Elastic Stack从入门到实践(一)--Elastic Stack入门(3)--Logstash入门与Elastic Stack实战

于 2022-09-15 21:47:48 发布
阅读量418 收藏
点赞数
分类专栏: Elastic Stack 文章标签: java 大数据 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32091929/article/details/126817899
版权

Logstash入门

Logstash简介

Data Shipper (不是轻量级的,比beat占用更多资源)
Logstash担任了ETL的角色,它会对数据进行提取Extract、转换Transform、对外的输出Load
在这里插入图片描述
处理流程
Input(file、redis、beats、kafka)
Filter(grok、mutate、drop、date)
Output(stdout、elasticsearch、redis、kafka)

Logstash配置简介

处理流程 – Input和Output配置
在这里插入图片描述
在这里插入图片描述
处理流程 – Filter配置
Grok:基于正则表达式提供了丰富可重用的模式(pattern),基于此可以将非结构化数据作结构化处理。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Date:将字符串类型的时间字段转换为时间戳类型,方便后续数据处理。

Mutate:针对结构化后的字段进行增加、修改、删除、替换等字段相关处理。

Logstash 演示

首先下载Logstash并解压
https://www.elastic.co/cn/downloads/past-releases/logstash-6-8-23
在这里插入图片描述
在这里插入图片描述
创建文件nginx_logstash.conf

input {
  stdin { }
}

filter {
  grok {
    match => {
      "message" => '%{IPORHOST:remote_ip} - %{DATA:user_name} \[%{HTTPDATE:time}\] "%{WORD:request_action} %{DATA:request} HTTP/%{NUMBER:http_version}" %{NUMBER:response} %{NUMBER:bytes} "%{DATA:referrer}" "%{DATA:agent}"'
    }
  }

  date {
    match => [ "time", "dd/MMM/YYYY:HH:mm:ss Z" ]
    locale => en
  }

  geoip {
    source => "remote_ip"
    target => "geoip"
  }

  useragent {
    source => "agent"
    target => "user_agent"
  }
}

output {
stdout {
 codec => rubydebug 
 }
}

打开cmd窗口,切换目录到D:\elastic\logstash-6.8.23\bin然后执行命令logstash -f nginx_logstash.conf回车,将nginx.log的两条日志内容,粘贴到启动的窗口回车。
复制内容为

93.180.71.3 - - [17/May/2015:08:05:32 +0000] "GET /downloads/product_1 HTTP/1.1" 304 0 "-" "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"
93.180.71.3 - - [17/May/2015:08:05:23 +0000] "GET /downloads/product_1 HTTP/1.1" 304 0 "-" "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.21)"

执行结果为
在这里插入图片描述

实战:分析Elasticsearch 查询语句

实战目标和方案介绍

目标
收集Elasticsearch集群的查询语句
分析查询语句的常用语句、响应时长等

方案
应用 Packetbeat + Logstash 完成数据收集工作
使用 Kibana + Elasticsearch 完成数据分析工作
在这里插入图片描述
Production Cluster
– Elasticsearch http://127.0.0.1:9200
– Kibana http://127.0.0.1:5601
Monitoring Cluster
– Elasticsearch http://127.0.0.1:8200
– Kibana http://127.0.0.1:8601

Production 与 Monitoring 不能是一个集群,否则会进入抓包死循环。

方案之 logstash
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
方案之packetbeat
在这里插入图片描述

实战之数据收集演示

新建一个虚拟机(建议虚拟机内存设置为8G)
在这里插入图片描述
把下载好的安装包通过Xftp上传到/usr/local目录下
在这里插入图片描述
然后用Xshell连接,并解压上传的安装包
在这里插入图片描述
为了方便,使用chmod -R 777 ./xxxxx 命令四个应用目录的访问权限。
在这里插入图片描述
给系统添加两个用户es1和es2,打开两个Xshell窗口,都用es1用户登录。
一个窗口中切换目录到elasticsearch-6.8.23目录,执行bin/elasticsearch启动es
在这里插入图片描述
另个一个窗口切换目录到kibana-6.8.23-linux-x86_64目录,然后执行bin/kibana -e http://127.0.0.1:9200 -p 5601 启动kibana
在这里插入图片描述
同样,再打开两个Xshell窗口,都登录es2用户,一个窗口中切换目录到elasticsearch-6.8.23目录,执行bin/elasticsearch -Ecluster.name=sniff_search -Ehttp.port=8200 -Epath.data=sniff_search启动es
在这里插入图片描述
另个一个窗口切换目录到kibana-6.8.23-linux-x86_64目录,然后执行bin/kibana -e http://127.0.0.1:8200 -p 8601
启动kibana
在这里插入图片描述
再打开一个Xshell窗口,登录es1用户,切换目录到logstash-6.8.23创建一个文件为sniff_search.conf内容为

