filebeat采集多个日志(推送给ES或者logstash)

最新推荐文章于 2023-11-30 22:35:00 发布
最新推荐文章于 2023-11-30 22:35:00 发布
阅读量6.8k 收藏 21
点赞数 3
分类专栏: Linux 运维 自动化运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31457413/article/details/108696898
版权
运维 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
Linux
12 篇文章 2 订阅
订阅专栏
自动化运维
7 篇文章 0 订阅
订阅专栏

filebeat采集多个日志

在使用ELK做日志分析的时候,有时需要一个filebeat采集多个日志,送给ES,或者给logstash做解析。下面举例演示以下filebeat采集messages日志,secure日志,以及nginx日志送给ES或者送给logstash做解析的正确配置方法。

一、filebeat采集日志发送给ES:

1.1、filebeat.yml 配置如下:

filebeat.inputs:
- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/messages*
  fields:
    type: messages
    ip: 192.168.139.129
  fields_under_root: true

- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/secure*
  fields:
    type: secure
    ip: 192.168.139.129
  fields_under_root: true

output.elasticsearch:
  hosts: ["192.168.139.128:9200"]

二、filebeat采集日志发送给logstash(不解析):

2.1、filebeat.yml 配置如下:

filebeat.inputs:
- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/messages*
  fields:
    type: messages
    ip: 192.168.139.129
  fields_under_root: true

- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/secure*
  fields:
    type: secure
    ip: 192.168.139.129
  fields_under_root: true

output.logstash:
  hosts: ["192.168.139.128:5044"]

2.2、logstash.conf 配置如下(不解析):

input {
        beats {
                host => '0.0.0.0'
                port => 5044 
        }
}

output{
  if [type] == "secure" {
    elasticsearch {
      hosts => ["http://192.168.139.128:9200"]
      index => "secure-%{+YYYY.MM.dd}"
    }
  }
  else if [type] == "messages" {
    elasticsearch {
      hosts => ["http://192.168.139.128:9200"]
      index => "messages-%{+YYYY.MM.dd}"
    }
  }
}

三、filebeat采集日志发送给logstash(解析):

3.1、filebeat.yml 配置如下:

filebeat.inputs:
- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/messages*
  fields:
    type: messages
    ip: 192.168.139.129
  fields_under_root: true

- type: log
  tail_files: true
  scan_frequency: 5s
  backoff: 1s
  max_backoff: 10s
  paths:
      - /var/log/secure*
  fields:
    type: secure
    ip: 192.168.139.129
  fields_under_root: true

output.logstash:
  hosts: ["192.168.139.128:5044"]

3.2、logstash.conf 配置如下(解析):

input {
        beats {
                host => '0.0.0.0'
                port => 5044 
        }
}

filter {
 if [type] == "access" {
    grok {
        match => {
            "message" => '(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) - (?<user>\S+) \[(?<timestamp>[^ ]+ \+[0-9]+)\] "(?<requesttype>[A-Z]+) (?<requesturl>[^
 ]+) HTTP/\d.\d" (?<status>\d+) (?<bodysize>\d+) "(?<url>\S+)" "[^"]+"'}
#移除不需要的字段
       remove_field => ["message","@version","path"] 
    }
    date {
        match => ["requesttime", "dd/MMM/yyyy:HH:mm:ss Z"]
        target => "@timestamp"
    }
  }
}

