasticsearch 7.8对应springboot版本
03-18
Elasticsearch 7.8对应的Spring Boot版本是2.3.1。Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架,它简化了Spring应用程序的配置和部署过程。与Elasticsearch集成时,Spring Boot提供了一些方便的功能和工具,使得与Elasticsearch的交互更加简单和高效。 在Spring Boot中使用Elasticsearch,你可以通过添加相应的依赖来实现。对于Elasticsearch 7.8,你可以在`pom.xml`文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-elasticsearch</artifactId> </dependency> ``` 这个依赖将会引入Spring Data Elasticsearch模块,它提供了与Elasticsearch的集成支持。你可以使用Spring Data Elasticsearch提供的注解和API来进行索引、搜索和操作数据。 另外,为了与Elasticsearch 7.8版本兼容,你还需要在`application.properties`或`application.yml`文件中配置Elasticsearch的连接信息,例如: ```properties spring.data.elasticsearch.cluster-nodes=localhost:9200 spring.data.elasticsearch.cluster-name=my-cluster ``` 这样配置后,Spring Boot应用程序就可以连接到Elasticsearch 7.8并进行数据操作了。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是一个有理想的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值