filebeat日志收集至ES,索引生命周期为一个月

最新推荐文章于 2024-05-02 19:28:17 发布
最新推荐文章于 2024-05-02 19:28:17 发布
阅读量1.6k 收藏 1
点赞数 1
文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33476283/article/details/119816972
版权

/1、ES创建创建删除索引策略
PUT _ilm/policy/log_delete_policy
{
  "policy": {
    "phases": {
      "delete": {
        "min_age": "30d",
        "actions": {
          "delete": {}
        }
      }
    }
  }
}

2、创建索引模板关联删除
PUT _template/logs_template
{
  "index_patterns": ["hadoop-hdfs-log-*","cloudera-scm-*","hadoop-yarn-log-*","hbase-log-*","hive-log-*","nginx-log-*","spark-log-*","tomcat-log-*","zookeeper-log-*",
                     "hadoop-mapreduce-log-*","flume-ng-log-*","sorl-log-*","presto-log-*","yarn-log-*","elasticsearch-log-*","kafka-log-*","flink-log-*"],   
  "settings":{   
    "number_of_shards": 2,
    "number_of_replicas": 1,
    "index.lifecycle.name": "log_delete_policy"
  },
  "mappings":{  
      "properties":{
        "message":{
          "type": "text",
          "fields": {
             "keyword": {
                "type": "keyword",
                "ignore_above": 256
             }
          }
        }
      }
  }
}

3、filebeat配置采集任务
filebeat目录/opt/applications/filebeat-7.13.2-liunx-x86_64
1>配置filebeat配置文件/opt/applications/filebeat-7.13.2-liunx-x86_64/filebeat.yml
试例:
filebeat.inputs   //输入
  - type: log
    paths:
     - /opt/logs/hadoop-hdfs/*      //filebeat暂不支持递归目录
    fields
     source: hadoop-hdfs
  ...
  
setup.template.name: "logs_template"   //数据入ES创建索引的索引模板
setup.template.pattern: "%{fields.source}-log-*"   //匹配索引模板的索引名称
  
output.elasticsearch  //输出
    username: XXX   //连接ES的用户名
    password: "XXXX"   //连接ES的密码
    hosts: ["X.X.X.X:9200"]  //连接ES的主机列表
    indices:
       - index: "hadoop-hdfs-log-%{+yyyy.MM.dd}"   //日志输出的索引名称以天为量度
         when.equals
           fields:
              source: "hadoop-hdfs"       //日志来源和inputs的source相匹配

       - index ...

2>配置完filebeat的配置文件之后启动filebeat
/opt/applications/filebeat-7.13.2-liunx-x86_64/filebeat -e -c filebeat.yml > filebeat.log 2>&1 &
需要把配置好的filebeat-7.13.2-liunx-x86_64发送到每台服务器,且每台都需要单独启动
 