input {
    beats {
        port => 5044
    }
}
filter {
    if "search" in [request]{
        grok {
            match => { "request" => ".*\n\{(?<query_body>.*)"}
        }
        grok {
            match => { "path" => "\/(?<index>.*)\/_search"}
        }
     if [index] {
      } else {
            mutate {
              add_field  => { "index" => "All" }
        }
      }

      mutate {
              update  => { "query_body" => "{%{query_body}"}}
      }

  #    mutate {
  #        remove_field => [ "[http][response][body]" ]
  #    }
}

output {
  #stdout{codec=>rubydebug}

  if "search" in [request]{
        elasticsearch {
        hosts => "127.0.0.1:8200"
        }
   }
}

然后执行bin/logstash -f sniff_search.conf 启动logstash
在这里插入图片描述

再打开一个Xshell窗口,登录es1用户,切换目录到packetbeat-6.8.23-linux-x86_64创建一个文件为sniff_search.yml内容为

#################### Packetbeat Configuration Example #########################

# This file is an example configuration file highlighting only the most common
# options. The packetbeat.full.yml file from the same directory contains all the
# supported options with more comments. You can use it as a reference.
#
# You can find the full configuration reference here:
# https://www.elastic.co/guide/en/beats/packetbeat/index.html

#============================== Network device ================================

# Select the network interface to sniff the data. On Linux, you can use the
# "any" keyword to sniff on all connected interfaces.
packetbeat.interfaces.device: any

packetbeat.protocols.http:
  # Configure the ports where to listen for HTTP traffic. You can disable
  # the HTTP protocol by commenting out the list of ports.
  ports: [9200]
  send_request: true
  include_body_for: ["application/json", "x-www-form-urlencoded"]


#================================ Outputs =====================================

# Configure what outputs to use when sending the data collected by the beat.
# Multiple outputs may be used.

#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
  #  hosts: ["localhost:9200"]

  # Optional protocol and basic auth credentials.
  #protocol: "https"
  #username: "elastic"
  #password: "changeme"

#output.console:
   # pretty: true

output.logstash:
    hosts: ["127.0.0.1:5044"]


#================================ Logging =====================================

# Sets log level. The default log level is info.
# Available log levels are: critical, error, warning, info, debug
#logging.level: debug

# At debug level, you can selectively enable logging only for some components.
# To enable all selectors use ["*"]. Examples of other selectors are "beat",
# "publish", "service".
#logging.selectors: ["*"]

然后执行sudo ./packetbeat -e -c sniff_search.yml -strict.perms=false 启动packetbeat
在这里插入图片描述
在虚拟机中打开浏览器,访问http://127.0.0.1:8601访问kibana,试着执行语句GET _cat/indices发现已经有logstash的索引了
在这里插入图片描述
可以查询索引中信息
在这里插入图片描述

实战之Kibana使用演示

首先把logstash索引加到index patterns里,如图所示
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后就可以用Discover查看数据了
在这里插入图片描述
关于Kibana的详细使用,后面再学。

