Windows ELK8 测试: filebeat8+kakfa+logstash8+elasticsearch8+kibana8 搭建日志系统

已于 2024-07-31 17:40:36 修改
阅读量276 收藏 3
点赞数 8
文章标签: windows
于 2024-07-31 16:59:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30540299/article/details/140826550
版权

Windows ELK8 测试: filebeat8+kakfa+logstash8+elasticsearch8+kibana8 搭建日志系统

1、程序版本
在这里插入图片描述
2、架构示意图
在这里插入图片描述

3、下载地址
filebeat 【官网】
logstash【官网】
elasticsearch【官网】
kibana【官网】
kafka【请自行百度】

4、配置elasticsearch:elasticsearch-8.14.3\config\elasticsearch.yml 并启动


 cluster.name: my-application
 network.host: 0.0.0.0
 http.port: 9200
 xpack.security.enabled: false
 xpack.security.enrollment.enabled: false
 xpack.security.http.ssl:
  enabled: false
  keystore.path: certs/http.p12
 xpack.security.transport.ssl:
  enabled: false
  verification_mode: certificate
  keystore.path: certs/transport.p12
  truststore.path: certs/transport.p12
 cluster.initial_master_nodes: ["LAPTOP-EA485IM6"]
 http.host: 0.0.0.0

启动:elasticsearch-8.14.3\bin\elasticsearch.bat

5、配置kibana:kibana-8.14.3\config\kibana.yml, 并启动

 server.port: 5601
 server.host: "localhost"
 elasticsearch.hosts: ["http://127.0.0.1:9200"]
 i18n.locale: "zh-CN"

启动:kibana-8.14.3\bin\kibana.bat

6、配置kafka 并启动
【请自行百度】

7、配置filebeat:filebeat-8.14.3\filebeat.yml, 并启动

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - C:\eclipse-workspace\demo18\logs\*
  multiline.pattern: '^[[:space:]]'
  multiline.negate: false
  multiline.match: after

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  # 可选:添加更多处理器,如添加字段、重命名等

output.kafka:
  enabled: true
  hosts: ["127.0.0.1:9092"]
  topic: "demo18"

启动:filebeat-8.14.3\filebeat.exe
注意:请修改成自己的日志文件目录

8、配置logstash:logstash-8.14.3\config\logstash.conf, 并启动

input {
  kafka {
    bootstrap_servers => "127.0.0.1:9092"
    topics => ["demo18"]
    codec => "json"  # 假设 Kafka 消息是 JSON 格式
    decorate_events => true  # 启用元数据装饰,添加 Kafka 相关信息
  }
}

filter {
  # 提取并平展嵌套的字段
  mutate {
    rename => { "[@metadata][beat]" => "beat" }
    rename => { "[@metadata][type]" => "doc_type" }
    rename => { "[@metadata][version]" => "filebeat_version" }
    rename => { "[ecs][version]" => "ecs_version" }
    rename => { "[log][offset]" => "log_offset" }
    rename => { "[log][file][path]" => "log_file_path" }
    rename => { "[input][type]" => "input_type" }
    rename => { "[host][name]" => "host_name" }
    rename => { "[agent][id]" => "agent_id" }
    rename => { "[agent][name]" => "agent_name" }
    rename => { "[agent][type]" => "agent_type" }
    rename => { "[agent][version]" => "agent_version" }
    rename => { "[agent][ephemeral_id]" => "agent_ephemeral_id" }
    rename => { "[@metadata][kafka][timestamp]" => "kafka_timestamp" }
  }

  # 提取 message 字段中的具体信息
  grok {
    match => { 
      "message" => "%{TIMESTAMP_ISO8601:log_timestamp} %{LOGLEVEL:log_level} \[%{DATA:thread}\] %{JAVACLASS:logger} \[%{JAVACLASS:class} \: %{NUMBER:line_number}\] - %{GREEDYDATA:log_message}"
    }
  }
  
  # 使用 Kafka 的时间戳作为 @timestamp,如果有提供的话
  date {
    match => [ "kafka_timestamp", "ISO8601" ]
    target => "@timestamp"
  }

  # 如果 Kafka 时间戳不可用,回退使用日志的时间戳
  date {
    match => [ "log_timestamp", "ISO8601" ]
    target => "@timestamp"
    add_field => { "used_fallback_timestamp" => "true" }
  }

  # 移除不必要的原始字段
  mutate {
    remove_field => ["@metadata"]
	remove_field => ["event"]
	remove_field => ["input"]
	remove_field => ["log"]
	remove_field => ["ecs"]
	remove_field => ["agent"]
  }
}

output {
  elasticsearch {
    hosts => ["http://127.0.0.1:9200"]
    index => "logstash-%{+YYYY.MM.dd}"
  }
  
  stdout { 
    codec => rubydebug
  }
}

启动:.\bin\logstash.bat -f config\logstash.conf

9、查看kafka是否收到日志
在这里插入图片描述

kafka Message如下:

