ELK企业应用场景之Tomcat日志采集-filebeat+es+kibana

已于 2023-12-10 22:01:47 修改
阅读量1.8k 收藏 25
点赞数 46
分类专栏: 技术学习 文章标签: elk tomcat elasticsearch
于 2023-12-09 22:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43253382/article/details/134901990
版权

目录

1.日志采集模式

2.部署filebeat服务

2.1.上传filebeat安装包

2.2.解压filebeat安装包

3.采集tomcat日志

3.1.filebeat-mall-api.yml配置文件

3.2.检查配置文件是否正确

​3.3.tomcat日志查询验证

3.3.1.启动filebeat服务

3.3.2.创建索引模板

3.3.3.创建索引模式

3.3.4.查询结果展示

Filebeat 是一个轻量级的日志传输工具,它可以监视文件变化并自动将新的日志行传输到 Elasticsearch。Filebeat 的配置相对简单,可以轻松地部署在多个环境中,包括裸机、虚拟机和容器等。由于 Filebeat 轻量级的特点,它更适合于规模较小的日志收集场景。

ES(Elasticsearch)是一个分布式搜索和分析引擎,它可以对海量数据进行快速、近实时的存储、搜索和分析。ES 的强大功能使其适用于各种规模的企业级应用。

Kibana 是一个可视化工具,它可以与 Elasticsearch 配合使用,为使用者提供直观的数据展示和查询界面。Kibana 支持多种数据源和查询方式,可以方便地对数据进行探索、分析和导出。

适用场景:Filebeat+ES+Kibana 适用于中小型企业的日志分析场景,特别是需要监控裸机或虚拟机环境的场景。由于 Filebeat 的轻量级特点,它也适用于一些需要轻量级日志传输的场景。


1.日志采集模式


模式:filebeat+es+kibana

2.部署filebeat服务


在需要采集日志的机器上部署filebeat服务,具体部署步骤如下。


2.1.上传filebeat安装包


将filebeat-7.8.0-linux-x86_64.tar.gz上传到/usr/local目录下

2.2.解压filebeat安装包


命令:tar xzvf filebeat-7.8.0-linux-x86_64.tar.gz


3.采集tomcat日志


3.1.filebeat-mall-api.yml配置文件


配置文件路径:/usr/local/filebeat-7.8.0-linux-x86_64/
创建filebeat-mall-api.yml配置文件,配置示例如下:
赋权:chmod 755 filebeat-mall-api.yml

##########filebeat采集tomcat日志输入ES#########
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/local/2-tomcat/9-tomcat-mall-api/logs/catalina.out
  tags: ["tomcat-mall-api-fz"]
  multiline.pattern: '^\\d{4}-\\d{2}-\\d{2} \\d{2}:\\d{2}:\\d{2}'
  multiline.negate: true
  multiline.match: after
output.elasticsearch:
  hosts: ["10.62.196.19:9200"]
  indices:
    - index: "tomcat-mall-api-fz-%{+YYYY-MM-dd}"
      when.contains:
        tags: "tomcat-mall-api-fz"
setup.template.enabled: false
setup.template.name: "tomcat"
setup.template.pattern: "tomcat-*"
setup.template.overwrite: true

采集多个tomcat日志的配置样例:tomcat-mall-api和 tomcat-mall-backend

##########filebeat采集tomcat日志输入ES#########
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/local/2-tomcat/9-tomcat-mall-api/logs/catalina.out
  tags: ["tomcat-mall-api-fz"]
  multiline.pattern: '^\\d{4}-\\d{2}-\\d{2} \\d{2}:\\d{2}:\\d{2}'
  multiline.negate: true
  multiline.match: after
- type: log
  enabled: true
  paths:
    - /usr/local/2-tomcat/10-tomcat-mall-backend/logs/catalina.out
  tags: ["tomcat-mall-backend-fz"]
  multiline.pattern: '^\\d{4}-\\d{2}-\\d{2} \\d{2}:\\d{2}:\\d{2}'
  multiline.negate: true
  multiline.match: after
output.elasticsearch:
  hosts: ["10.62.196.19:9200"]
  indices:
    - index: "tomcat-mall-api-fz-%{+YYYY-MM-dd}"
      when.contains:
        tags: "tomcat-mall-api-fz"
    - index: "tomcat-mall-backend-fz-%{+YYYY-MM-dd}"
      when.contains:
        tags: "tomcat-mall-backend-fz"
setup.template.enabled: false
setup.template.name: "tomcat"
setup.template.pattern: "tomcat-*"
setup.template.overwrite: true


