使用fileBeat7.9.2读取日志文件到KAFKA

最新推荐文章于 2024-06-01 17:36:01 发布
最新推荐文章于 2024-06-01 17:36:01 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41631365/article/details/109592430
版权

目录

一、背景

需要将微服务日志传输到elk系统,需要先将日志传到kafka做缓冲;
filebeat-7.9.2.tar下载
百度云盘链接:戳我
提取码:iefm

二、安装

tar -zxvf filebeat-7.9.2-linux-x86_64.tar.gz

三、启用kafka模块

进入modules.d文件夹,修改kafka.yml.disabled成kafka.yml

cd modules.d/
mv kafka.yml.disabled kafka.yml

四、修改配置

编辑配置文件filebeat.yml,主要修改以下配置

# 配置需要监控读取的文件,可多个
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/ms*-json*.log
    - /var/myLog/*.log

# 注释掉output.elasticsearch
# ---------------------------- Elasticsearch Output ----------------------------
#output.elasticsearch:
 # hosts: ["localhost:9200"]

# 配置输出到kafka
output.kafka:
  enabled: true
  hosts: ["192.168.1.142:9092"]
  topic: 'cbos-log'
# 配置输出到控制台(调试用)  
#output.console:
#  pretty: true

四、启用脚本

附上我用的重启脚本,路径自行修改

# !/bin/bash
# -author:nongzy  
# -create time : 2020-10-14 18:00

#kafka_2.13-2.6.0/zookeeper-server-start.sh -daemon config/zookeeper.properties

name=filebeat
pid=$(ps -ef|grep "${name}" |grep -v 'grep' |awk '{print $2}')

if [ -n "${pid}" ];
then
    kill -9 ${pid}
    echo -e "已停止应用: ${pid}"
fi


nohup /usr/local/elk_7.9.2/filebeat/filebeat-7.9.2-linux-x86_64/filebeat -e -c /usr/local/elk_7.9.2/filebeat/filebeat-7.9.2-linux-x86_64/filebeat.yml -d "publish"  >filebeat.log 2>&1 &
echo "已启动${name}"

五、格式化springBoot日志格式

到第四步没有问题的话已经能够把日志推送到kafka队列了,但是我要把springBoot输出的日志格式化成json,如下:

{
	"applicationName": "producer-server",
	"indexName": "producer-server-2020-11-09",
	"logTime": "2020-11-09 17:51:08.147",
	"logger": "ty.cbos.ms.user.generic.interceptor.FeignAuthRequestInterceptor",
	"level": "INFO",
	"thread": "http-nio-8240-exec-9",
	"message": "消息消息消息消息",
	"traceId": "44eb90041c04e7de"
}

所以我们需要更改logback的输出编码,let’s go

  1. 引入logstash-logback-encoder
    戳我看git官方说明
  <dependency>
      <groupId>net.logstash.logback</groupId>
      <artifactId>logstash-logback-encoder</artifactId>
      <version>5.3</version>
  </dependency>
  1. 配置logback日志appender的encoder
   <encoder class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
       <providers>
           <pattern>
               <pattern>
                   {
                   "applicationName":"producer-server",
                   "indexName":"producer-server-%d{yyyy-MM-dd}",
                   "logTime": "%d{yyyy-MM-dd HH:mm:ss.SSS}",
                   "logger": "%logger",
                   "level": "%level",
                   "thread": "%thread",
                   "message": "%message",
                   "traceId": "%X{X-B3-TraceId:-}"
                   }
               </pattern>
           </pattern>
       </providers>
   </encoder>

六、替换@timestamp为日志时间

默认情况下filebeat传到kafka的timestamp是发送的时间,需要替换成日志里面的时间,以方便在kibana中查询。同样需要修改filebeat的配置文件:

processors:
  # 去掉filebeat的属性,看自己需求
  - drop_fields:
      fields: ["agent","ecs","host","log", "fields","input"]
  # filebeat读取的每条日志都放在message里面做为一个json字符串,这里提取message里面的logTime出来,单独设置一个属性,用来替换下面的时间戳
  - script:
      lang: javascript
      id: add_logTime
      tag: enable
      source: >
        function process(event) {
            var message= event.Get("message");
            var obj =JSON.parse(message);
            var logTime = obj.logTime;
            event.Put("start_time",logTime);

            event.Put("fromHost","192.168.1.142");
        }
  # 替换时间戳,     
  - timestamp:
      # 格式化时间值 给 时间戳 
      field: start_time
      # 使用我国东八区时间  格式化log时间
      timezone: Asia/Shanghai
      layouts:
        - '2006-01-02 15:04:05'
        - '2006-01-02 15:04:05:999'
      test:
        - '2019-06-22 16:33:51'