{
  "@timestamp": "2024-07-31T08:13:08.809Z",
  "@metadata": {
    "beat": "filebeat",
    "type": "_doc",
    "version": "8.14.3"
  },
  "input": {
    "type": "log"
  },
  "ecs": {
    "version": "8.0.0"
  },
  "host": {
    "name": "laptop-ea485im6",
    "id": "a0d0c7a2-9e8c-44cd-be76-012a876dc15b",
    "ip": [
      "fe99::a4e3:77c2:edb0:e11b",
      "16.254.49.93"
    ],
    "mac": [
      "00-50-56-C0-00-01"
    ],
    "hostname": "laptop-ea485im6",
    "architecture": "x86_64",
    "os": {
      "version": "10.0",
      "family": "windows",
      "name": "Windows 11 Pro",
      "kernel": "10.0.22621.3880 (WinBuild.160101.0800)",
      "build": "22631.3880",
      "type": "windows",
      "platform": "windows"
    }
  },
  "agent": {
    "name": "LAPTOP-EA121IM8",
    "type": "filebeat",
    "version": "8.14.3",
    "ephemeral_id": "88178fcc-3214-1234-97db-8ba06fcc0786",
    "id": "ed82c66e-be8b-1996-8888-5f321dc72478"
  },
  "log": {
    "offset": 783466,
    "file": {
      "path": "eclipse-workspace\\demo18\\logs\\all.log"
    }
  },
  "message": "2024-07-31 16:13:08.685 ERROR [http-nio-8818-exec-1] c.e.d.elk.controller.ElkController [ElkController.java : 30] - null"
}

10、查看elasticsearch是否收到日志:http://localhost:5601/
在这里插入图片描述

Elasticsearch Message如下:
{
  "took": 698,
  "timed_out": false,
  "_shards": {
    "total": 1,
    "successful": 1,
    "skipped": 0,
    "failed": 0
  },
  "hits": {
    "total": {
      "value": 5040,
      "relation": "eq"
    },
    "max_score": null,
    "hits": [
      {
        "_index": "logstash-2024.07.31",
        "_id": "ZmgHCJEB8hjbTi-Efq_S",
        "_score": null,
        "_source": {
          "class": "ElkController.java",
          "ecs_version": "8.0.0",
          "agent_version": "8.14.3",
          "kafka_timestamp": 1722416593544,
          "host_name": "laptop-ea485im6",
          "log_file_path": ""eclipse-workspace\demo18\logs\all.log""",
          "doc_type": "_doc",
          "agent_name": "LAPTOP-EA885IM6",
          "agent_ephemeral_id": "88178fcc-0317-4190-97db-8ba06fcc0786",
          "input_type": "log",
          "line_number": "30",
          "log_timestamp": "2024-07-31 17:03:13.173",
          "beat": "filebeat",
          "log_level": "ERROR",
          "logger": "c.e.d.elk.controller.ElkController",
          "tags": [
            "_dateparsefailure"
          ],
          "used_fallback_timestamp": "true",
          "host": {
            "mac": [
              "11-22-56-C0-11-01"
            ],
            "ip": [
              "fe80::a4e2:88c2:edb0:e00b",
              "16.254.49.93"
            ],
            "hostname": "laptop-ea123im6",
            "id": "a0d0c7a2-9e8c-44cd-be76-012a876dc15b",
            "architecture": "x86_64",
            "os": {
              "build": "22631.3880",
              "type": "windows",
              "platform": "windows",
              "name": "Windows 11 Pro",
              "kernel": "10.0.22621.3880 (WinBuild.160101.0800)",
              "version": "10.0",
              "family": "windows"
            }
          },
          "log_message": "null",
          "log_offset": 1566877,
          "agent_id": "ed82c66e-be8b-4995-9b56-5f321dc72478",
          "filebeat_version": "8.14.3",
          "agent_type": "filebeat",
          "@version": "1",
          "thread": "http-nio-8818-exec-1",
          "@timestamp": "2024-07-31T09:03:13.173Z",
          "message": "2024-07-31 17:03:13.173 ERROR [http-nio-8818-exec-1] c.e.d.elk.controller.ElkController [ElkController.java : 30] - null"
        },
        "sort": [
          1722416593173
        ]
      }
    ]
  }
}