配置说明:
input:
type: 指定输入类型为日志类型。
enabled: 启用输入,这个参数设置为true表示启用该输入。
paths: 指定需要监控的日志文件的路径,
tags: 为监控的日志文件添加标签,这样可以在后续的搜索或过滤中    使用这些标签。
multiline.pattern: 定义多行模式匹配的正则表达式。在这里,它匹    配的是以日期时间('^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}')开始的行。
multiline.negate: 反转多行模式的匹配结果。如果一行匹配了    multiline.pattern,那么它会被认为是不符合多行模式。
multiline.match: 定义多行模式应该如何匹配。在这里,选择的是    after模式,这意味着如果一行匹配了multiline.pattern,那么后续的    所有行都会被视为同一行。
output:
output.elasticsearch: 定义输出目标为Elasticsearch。
hosts: 指定Elasticsearch的主机地址和端口,
indices: 定义将日志发送到的Elasticsearch的索引名称。在这里,当    日志中包含"tomcat-mall-api-fz"这个标签时,日志将被发送到    "tomcat-mall-api-fz-%{+YYYY-MM-dd}"这个索引中。
setup.template.enabled: 定义是否启用模板设置,这里设置为false    表示不启用。
setup.template.name: 定义要创建的模板的名称,这里是"tomcat"。
setup.template.pattern: 定义要匹配的模板的模式,这里任何以    "tomcat-"开头的索引都会匹配这个模板。
setup.template.overwrite: 如果设置为true,那么如果已经存在一个    与setup.template.name同名的模板,Filebeat将会覆盖它。


3.2.检查配置文件是否正确


检查文件是否正确:cd /usr/local/filebeat-7.8.0-linux-x86_64
命令:./filebeat  test  config  -c  filebeat-mall-api.yml
出现Config OK 则代表文件格式正确。


3.3.tomcat日志查询验证


3.3.1.启动filebeat服务


路径:/usr/local/filebeat-7.8.0-linux-x86_64
命令: ./filebeat -e -c filebeat-mall-api.yml &


3.3.2.创建索引模板


a.登录kibana管理界面
b.选择:Management-stack-Management-Elasticsearch,进入“索引管理”,选择“索引模板”,创建tomcat模    板,具体参数如下:
名称:tomcat
索引模式:tomcat-*
索引设置:

{
"index": {
    "highlight": {
      "max_analyzed_offset": "2000000000"
    },
    "refresh_interval": "1s",
    "blocks": {
      "read_only_allow_delete": "false"
    },
    "query": {
      "default_field": [
        "*"
      ]
    },
    "priority": "1",
    "number_of_replicas": "0",
    "write": {
      "wait_for_active_shards": "1"
    }
}
}


然后直接下一步,创建索引模板成功,展示如下:

3.3.3.创建索引模式


a.登录kibana管理界面
b.选择:Management-stack-Management-kibana
c.选择“索引模式”,点击“创建索引模式”,定义一个    索引模式,能够匹配到生成的tomcat的索引,然后保存。

3.3.4.查询结果展示


进入“discover”界面,选择tomcat-*模式,在搜索栏目填写搜索条件:tags:"tomcat-mall-api-fz",然后点击:刷新,日志展示结果如下:

