LogStash 日志采集系统构建

已于 2022-05-23 11:30:12 修改
阅读量863 收藏 4
点赞数
分类专栏: ELK 文章标签: elasticsearch 搜索引擎 logstash
于 2022-03-14 23:36:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40977118/article/details/123488301
版权

目录

LogStash安装
LogStash 简介
LogStash 日志采集系统构建

1. 创建配置文件

  • 在 Logstash 安装路径下的 config 目录中,新建一个 conf 文件,取名为 es_log.conf,并且填入以下内容

在这里插入图片描述

input {
  file {
	path => "/elk/elasticsearch-7.14.0/logs/my-elk.log" # 读取的日志文件
	start_position => "beginning" # 从头部读取
	codec => multiline { # 多行合并,向以“[”开头的那行文字合并
		pattern => "^\["
		negate => true
		what => "previous"
	}
  }
}

output {
  elasticsearch { # 输出到es中
    hosts => ["http://192.168.42.111:9200"] # es地址
    index => "es-log-%{+YYYY.MM.dd}" # 生成索引的名称-日期
  }
  stdout{} # 同时输出到控制台
}

2. 启动LogStash

  • 进入 Logstash 的 bin 目录执行
./logstash -f ../config/es_log.conf

3. 查看控制台打印

在这里插入图片描述

4. 查看es索引

  • 访问http://192.168.42.111:9200/_cat/indices?v,创建了当天的索引

在这里插入图片描述

5. 查询索引内容

GET /es-log-2022.03.14/_search

在这里插入图片描述

6. 细化日志信息

  • 这里的日志内容是将日志信息作为整体存入message字段的,需要进一步细化

在这里插入图片描述

  • 日志的结构是
[时间戳][日志级别][输出信息的类名][节点名]具体的日志信息
  • 可以考虑使用 grok 过滤器插件对文本进行分析后再存入 es

7. grok 过滤器

  • 在 Logstash 安装路径下的 config 目录中,新建一个 conf 文件,取名为 log_grok.conf,并且填入以下内容
input {
  file {
	path => "/elk/elasticsearch-7.14.0/logs/my-elk.log" # 读取的日志文件
	start_position => "beginning" # 从头部读取
	codec => multiline { # 多行合并,向以“[”开头的那行文字合并
		pattern => "^\["
		negate => true
		what => "previous"
	}
  }
}

filter{
	grok {
		match =>{
			message => "\[%{TIMESTAMP_ISO8601:time}\]\[%{LOGLEVEL:level}%{SPACE}\]\[%{NOTSPACE:loggerclass}%{SPACE}\]%{SPACE}\[%{DATA:nodename}\]%{SPACE} %{GREEDYDATA:msg}"
		}
	}
}

output {
  elasticsearch { # 输出到es中
    hosts => ["http://192.168.42.111:9200"] # es地址
    index => "es-log-text-%{+YYYY.MM.dd}" # 生成索引的名称-日期
    template_name => "es_template*" # 模板名称
    template => "/elk/elasticsearch-7.14.0/config" # 模板位置
  }
  stdout{} # 同时输出到控制台
}

在这里插入图片描述

“[%{TIMESTAMP_ISO8601:time}][%{LOGLEVEL:level}%{SPACE}][%{NOTSPACE:loggerclass}%{SPACE}]%{SPACE}[%{DATA:nodename}]%{SPACE} %{GREEDYDATA:msg}”
格式就是%{预定义模式:字段名},这个字段名就是es中_source中的映射

  • 如果担心自己写的 conf 有语法问题,可以执行
./logstash -f ../config/es_log_grok.conf -t
  • 显示下面内容,说明语法没有问题

在这里插入图片描述

  • 这里除了配置过滤器之外,还要创建一个es的模板文件用于定义索引的 mapping(映射),注意要和对日志的分解一一对应,不然就不能输出到es中

在这里插入图片描述

  • 默认的logstash模板可以通过下面命令查看
get _template/logstash

在这里插入图片描述

8. 创建es模板文件

  • 在 config 目录下创建一个 es_template.json
{
    "template": "es-log-text-%{+YYYY.MM.dd}",
    "settings": {
        "index.refresh_interval": "1s"
    },
    "mappings": {
        "properties": {
            "time": {
                "type": "date"
            },
            "level": {
                "type": "keyword"
            },
            "loggerclass": {
                "type": "keyword"
            },
            "nodename": {
                "type": "keyword"
            },
            "msg": {
                "type": "text"
            },
            "message": {
                "type": "text"
            }
        }
    }
}

在这里插入图片描述

9. 启动LogStash

  • 启动前先到logstash 的/data/plugins/inputs/file 目录下,删除.sincedb 文件,这个文件是个隐藏文件,需要使用ls -al才能显示,删除后再启动。(这个文件记录了之前读取日志的最后位置,导致下次读取时,前面的日志读会取不到)