七、遇到的问题

  1. filebeat一直提示 [publisher] pipeline/retry.go:219 retryer: send unwait signal to consumer
    原因:可能是无法连接到kafka,需要修改kafka的server.properties,ip为kafka所在的机器内网ip
advertised.listeners=PLAINTEXT://192.168.1.142:9092
  1. 配置了替换时间戳却无效
    原因:查看日志时间格式是不是 yyyy-MM-dd HH:mm:ss.SSS,特别注意后面的 .SSS,如果是 :SSS可能会无效

八、参考

参考文章:
1. https://blog.csdn.net/qq_27818541/article/details/108063235

螺蛳粉不加葱
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Filebeat 推送json数据到ES出现Error decoding JSON: json:
有道无术,术尚可求,有术无道,止于术。
10-26 5419
问题描述:filebeat推送一个json对象到es中,一个json对象被拆分了多个对象。在kibana中显示如下图所示: 解决过程: ① 首先判断自己的json对象是否有效(https://www.json.cn/) ②查看filebeat的拿取json数据的格式(如果是下图多行的形式,在es中会将每一行都看成一个json对象,在kibana中显示的也将是多个json对象) ...
filebeat-7.9.2-windows-x86_64.zip
10-08
filebeat最新Windows版:filebeat-7.9.2-windows-x86_64.zip。elastic家族其他产品(含windows、linux版)最新版亦可从我的资源页获取https://download.csdn.net/user/u010887744/uploads,
filebeat-7.9.2-linux-x86_64.tar.gz
10-08
filebeat最新linux版:filebeat-7.9.2-linux-x86_64.tar.gz。elastic家族其他产品(含windows、linux版)最新版亦可从我的资源页获取https://download.csdn.net/user/u010887744/uploads,
filebeat中一种替换timestamp方法
flying8127的专栏
03-16 973
filebeat
elk:使用filebeat采集日志发送到kafka
最新发布
陈鸿圳的专栏
06-01 323
下载解压修改配置文件启动filebeat
filebeat替换采集时间戳@timestamp为日志时间的解决方案(不需要logstash)
BigManing的博客
08-18 1万+
前言 项目有个需求:filebeat采集日志的时间替换为日志时间。通过调研,网上都是用logstash来转换的,大概如下步骤(原理): filter{ grok{ // 1 取出时间值 给 一个新字段 patterns_dir => "./patterns" match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},
filebeat配置问题收集
shouldza的博客
03-13 438
*下列操作基于filebeat版本为7.14.1和7.17.2和7.10.1中,其他的可以参考这个做调整。
flume1.11 jdk 8u144kafka 2.12-3.2.0logstash 7.9.2
04-25
结合以上四个组件,可以构建一个高效的大数据日志处理系统:JDK提供运行环境,Flume负责收集日志,Logstash进行数据清洗和转换,然后通过Kafka作为消息中间件将处理后的数据可靠地传输到存储或进一步处理。...
elk7.9.2 kafka_2.12-2.2.2 kibana logstas elasticsearch
08-29
elasticsearch-7.9.2 kafka_2.12-2.2.2 kibana-7.9.2-linux-x86_64.tar logstash-7.9.2.tar
最新版windows logstash-7.9.2.zip
09-27
输出插件则可以将处理后的数据发送到各种地方,如 Elasticsearch、Kafka文件系统、甚至其他 Logstash 实例,形成数据处理链路。 在版本 7.9.2 中,可能有以下值得关注的更新: - 性能提升:Logstash 团队可能对...
filebeat收集nginx日志并转化为json格式日志保存到Elasticsearch
m0_58833554的博客
10-11 1227
使用filebeat收集nginx的日志,转化为可视化更强的json格式,然后保存到elasticeseach处理,使用kibana分析日志数据
Filebeat输出json格式的日志并指定message字段的值
kali_yao的博客
05-07 7308
目录 1.开启json格式所需的字段概述 2.配置示例 3.如果问题没有解决可点击官网 1.开启json格式所需的字段概述 filebeat配置input要有以下字段 json.keys_under_root: true json.overwrite_keys: true # 默认情况下,解码后的 JSON 位于输出文档中的“json”键下。如果启用此设置,则键将在输出文档中的顶层复制。默认值为 false # 如果启用了此设置,则解码的 JSON 对象中的值将覆盖 Filebeat 在发