大数据_小白
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这么简单的ES索引生命周期管理,不了解一下吗~
Monica2333的博客
04-19 1379
对于日志或指标(metric)类时序性强的ES索引,因为数据量大,并且写入和查询大多都是近期时间内的数据。我们可以采用hot-warm-cold架构将索引数据切分成hot/warm/cold的索引。hot索引负责最新数据的读写,可使用内存存储;warm索引负责较旧数据的读取,可使用内存或SSD存储;cold索引很少被读取,可使用大容量磁盘存储。随着时间的推移,数据不断从hot索引->war...
elasticsearch索引 6T 20亿 数据搜索实战与优化深度思考
Angus
01-20 5405
我负责公司的检索平台的开发兼运维工作。 我们的场景是对互联网上的设备数据进行检索。数据量大概有20亿,对应的存储量大概有6T(不带副本的情况下)。单条数据会有上百个字段,用来刻画网络设备画像。 我们有比较特殊的需求: 我们有频繁更新的需求,每天几千万,甚至上亿。 我们并不能做根据时间的滚动索引。因为后进的数据需要把前边的数据做覆盖。所以就没有办法做索引生命周期管理。 我们有频繁的聚类搜索的需求。 我们想要基于这些数据,做到普通检索1秒以内,聚类检索3秒以内。 写这篇文章的...
干货 | Elasticsearch索引生命周期管理探索
热门推荐
铭毅天下Elasticsearch
08-05 1万+
引言 Elasticsearch上海Meetup中ebay工程师提了索引生命周期管理的概念。的确,在Demo级别的验证阶段我们数据量比较小,不太需要关注索引生命周期,一个或几个索引基本就能满足需要。所以,这也会产生一种假象,认为:“Elasticsearch不就是增删改查,毛毛雨啦”的荒诞的假象。 但是,在实战开发的生产环境中,索引的动态模板设置、索引Mapping设置、索引分片数/副本数设...
图文详解:ElasticSearch实战,让你Filebeat快速入门和使用
最新发布
2401_84002594的博客
05-02 1025
有时候,我们想采集json文件并直接将json文件的数据按照格式写入到ES对应的索引库中,我们也可以通过filebeat去实现。1.在filebeat的目录下创建一个的yml文件。配置文件:type: logfields:paths:2.在kibana的开发工具页面中执行如下语句:既已说到spring cloud alibaba,那对于整个微服务架构,如果想要进一步地向上提升自己,到底应该掌握哪些核心技能呢?
es 深入了解和索引生命周期管理
会跳的蚂蚁
04-15 1098
解释:translog的作用:在执行commit之前,所有的而数据都是停留在buffer或OS cache之中,无论buffer或OS cache都是内存,一旦这台机器死了,内存的数据就会丢失,所以需要将数据对应的操作写入一个专门的日志问价之中,一旦机器出现宕机,再次重启的时候,es会主动的读取translog之中的日志文件的数据,恢复到内存buffer和OS cache之中。:索引(简单理解就是一个数据库),包含一堆有相似结构的文档数据,比如可以有一个客户索引,商品分类索引,订单索引索引有一个名称。
【ELK】使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4343
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了FilebeatElasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
ES索引清理(按保存时间索引前缀)以及shell eval使用说明
soul_mate1314的博客
12-23 1532
ES索引清理(按保存时间索引前缀)以及shell eval使用说明
ElasticSearch索引、查询和写入性能调优
jsugs的博客
12-02 3009
注: 部分概念介绍来源于网络 一、Elasticsearch部署建议 1.选择合理的硬件配置 尽可能使用SSD Elasticsearch最大的瓶颈往往是磁盘读写性能,尤其是随机读取性能。使用SSD(PCI-E接口SSD卡/SATA接口SSD盘)通常比机械硬盘(SATA盘/SAS盘)查询速度快5~10倍,写入性能提升不明显。 对于文档检索类查询性能要求较高的场景,建议考虑SSD作为存储,同时按照1:10的比例配置内存和硬盘。对于日志分析类查询并发要求较低的场景,可以考虑采用机械硬盘作为存储,同时按照1:5
elasticsearch定时删除过期索引index
junxuezheng的博客
09-03 2728
elasticsearch定时清理过期索引index一、定时函数二、获取过期时间三、获取esClient四、获取全部索引五、判定索引是否过期六、删除过期索引七、demo代码 一、定时函数 每次更新完配置文件后,先清除定时函数。然后设置,每过5s执行一次清理函数 // 清除定时器 clearInterval(this.timeObj); var config = this.getConfig(); var keep_time = config.k
Elasticsearch索引自动化管理
YiYing's sharing
06-04 497
背景 前端性能监控的日志之前为单一索引,随着日志内容的不断增多,索引文件变得越来越多大(官方建议单个索引文件不要超过20G)。 在此种方案下只能定时通过delete query的方式删除xxx天之前的数据,此种方式删除数据时异常缓慢,而且磁盘空间不会立即释放。 亟需采取新的索引方案解决该问题,比如按天生成索引,定时删除一个月之前的索引文件,直接删除索引文件的效率会高不少。 索引创建 索引模板 索引模板是为了方便按天去生成相同配置的索引文件,样例如下: # 创建索引模板 PUT _template/jz-fe