11、现在可以结合kibana可视化图表开始你的日志分析之旅了
先将把索引创建为视图后统计没秒告警数【示例】在这里插入图片描述

恋奴娇
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1539
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
系统通过整合SpringBoot应用的日志记录、Kafka的消息中间件、ELK(ElasticsearchLogstashKibana)组件,实现了日志的实时流处理和可视化分析。 1. **可视化展示日志**:Kibana作为ELK堆栈的一部分,提供了一个...
ELK日志集成(filebeat+kafka+logstash+elasticsearch+kibana)
gangye19970101的博客
08-12 970
1、日志文件准备 首先日志集成json格式,这个在我搭建的项目案例中的logback-spring.xml中有过配置如何将日志转成json格式,具体参考gitee项目的logback-spring.xml配置,也可参考之前写过的一篇文章。 2、安装filebeat 在应用启动的机器上安装filebeat,将日志推送到kafka集群中 ...
ELK从零搭建(filebeat+kafka+logstash+es+kibana)
guaotianxia的博客
04-13 6780
系统规模比较大,模块非常多时,或者一些重要日志需要归档时,就需要有个日志统一管理平台。本人所在公司有个需求,边缘端的日志需要统一上传管理,方便后续问题定位。方案是边缘端定时打包日志上传到fastdfs,然后把url推送到业务端,业务根据url从fastdfs上获取到日志,解压缩到指定目录,filebeat获取到日志发生变化,然后解析发送到kafka,logstash监听kafka把日志存储到es里面,然后业务系统可以在界面查询。本文主要介绍EKL搭建,对于业务系统ES操作封装后续有时间介绍。 一、fil
Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
Mo小泽的技术博客
09-08 2388
文章目录一、前言二、背景信息三、操作流程四、准备工作1、Docker 环境3、版本准备4、环境初始化5、服务安装6、服务设置五、配置 Filebeat六、配置 Logstash 管道七、查看 kafka 日志消费状态八、查看 ES 内容九、通过 Kibana 过滤日志数据1、创建 index-pattern2、查看日志十、小结 一、前言 随着时间的积累,日志数据会越来越多,当你需要查看并分析庞杂的日志数据时,可通过 Filebeat+Kafka+Logstash+Elasticsearch 采集日志数据到
ELK配置记录(filebeat+kafka+Logstash+Elasticsearch+Kibana
xz060585的博客
06-02 335
本文记录了配置elk的过程
Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版
07-09 931
Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版 1. 了解各个组件的作用 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据 Logstash是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根
windows简单搭建 filebeat + kafka + logstash + Elasticsearch + Kibana日志收集系统
qq_35517643的博客
01-03 1101
windows简单搭建 filebeat + kafka + logstash + Elasticsearch + Kibana日志收集系统介绍1、ELK介绍2、为什么要采用filebeat3、使用kafka功能快捷键elasticsearchkibanalogstash如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建...
Elasticsearch+Logstash+Kibana+Kafka+Filebeat分布式日志处理系统部署
weixin_42689717的博客
10-22 737
1、部署前的准备工作 1.1、设置固定ip因为部署集群会在配置文件配置ip #查看是否为固定ip cat /etc/sysconfig/network-scripts/ifcfg-ens33 #如果不是自己去网上查设置固定ip方法 1.2、关闭防火墙 #查看防火墙状态,以下两种方式,任选其一 systemctl status firewalld service iptables status #暂时关闭防火墙,以下两种方式,任选其一 systemctl stop firewalld servi
nginx + Filebeat +Kafka + Logstash + ElasticSearch +Kibana +解析日志文件实例
qwerty1372431588的博客
08-06 466
环境搭建1. 环境搭建2. 部署大框架2.1 filebeat采集日志文件推倒kafka指定的topic2.1.1 filebeat配置(将日志信息推到kafka)2.1.2 配置kafka信息 1. 环境搭建 ELK环境的搭建,可查看连接对应专栏内容 filebeat的环境部署 nginx部署 kafka集群的部署 2. 部署大框架 2.1 filebeat采集日志文件推倒kafka指定的topic -注: nginx和filebeat配置在了一台机器 2.1.1 filebeat配置(将日志信息推到ka
k8s-elk:Kubernetes ELK-ElasticSearchKibanaLogstash和所有装饰
05-18
Kubernetes ELK-ElasticSearchKibanaLogstash和所有装饰该存储库当前包含ElasticSearchKibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
elk+filebeat+kafka日志系统搭建.docx
07-05
本文将详细介绍如何在Linux环境下搭建ELK(ElasticsearchLogstashKibana)+Filebeat+kafka日志系统。这个系统能够有效地收集、处理、存储和分析系统日志数据,帮助监控和排查问题。 1. **Elasticsearch**:...
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
Elasticsearch+Fluentd+Kafka搭建日志系统】 在日志管理领域,传统的ELK(Elasticsearch, Logstash, Kibana)堆栈正逐渐被EFK(Elasticsearch, Fluentd, Kafka)所取代,原因是Logstash在处理大量日志时可能消耗...
ELK+FileBeat+Kafka分布式系统搭建图文教程.docx
06-06
系统FileBeat、Kafka、LogstashElasticsearchKibana五个组件组成,分别负责日志收集、缓存层、日志处理、数据存储和数据展示。 FileBeat是轻量级的日志收集器,负责从多种来源收集日志,并将其转存到Kafka...
数据结构——双向链表及其总结
2406_83392683的博客
07-23 428
1.概述链表根据是否带头、是否双向、是否循环可以分为八种,双向链表是典型的带头双向循环链表。2.双向链表的实现过程及其解析双向链表的实现依旧包含List.h,List.c,test.c2.1 链表初始化双向链表为空的情况:只有一个哨兵位。2.2插入数据。
2024.7.19 作业
qq_64434282的博客
07-19 2750
【代码】2024.7.19 作业。
【数据结构】单链表&带头双向循环链表的实现
t5y22的博客
07-24 449
链表
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

恋奴娇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值