在这里插入图片描述

./logstash ../config/es_log_grok.conf

在这里插入图片描述

  • 创建出索引 es-log-text-2022.03.14

在这里插入图片描述

  • 需要细化的5个字段全部都展示出来了

在这里插入图片描述

Fisher3652
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes - 实战:k8s之日志收集
qq_33240556的博客
04-16 238
在Kubernetes实战中,日志收集是一个关键的运维环节,旨在集中存储和分析集群中各个Pod产生的日志,以便进行故障排查、性能优化和审计追踪。实战操作中,确保日志收集系统的高可用性、可扩展性和安全性至关重要,同时需要根据集群规模和业务需求调整日志收集和处理的速度、存储容量以及检索性能。
ELK日志分析平台(二)----logstash数据采集
Jelly
09-14 1706
logstash主要用于ELK中的数据采集,具有分片功能,可以很好地将数据进行整理切片,使elasticsearch进行查看
ELK日志收集(Logstash
最新发布
manongwangziqi的博客
05-03 1340
ELK常用案例
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2009
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
ELK详解(八)——Logstash收集系统日志实战
永远是少年
04-05 6876
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集系统日志。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
LogStash日志分析展示系统
weixin_34024034的博客
01-16 119
简介通常日志管理是逐渐崩溃的——当日志对于人们最重要的时候,也就是出现问题的时候,这个渐进的过程就开始了。日志管理一般会经历一下3个阶段:初级管理员将通过一些传统工具(如cat、tail、sed、awk、perl以及grep)对日志进行检查,但它的适用范围仅限于少量的主机和日志文件类型;考虑到现实中的可扩展性问题,日志管理也会逐步进化,使用如rsyslog和syslog-ng...
Java程序员须知的七个日志管理工具
java面试笔试
03-05 284
日志管理工具有Splunk、Sumo Logic、LogStash、GrayLog、Loggly和PaperTrails等等,数不胜数。日志就像石油,二十多年了我们一直想...
分布式日志收集之Logstash 笔记(二)
三劫散仙
11-06 292
[size=medium] 今天是2015年11月06日,早上起床,北京天气竟然下起了大雪,不错,最近几年已经很少见到雪了,想起小时候冬天的样子,回忆的影子还是历历在目。 进入正题吧,上篇介绍了Logstash的基础知识和入门demo,本篇介绍几个比较常用的命令和案例 通过上篇介绍,我们大体知道了整个logstash处理日志的流程: input => filter => output...
logstash采集数据库数据插件
10-19
在实际应用中,"logstash-input-jdbc" 插件可以用于实时监控数据库变化,将数据库事件整合到日志分析系统,或者作为数据流的一部分,与其他数据源的数据结合进行复杂分析。结合 Elasticsearch 和 Kibana,可以构建出...
ELK企业级日志分析系统资源
05-15
"被采集日志的节点上需要安装的包.rar"可能包含了在日志生成主机上运行的代理软件或配置,以便将日志数据转发到Logstash。"其他node节点需要安装的包.rar"可能包含扩展节点所需的组件,如额外的数据节点或专门的搜索...
logstash-2.3.1.tar.zip
07-21
通过以上步骤,你可以构建一个基本的日志采集和分析系统,帮助你监控Web应用服务器的性能、安全性和其他关键指标。随着需求的增长,还可以扩展Logstash的功能,例如添加更多的过滤器来处理更复杂的数据,或者使用...
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
logstash6.2.1
02-09
例如,`file` 输入插件可以实时监控日志文件的变化,将新增的日志行读入 Logstash 进行处理。 - 在 6.2.1 版本中,可能包含对多种输入格式的支持,包括 JSON、CSV 和自定义格式,以适应不同的日志生成环境。 2. **...
flume和logstash.zip
07-07
综合来看,这个压缩包包含的数据采集工具组合可以帮助你构建一个强大的日志管理和大数据导入系统。Flume适合处理结构化的系统日志Logstash则擅长处理非结构化和半结构化的日志数据,而Sqoop可以作为两者之间的桥梁...
5.通过logstash收集日志(一)
weixin_30468137的博客
11-07 1005
1.收集单个系统日志并输出至文件 前提需要logstash用户对被收集的日志文件有读的权限并对写入的文件有写权限 修改logstash的配置文件 path.config: /etc/logstash/conf.d/*    1.1logstash配置文件 [root@linux-node1 ~]# cat /etc/logstash/conf.d/system-log....
log4J日志收集(filebeat+logstash+Elasticsearch
qq_34646817的博客
07-27 9537
一、说明 最近在学习logstash,发现内容特别多,除了基本的知识的学习以外,最多的就是插件的学习了,可是我看了下官网的插件,最新的版本6.3的插件展示如下: - 输入插件(Input plugins) beats,cloudwatch,couchdb_changes,dead_letter_queue,elasticse,rch,exec,file,ganglia,gelf,g...
ELK - logstash 动态指定动态模板
面朝大海,春暖花开
01-31 1525
ELK - logstash 动态指定动态模板 基于 es: 7.10.x 写在前面 通过logstash写到es的数据,es 默认匹配logstash* 的模板, 并且 索引( index )名称也会自动加上 logstash-, 默认的 logstash 模板为: GET /_template/logstash { "logstash" : { "order" : 0, "version" : 60001, "index_patterns" : [ "logsta
logstash从不同服务器收集日志到一台总服务
weixin_43294972的博客
10-30 1万+
1,wget https://artifacts.elastic.co/downloads/logstash/logstash-6.4.2.tar.gz 2,tar -zxvf logstash-6.4.2.tar.gz 3,cd /opt/tmp/logstash-6.4.2 4,在终端中,像下面这样运行命令来启动 Logstash 进程: # bin/logstash -e 'input{st...
分布式日志收集之Logstash 笔记(一)
热门推荐
三劫散仙
11-05 1万+
(一)logstash是什么? logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好,非常简洁强大,经常与ElasticSearch,Kibana配置,组成著名的ELK技术栈,非常适合用来做日志数据的分析。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如MySQL,redis
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
Filebeat作为轻量级的日志采集器,监控并转发日志数据;Logstash处理和转换数据;Elasticsearch存储和索引数据;Kibana则负责数据的可视化展示。 3. **ELK介绍**: - **Filebeat**:Filebeat主要用于从服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值