Filbeat提取Json日志文件到Elasticsearch
Fraps_的博客
04-15 2519
Filbeat提取Json日志文件到Elasticsearch
为何 Filebeat 采集日志不是实时的?(采集时间与log本身时间有差异)
BigManing的博客
06-17 7858
注:本文中 filebeat 的版本为 7.5,不同版本的 filebeat 的行为可能有所差异。 一、前言 filebeat 采集的日志的时间戳,和日志管理平台实际收到的日志时的时间戳,通常都会有几秒的延迟,有些情况下甚至能达到十几秒。其中固然有 filebeat日志管理平台之间的网络带来的影响,但最大的延迟还是出现在日志的产生到 filebeat 上报这个时间段。为何 filebeat 采集日志不是实时的? 如果是一个简单的类似于 tail -f 的日志采集程序,那么只要程序写入日志文件,不到一.
解决filebeat的@timestamp无法被json日志的同名字段覆盖的问题
cja_java的博客
07-09 2734
默认@timestamp是filebeat读取日志时的时间戳,但是我们在读取日志的时候希望根据日志生成时间来展示,以便根据日志生成时间点来定位问题。 这是我生成json日志的格式: {"@timestamp":"2017-03-23T09:48:49.304603+08:00","@source":"vagrant-ubuntu-trusty-64","@fields":{"chann.
filebeat收集json格式的tomcat日志(七)
江晓龙的博客
06-16 1168
filebeat收集json格式的tomcat日志 公司中常用的web程序一般都是nginx和tomcat,tomcat也有access访问日志输出和nginx类似,我们也将tomcat的日志输出成json格式,在配合filebeat进行收集展示 1.部署tomcat 1.1.部署tomcat 1.安装java [root@nginx02 ~]# yum -y install java 2.安装tomcat [root@nginx02 ~]# mkdir /data [root@nginx02 ~]#
FileBeat采集JSON日志
热门推荐
Mr.Bean
01-17 1万+
FileBeat采集JSON日志 前言 使用FileBeat采集JSON日志传输到logstash或者elasticsearch中,其中FileBeat的版本为5.5.0,Elasticsearch的版本为5.6.8 文件配置 简单配置 关于配置filebeat的json采集,主要需要注意的有以下几个配置项 #keys_under_root可以让字段位于根节点,默认为false json.keys...
filebeat6.2.3收集多个日志源 多个topic输出
Z_GodGirl的博客
08-01 9645
下载 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz 解压 tar -zxvf filebeat-6.2.3-linux-x86_64.tar.gz 配置filebeat.yml filebeat.prospectors: - type: lo...
Filebeat+Kafka+ELK日志采集(二)——Filebeat
qq_40774600的博客
09-20 7905
Filebeat用于日志采集,将采集的日志做简单处理(多行合并)发送至Kafka、Logstash、Elasticsearch等。
docker filebeat
09-21
Docker中的Filebeat是一个轻量级的日志收集工具。下面是一种在Docker上配置Filebeat的方法: 1. 首先,拉取Filebeat镜像: ``` docker pull docker.elastic.co/beats/filebeat:7.9.2 ``` 2. 创建一个filebeat.docker.yml文件,并通过卷挂载将该文件挂载到容器中: ``` docker run -d \ --name=filebeat \ --user=root \ --volume="$(pwd)/filebeat.docker.yml:/usr/share/filebeat/filebeat.yml:ro" \ --volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" \ --volume="/var/run/docker.sock:/var/run/docker.sock:ro" \ docker.elastic.co/beats/filebeat:7.9.2 filebeat -e -strict.perms=false \ -E output.elasticsearch.hosts=["elasticsearch:9200"] ``` 3. 运行Filebeat,确保它可以连接到正确的Elasticsearch主机和端口。 可以通过将Filebeat配置文件嵌入自定义镜像来部署Filebeat。以下是一个例子的Dockerfile,它实现了这一目的: ``` FROM docker.elastic.co/beats/filebeat:7.9.2 COPY filebeat.yml /usr/share/filebeat/filebeat.yml USER root RUN chown root:filebeat /usr/share/filebeat/filebeat.yml USER filebeat ``` 以上是在Docker中使用Filebeat的基本步骤。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值