其乐无涯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticStack入门实践
争当做一个有趣的人
02-17 718
1.1 课程导学 是什么? 一个大数据分析利器, 相对于hadoop,有下面几个优点 1. 使用门槛低,开发周期短,上线快(get things done) 2. 性能好,查询快,实时展现成果, 区别于传统 T+1 的模式 3. 扩容方便 从GB 到TB PB solr也是和es的一款大数据分析工具, 不过热度木有es的高 提供了完备的数据分析工具的集合 ​ elasticsearch – 数据存储,查询分析 ​ logstash&am
Elastic Stack 实战手册》 介绍
Elastic 中国社区官方博客
08-12 2046
本书由数十位 Elasticsearch 技术圈的优秀开发者共创而成,得到了许多资深业界精英,社区技术大咖,Elastic Stack 相关书籍作者的支持,凝聚了众多创作人的实践经验和创作能力。书籍涵盖了一位 Elastic Stack 开发者所需的必要知识,尤其对于刚入门的开发者,从上篇基础的 Elastic Stack 产品能力到下篇的应用实践,提供了系统性学习参考的上手指南。我作为该书的主编,强烈推荐想学 Elastic Stack 技术的开发者,下载这本书作为参考。......
Elastic Stack入门实践(一)--Elastic Stack入门(1)--Elasticsearch与Kibana入门
最新发布
qq_32091929的博客
09-15 270
也可以访问http://localhost:9200/_cat/nodes?v或http://localhost:9200/_cluster/stats看看集群情况。浏览器访问http://localhost:5601/后点击Dev Tools然后在页面点击Get to work。server.host/server.port 访问 kibana 用的地址和端口。浏览器访问 http://localhost:9200/ 表示运行成功。浏览器访问http://localhost:5601/
ELK/Elastic Stack 使用
云满笔记
03-30 2432
这里填写标题1. elk 使用1.1. Elasticsearch1.2. Kibana1.3. Beats1.4. Logstash 1. elk 使用 老 ELK: Elasticsearch, Logstash, Kibana 新 elastic stack: Elasticsearch, Logstash, Kibana, Beats 1.1. Elasticsearch Elasticsearch 8.0 的 API 换了,详见: 这里 1.2. Kibana 1.3. Beats 1.4. Lo
Elastic Stack 7.2.0 入门实战
Never-Say-Never
12-25 492
0.开篇 0.1.环境 本篇所有的案例使用的环境基于以下版本: Linux操作系统:CentOS-7-x86_64 jdk:jdk-8u211-linux-x64.tar.gz Elastic Stack:7.2.0 1.认识Elastic Stack 1.1.ELK & ELK Stack & Elastic Stack 在当前互联网时代,每天会有超大数量的日志产生,在很多情况下,我们需要收集这些杂乱无章的日志进行处理并保存起来,最终以可视化的方式展示出来,让它们变成有价值的数据,这个
ElasticStack(ELK)从入门实践.pdf
06-11
这涉及到拉取ElasticStack镜像,制作容器,启动ElasticSearchLogstash、Beats和Kibana的过程。通过实践,用户可以学习到如何将ELK Stack应用于具体的业务场景,解决实际问题。 以上内容构成了Elastic Stack入门...
Elastic Stack入门实践 project
04-21
Elastic Stack入门实践项目》是一份深入学习Elastic Stack的宝贵资源,它包含了丰富的实践案例和代码示例,旨在帮助初学者快速掌握这一强大的数据搜索、分析和可视化平台。Elastic Stack,通常由Elasticsearch...
go-elk-stack:Elasticsearch-Logstash-Kibana-Golang
05-18
:french_fries: 这个简单的项目演示了Elasticsearch-Logstash-Kibina(ELK)与Golang的集成 去栈 没有Web框架,使用本机运行 DEP的包管理brew install dep 杜松子酒进行实时重新加载, go get github....
elastic-stack:以简单的方式学习 ElasticsearchLogstash、Kibana 和 Beats
05-31
这个压缩包“elastic-stack-master”可能包含了一系列教程、代码示例或者配置文件,有助于读者亲手实践上述知识点,从而更好地理解和掌握Elastic Stack的每一个组成部分。通过实际操作,你可以体验到从数据采集、...
spring-boot-logging:一个用于记录Spring Boot应用程序的HTTP请求响应以及与Elastic Stack集成的库
01-29
使用Spring Boot和Elastic Stack进行日志记录 主要目的 创建该库是为了记录传入的HTTP请求和传出的HTTP响应,并将这些日志自动发送到Logstash。 文章 详细说明可以在这里找到: 产品特点 简而言之,让我们首先简要...
Elastic Stack入门实践
weixin_30292745的博客