output{
  if [type] == "secure" {
    elasticsearch {
      hosts => ["http://192.168.139.128:9200"]
      index => "secure-%{+YYYY.MM.dd}"
    }
  }
  else if [type] == "messages" {
    elasticsearch {
      hosts => ["http://192.168.139.128:9200"]
      index => "messages-%{+YYYY.MM.dd}"
    }
  }
  else if [type] == "access" {
    elasticsearch {
      hosts => ["http://192.168.139.128:9200"]
      index => "access-%{+YYYY.MM.dd}"
    }
  }
}
story-xu
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Filebeat +Kafka + Logstash + ElasticSearch +Kibana +解析日志文件实例(四)
01-07
本篇文章我们来解决第三个问题: kibana又如何用直观的显示我们希望看到的日志报表? 根据数据显示看板,大致三步, 第一步是设置数据源,根据我们之前推送给elasticsearch的日志数据,使用management标签创建索引模式; 第二步根据第一步创建的索引模式,使用Visualize 标签页用来设计可视化图形; 第三步根据第二步做好的可视化图形,使用Dashboard标签来配置我们的看板 一、下面我们开始做第一步,创建索引: 目前有两天的数据,我们创建一个能包含这两天数据的索引模式:  创建好索引模式后,点击“Discover”标签后就可以看到我们创建的“errinfo-scm”
filebeat收集日志发送给logstash,被elasticsearch收集后显示在kibana上
qq_40673345的博客
12-26 3237
一、组件介绍: 1.Logstash logstash具有实时收集日志功能,可以动态统一来自不同来源的数据,任何类型的事件都可以通过各种输入,过滤,输出来丰富和转换。是一个重量级的服务,很占用内存,所以我们使用filebeat来收集日志发送给logstash。 2.Filebeat filebeat 是用来转发和集中日志数据的轻量级服务。能监视指定的日志文件和位置。收集日志文件,并将它们转...
Docker日志自动化:ElasticSearch、Logstash
02-26
本文主要介绍了如何使用ElasticSearch、Logstash、Kibana和Logspout技术栈来部署自动化的日志系统。You,too,couldLogstash.快速念五遍这个题目!不过说实话,我其实并不确定该给这篇文章起个什么样的名字才能确保人们可以找到它。这篇文章是基于EvanHazlett’sarticleonrunningtheELKstackinDocker和ClusterHQ’sarticleondoingitwithFig/DockerComposeandFlocker这两篇文章的。本文同时也受到了Borgpaper的影响,它在讨论使用『标准栈』做事情的时候提出了我们感
ELK(ElasticSearch,Logstash,Kibana)搭建实时日志分析平台
02-26
在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段:以下内容来自:http://baidu.blog.51cto.com/71938/1676798日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。集中
基于logstash实现日志文件同步elasticsearch
01-19
引言: 之前博文介绍过了mysql/oracle与ES之间的同步机制。而logstash最初始的日志同步功能还没有介绍。本文就logstash同步日志ES做下详细解读。 1、目的: 将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:25 MProbe01.log -rw-r--r-- 1 root root 74
FILEBEAT采集多个目录下日志
weixin_48114253的博客
05-18 1600
FILEBEAT采集多个目录下日志 如题,笔者进一家新公司的时候,这家公司要求搭建一套新的企业级elk,之前也没自己搭建过,摸着石头过河,好在最后搭建好并投入使用。 刚开始想法还是比较简单,先搭起来在说,后期慢慢优化慢慢调,笔者用的是elk+filebeat+kafka架构,这方面不是很懂,到最后filebeat采集日志的时候傻眼了,刚登陆测试服务器,发现一个服务器上有几十个需要采集日志,这个要怎么采集到elk集群中呢,filebeat修改了无数次,es收集到的索引还是...
使用filebeatlogstash收集多台服务器上的日志
06-08 2992
由于我们的各个服务在多台服务器上部署,有时候遇到用户反馈的问题,技术人员需要挨个登录上去查看,并且dubbo服务之间链式调用时需要登录查看更多的服务器,增加了解决问题的时间,同时,error日志我们ye'xi'w ...
ELFK集群部署(Filebeat+ELK) 本地收集nginx日志 远程收集多个日志
最新发布
Lachewuxian的博客
11-30 539
这个命令将启动logstash并使用file_nginx.conf作为配置文件,–path.data参数指定了logstash的数据目录为/opt/test1。&符号表示在后台运行logstash。这个命令将启动logstash并使用file_nginx.conf作为配置文件,–path.data参数指定了logstash的数据目录为/opt/test2。查看NGINX的日志目录路径格式 给NGINX日志目录授权。编译安装是 /usr/local/nginx/给nginx的日志赋权权限 能够读取日志内容。
filebeat收集多个目录日志配置
weixin_47980221的博客
07-02 1558