es 在数据量很大的情况下(数十亿级别)如何提高查询效率?
tianyaleixiaowu的专栏
06-20 7024
转载自:https://zhuanlan.zhihu.com/p/60458049 面试题 es 在数据量很大的情况下(数十亿级别)如何提高查询效率啊? 面试官心理分析 这个问题是肯定要问的,说白了,就是看你有没有实际干过 es,因为啥?其实 es 性能并没有你想象中那么好的。很多时候数据量大了,特别是有几亿条数据的时候,可能你会懵逼的发现,跑个搜索怎么一下5~10s,坑爹了。第一次搜索...
如何使用 Filebeat,ILM 和数据流跨多个索引管理 Elasticsearch 数据
Elastic 中国社区官方博客
03-11 2826
索引Elasticsearch 的重要组成部分。 每个索引使你的数据集保持分离和有条理,从而使你可以灵活地以不同方式对待每个数据集,并使其在整个生命周期中都易于管理。 通过提供摄入方法和管理工具来简化流程,Elastic 可以轻松地充分利用索引。 在本文中,我们将使用 Filebeat 将来自多个源的数据摄入到多个索引中,然后将使用索引生命周期管理(ILM)和数据流来进一步控制该数据。 Filebeat 是什么? Filebeat 是一种轻量级的日志传送器,带有许多内置模块,用于从多个数据源.
elasticsearch 7.9.3知识归纳整理(五)之 es索引生命周期管理
m0_37635053的博客
01-05 6548
es索引生命周期管理
filebeat + ELK 数据生命周期日志数据拼接
litaiqi12345的博客
05-17 396
需求 -->> 同一个文件的不同接口日志存入es,通过traceId查询整个业务的生命周期; 解决方案–>> log文件 <-- filebeat --> kafka --> logstash --> es <-- kabana 解决方案还是传统的ELK方案; ps: 后续可以提供一个接口程序,传入指定关键字和时间,通过日志里的traceid进行关联,查询整个业务生命周期的数据;对于处理大批量(本次是100W条*4/天)的数据会比数据库快一些吧;也减轻数
ES索引生命周期管理
u014294083的博客
09-24 3959
ES索引生命周期管理 介绍 ​ ES可用于索引日志类数据,在此场景下,数据是源源不断地被写入到索引中。为了使索引的文档不会过多,查询的性能更好,我们希望索引可以根据大小、文档数量或索引已创建时长等指标进行自动回滚,可以自定义将超过一定时间的数据进行自动删除。ES为我们提供了索引生命周期管理来帮助处理此场景下的问题。 ​ 索引生命周期分为四个阶段:HOT->WARM->COLD->DELETE。 ​ HOT为必须的阶段外,其他为非必须阶段,可以任意选择配置。在日志类场景下不需要W
Logstash、Filebeat安装与数据同步(+ES安装讲解)
lydms的博客
08-04 5520
Logstash安装、Filebeat安装、数据同步到ES
【有手就行】filebeat+es+kibana收集Nginx日志
wxd5617的博客
12-04 2977
使用filebeat收集Nginx到es,在kibana进行查询~
Elasticsearch 索引生命周期管理
vkingnew 的技术博客
06-14 4108
创建一个策略: 创建策略: curl -X PUT "localhost:9200/_ilm/policy/datastream_policy" -H 'Content-Type: application/json' -d' { "policy": { "phases": { "hot": { ...
Filebeat入门及使用-3 文件输入,ES中输出
小哇
03-09 1629
ES7.6.1 安装,可参考博文【ElasticSearchElasticSearch安装(一) - H__D - 博客园 1 新建配置文件 a_3.yml # 输入 filebeat.inputs: - type: log enabled: true paths: - /data/logs/*.log # 指定索引的分区数 setup.template.settings: index.number_of_shards: 3 # 输出到指定ES的配置 output.elas
elasticsearch索引生命周期
05-30
Elasticsearch索引生命周期管理(Index Lifecycle Management,简称ILM)是Elasticsearch提供的一个自动管理索引生命周期的功能。ILM可以根据索引的阶段自动执行不同的操作,如创建、更新、删除和备份等。 在ILM中,可以定义每个索引生命周期,并将其分为不同的阶段。每个阶段可以包含一个或多个操作,例如: - hot阶段:索引保留在高性能存储器中,以便快速检索和查询。 - warm阶段:索引被移动到低成本的存储器中,以便长期存储和备份。 - cold阶段:索引被归档到离线存储器中,以便长期存储和备份。 - delete阶段:索引被删除或彻底清除。 在每个阶段中,可以定义触发器条件,例如索引大小、文档数量、存储器使用情况、最后访问时间等。当达到这些条件时,ILM将自动执行相应的操作。 总之,Elasticsearch索引生命周期管理可以帮助自动化索引管理,并且根据需求动态地调整不同阶段的操作,从而提高索引的性能和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值