股市过客
关注
  • 46
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【教你通透ELKelk 自定义日志采集
走向CTO的路上...
08-03 562
(1)Logstash:Logstash 是一个开源的数据收集引擎,它可以从各种来源收集数据,如日志文件、TCP/UDP、JMX 等,然后将数据转换为统一的格式,并将其发送到 Elasticsearch 或其他目的地。(2)ElasticsearchElasticsearch 是一个分布式的搜索和分析引擎,它可以存储和索引大量的数据,并提供实时的搜索和分析功能。(1)配置 Logstash:在 Logstash 中配置输入插件、过滤器插件和输出插件,以定义日志数据的采集、处理和存储方式。
ElasticsearchELK使用(二):日志数据采集
zyplanke的专栏
06-26 4512
上一篇结束了Elasticsearchkibana的安装和基本使用。本文介绍日志数据采集(也叫日志采集),涉及filebeat的软件和logstash软件。 本文分别介绍了从日志文件采集和从数据库(MySQL)中采集
蓝易云 - 使用Filebeat采集Tomcat日志
最新发布
高性价比服务器就选:蓝易云
06-18 362
Filebeat的官网获取的压缩文件中,你会找到一个名为 filebeat.yml 的配置文件。如追踪飞机的雷达,Filebeat 会继续定位和追踪日志文件的改变,并将具有价值的信息传递给 Logstash 或Elasticsearch,等待它们的高级处理。此时,Filebeat 会按部就班地开始他的日志采集工作,它会在你设置的路径下细心寻觅日志信息,并光速传递给 Elasticsearch。让我们豁出去,不畏惧数据的繁乱,一步步理解并操作,像跃动的落叶在风中蹁跹舞动一样,简单而又快乐。
ELK-filbeate收集tomcat日志_elk收集多台tomcat日志,从入门到深入
2401_84248479的博客
04-15 741
json.overwrite_keys: true #覆盖默认的key,使用自定义json格式的key。setup.template.settings: #定义索引分片数和副本。setup.template.name: nginx #索引关联的模板名称。setup.template.name: nginx #索引关联的模板名称。特别分散–> syslog --> file.txt。3.删除filebeat自行指定的分片数和副本数。2.删除模板关联的索引。
二、tomcat介绍&日志&监控&配置
喵酱
07-27 6280
tomcat讲解&监控&配置
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2118
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
docker搭建ELK日志采集并查询日志
weixin_41961922的博客
03-19 1102
docker安装ELK日志采集并数据的查询,集成到springboot中进行数据获取
ELK详解(十)——Logstash收集Tomcat日志实战
永远是少年
04-06 3291
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集Tomcat日志。 一、Tomcat服务部署 二、Logstash配置 三、效果检验
filebeat+elasticsearch+kinana安装配置
09-27
通过以上步骤,你可以构建一个基础的日志收集、存储和分析平台,利用 Filebeat 聚合日志Elasticsearch 存储和索引数据,以及 Kibana 提供可视化界面。这三者结合,为监控系统提供了强大的工具链,便于实时监控和...
ELK:搭建ELK日志分析平台
04-13
Elasticsearch 2.3.2 logstash 2.2.4 Kibana 4.4.2 filebeat 1.2.2 topbeat 1.2.2 搭建ELK日志分析平台。此处为其核心配置文件。具体搭建过程请参考文档 Screenshots elasticsearch索引列表 Nginx日志分析 Syslog...
Logstash收集Tomcat集群日志的解决方案.txt
09-10
企业elk收集tomcat日志
tomcat-elk:Dockerfile 使用 ELK (ElasticsearchLogstashKibana) 服务创建 tomcat 服务器
06-20
Tomcat麋鹿Dockerfile 使用 ELK (Elasticsearch/Logstash/Kibana) 服务创建 tomcat 服务器用法启动一个实例: docker run -d --name tomcat-elk-server -p 9200:9200 -p 5601:5601 -p 8080:8080 sdd330/tomcat-elk从...
tomcat日志切分方案,离线包
03-23
- 如果需要更复杂的功能,如日志分析、实时查询等,可能需要结合其他日志管理系统,如Logstash、Fluentd或ELK Stack(ElasticsearchLogstash、Kibana)。 总之,这个“tomcat日志切分方案,离线包”提供了在...
esxi6.5环境下centos6.5+ambari+HDP+ELK+neo4j集群搭建
03-19
各产品软件版本 centos 6.5 esxi 6.5 SSH 5.3 JDK 1.8_131 MAVEN 3.6 ...基于EXSI6.5环境下centos6系统搭建ambari+HDP+elasticsearch+kibana+logstash+neo4j集群搭建教程,教程共54页,10000+以上字数
分布式应用:ELK企业日志分析系统
cronaldo91的博客
08-02 837
logstash作为日志搜集器,从数据源采集数据,并对数据进行过滤,格式化处理,然后交由Elasticsearch存储,kibana日志进行可视化处理。Elasticsearch服务#加载系统服务#主配置文件#启动elasticsearch是否成功开启#重启启动 elasticsearch-head 服务#必须在解压后的 elasticsearch-head 目录下启动服务,进程会读取该目录下的 gruntfile.js 文件,否则可能启动失败。
日志分析系统——ELK
x74188的博客
10-21 719
ELK是由 ElasticSearchLogstash 和 Kiabana 三个开源工具所组成, 完成更强大的用户对日志的查询、排序、统计需求。
ELK-filbeate收集tomcat日志
qq_40907977的博客
07-07 599
filebeat作为代理安装在服务器上,监视指定的日志文件或位置,收集日志事件,并将他们转发到logstash,elasticsearch,kafka等 input 我们要采集日志文件路径, 收割机 harvester 监听文件的变化 --> splooer程序 --> 转发 es | logstash | kafka | redis filebeat.inputs: - type: stdin #标准输入 enabled: true #启用 output.console: #标准
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 4641
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
Filebeat+ELK 部署
07-12
你好!对于部署FilebeatELKElasticsearch, Logstash, Kibana)的步骤,可以按照以下指南进行操作: 1. 安装Elasticsearch: - 在Elasticsearch官方网站上下载并安装适合您操作系统的版本。 - 解压文件并运行elasticsearch启动服务。 2. 安装Logstash: - 在Logstash官方网站上下载并安装适合您操作系统的版本。 - 解压文件并配置logstash.conf文件,该文件定义了如何处理和传输日志数据。 3. 安装Kibana: - 在Kibana官方网站上下载并安装适合您操作系统的版本。 - 解压文件并运行kibana启动服务。 4. 配置Filebeat: - 在Filebeat官方网站上下载并安装适合您操作系统的版本。 - 解压文件并配置filebeat.yml文件,该文件定义了Filebeat如何监视和发送日志数据。 5. 启动服务: - 依次启动ElasticsearchLogstash、KibanaFilebeat服务。 6. 验证部署: - 访问Kibana的Web界面(默认地址为http://localhost:5601),确保能够正确显示日志数据。 - 测试日志数据是否正确传输到Elasticsearch集群。 以上是一个基本的Filebeat+ELK部署过程。请根据您的需求和环境进行相应的配置和调整。如果有进一步的问题,请随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

股市过客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值