06-27 107
<div>课程地址 http://icourse8.com/Elastic_Stack.html </div> 章节信息 第1章 课程概述 第2章 Elasticsearch 篇之 入门 第3章 Elasticsearch 篇之倒排索引与分词 第4章 Elasticsearch 篇之Mapping 设置 第5章 El...
ELASTIC入门实践 - 全套视频资料
qq_41806546的博客
04-22 136
访问此地址: https://mp.weixin.qq.com/s?__biz=MzI5MDM1NzY4OA==&mid=2247484012&idx=3&sn=2bc01aafc3642ecb17304827efa494f1&chksm=ec206abbdb57e3ad438c32eeed174f75fa27faa076342b15fe5387d9b10a8d10...
ElasticStack入门实践》学习笔记3
Hiwes的博客
11-28 570
三、ElasticSearch的Mapping设置     1、Mapping简介:         1)类似于数据库中的表结构,主要作用如下:             A、定义Index下的Field Name;             B、定义Field的类型,如:数值型、字符串型、布尔型等;             C、定义倒排索引的相关配置,如:是否有索引,记录position等...
ElasticStack入门实践》学习笔记6
Hiwes的博客
12-03 715
六、ElasticSearch中Search的运行机制     Search执行的时候,实际分为两个步骤执行:         ---&gt; Query阶段:搜索         ---&gt; Fetch阶段:获取     1、Query—Then—Fetch:         假设集群my_cluster中存在三个节点node1、node2、node3,其中master为node1...
Logstash:为 Logstash 日志启动索引生命周期管理
Elastic 中国社区官方博客
12-07 6747
Elastic Stack 中,Logstash 作为一种 ETL 的摄入工具,它为大量摄入数据提供可能。Elastic Stack 提供索引生命周期管理可以帮我们管理被摄入的数据到不同的冷热节点中,并删除不需要保存的索引。在今天的文章中,我们将讲述如何为 Logstash 配置索引生命周期管理。在开始之前,建议你阅读如下的文档: LogstashLogstash 入门教程 (一) LogstashLogstash 入门教程 (二) Elasticsearch:Index 生命周期管理入门 .
Logback + Logstash + Elasticsearch + Kibana 日志检索平台填坑记
qq_36391986的博客
08-09 5972
公司需要做日志集中管理和检索,所以采用了Logback + ELK方案。由于是第一次接触ELK,遇到不少坑,整整花了一天才彻底搞通。本文elk的版本是6.3.2。 根据其它网上文章,一一安装和配置各组件。 1. 下载并启动elasticsearch,es不用修改配置,直接运行即可:./bin/elasticsearch。 运行成功后,在浏览器打开网址:http://127.0.0.1:920...
logstash导入数据到elasticsearch时,报找到超过一个mapping type的解决办法
momoudong的博客
08-27 6046
logstash导入数据到elasticsearch时,报Rejecting mapping update to [trainuser] as the final mapping would have more than 1 type: [doc, impTrainUser]的解决办法 trainuser 是索引名,impTrainUser是自定义的mapping名。 logstash版本6....
logstash修改日志输出的索引默认模版中的分片和备份
qq_25933841的博客
05-22 2456
在kibana执行 GET /_template/ 获取es中所有的模版信息. 然后找到了名为logstash的模版如下: { "order": 0, "version": 50001, "template": "logstash-*", "settings": { "index": { "refresh_interval": "5s" } }, "mappings": { "_default_": { "_al...
ELK系列——7.0.0 logstash踩坑记(五)
qq_40384985的博客
05-07 1342
前言:玩 logstash 7.0.0 的时候又碰到了bug... 修改一:es7.0版本去掉了type的概念,所以当我在用logstash往es导入数据的时候,用这个模板文件做映射就会报错。 { "order" : 0, "index_patterns" : [ "gps-*" ], "settings" : { "index" : {...
ElasticStack入门ElasticsearchLogstash、Kibana与Beats解析
"ElasticStack学习之Elasticsearch入门" 在深入了解ElasticStack之前,首先要明白它是由哪些组件构成的。ElasticStack,以前被称为ELK Stack,是一个集合了多个工具的解决方案,主要用于日志管理和数据分析。它主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值