因业务需要,我们现有得服务器上一个节点上装了多个服务,前后端都有涉及,因此就需要用 filebeat 将这些日志收集起来生成不一样得索引,配置如下(仅供参考): input: filebeat.inputs: # Each - is an input. Most options can be set at the input level, so # you can use different...
ELK日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送至Elasticsearch)
zhl52306的博客
02-23 1720
ELK企业级日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送至Elasticsearch)
Filebeat+Kafka+ELK日志采集(二)——Filebeat
qq_40774600的博客
09-20 7685
Filebeat用于日志采集,将采集日志做简单处理(多行合并)发送至Kafka、Logstash、Elasticsearch等。
二、Filebeat
Six_three的博客
03-29 8422
二、Filebeat 可以使用 Filebeat 收集各种日志,之后发送到指定的目标系统上,但是同一时间只能配置一个输出目标。 Filebeat 会对配置好的日志内容进行收集,第一次会从每个文件的开头一直读到当前文件的最后一行。 每一行称为一个事件,格式是一个包含很多字段的大字典,也就是 JSON 格式的数据。在 Filebeat中负责完成这个动作的官方称它为 Harvester (收割机)。 每个事件将来会被保存到 Elasticsearch 中 在收割机读到文件的最后,会停止工作。直到文件有新的内容
轻量级日志收集 FileBeat + ElasticSearch
lovo1的专栏
07-29 1056
轻量级日志收集 FileBeat + ElasticSearch 前言 轻量级的服务,未构建独立的spring cloud 体系,如单体spring boot 使用ELK组件进行日志收集,整体过于复杂繁琐,推荐轻量级日志收集框架:spring boot logback json 格式输出 +FileBeat + ElasticSearch +kibana(查询展示也可忽略)。 一、Filebeat是什么? Filebeat是轻量级日志收集转发插件。作为服务器上的代理安装,Filebeat监视您指定的
使用filebeat收集日志传输到redis的各种效果展示
weixin_30381793的博客
08-28 797
0 环境 Linux主机,cengtos7系统 安装有openresty软件,用来访问生成日志信息 1.15.8版本 安装有filebeat软件,用来收集openresty的日志 7.3版本 安装有redis软件,用来接收filebeat发送过来的日志,5.0.5版本 fields_under_root的值默认是false 1. filebeat.yml配置 filebeat.input...
服务器日志采集架构filebeat+logstash
JavaBigData的博客
11-05 216
每台服务器部署filebeat,然后都发送到logstash,由logstash再上报到目的地。
ELK Filebeat采集日志推送Logstash
小楼一夜听春雨,深巷明朝卖杏花
01-05 5453
Filebeat介绍 Filebeat是一个轻量级的日志采集器,将采集的数据推送LogstashES存储。 logstash是可以日志采集,但是资源消耗比较大,其主要功能是日志的过滤以及格式化的输出,也就是独立作为日志格式化输出的。使用filebeat是代替其采集功能,消耗的资源小,哪台机器需要日志采集就部署filebeatfilebeat.config.modules: filebeat里面内置了一些模块,这些模块可以对特定的软件进行采集,像nginx mysql这些 可以使用其对应的
filebate收集日志es
LiuSir的博客
01-03 5376
日志系统 场景 一般常见我们需要进行日志分析场景是:直接在日志文件中grep、awk就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 大型系统是一个分布式部署的架构,不同的服务模块部署在...
【有手就行】filebeat+es+kibana收集Nginx日志
wxd5617的博客
12-04 2861
使用filebeat收集Nginx到es,在kibana进行查询~
filebeat采集到的日志数据传入logstash后如何放入不同的Hashmap
03-24
请使用logstash的filter插件,使用grok模式匹配日志数据并将它们放入不同的字段中,然后使用output插件将数据推送到不同的Hashmap中。具体可以参考以下配置: filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" } } } output { if [loglevel] == "INFO" { elasticsearch { hosts => ["localhost:9200"] index => "info-%{+YYYY.MM.dd}" } } else if [loglevel] == "ERROR" { mongodb { uri => "mongodb://localhost:27017" database => "errors" collection => "logs" } } else { kafka { bootstrap_servers => "localhost:9092" topic_id => "debug_logs" } } } 上述配置将日志数据中的时间戳、日志级别和消息内容分别保存到timestamp、loglevel和message字段中。然后根据日志级别将数据推送到不同的目的地。比如,loglevel为INFO的数据会被推送到Elasticsearch中的info索引,loglevel为ERROR的数据会被推送到MongoDB中的errors.logs集合,其它日志数据会被推送到Kafka的debug_logs主题中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值