ELK日志分析--ES(Elasticsearch)--(二)

最新推荐文章于 2024-03-28 13:16:10 发布
最新推荐文章于 2024-03-28 13:16:10 发布
阅读量662 收藏
点赞数
分类专栏: ELK 文章标签: elasticsearch elk 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47800859/article/details/129183247
版权

  1. ES集群测试

  2. 验证

1.ES集群测试

        1.1配置步骤

确保Elasticsearch集群可用

        (一)Logstash配置

# vim /usr/local/logstash/config/pipeline-1.conf

input {
   beats {
      port => 5044
   }
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}" }
        remove_field => [ "message" ]
    }
    geoip {
       source => "clientip"
    }
}

output {
  stdout {
     codec => rubydebug
  }

  elasticsearch {  #原来基础上添加此配置
    # 这里是输出到 elasticsearch 集群中
    hosts => ["192.168.19.20:9200","192.168.19.21:9200","192.168.19.22:9200"]
  }
}

        1.2  启动 Logstash

假如没有启动,或者没有自动加载配置文件,需要重新启动

/usr/local/logstash/bin/logstash -f /usr/local/logstash/config/pipeline-1.conf

        1.3   启动 Filebeat

配置Filebeat输出数据到logstash,假如没有启动,需要重新启动

nohup   ./filebeat  &
或者
cd  /usr/local/filebeat/
./filebeat

2. 验证

        2.1  持续向日志文件中输入日志内容

持续向测试的日志文件产生日志

        2.2  查看 Logstash 的终端

应有相应的输出,如果logstash用nohup启动到后台的,则查看nohup.out文件

        2.3   验证Elasticsearch是否创建了索引

# curl -X GET "192.168.19.20:9200/_cat/indices"

logstash-2023.02.23-000001   

是Elasticsearch 自动创建的索引。

        2.4  创建自己需要的索引

从之前的查询中知道,索引是 Elasticsearch 是自动创建的,但是,这往往不是生产中想要的。

比较好的一个建议是:

  • 把访问日志 access.log 中的内容单独放到一个索引中。

  • 把错误日志 error.log 中的内容单独放到另外一个索引中。

1 更新配置文件

logstash未使用 Filebeat 内置模块的情况

# vim  /usr/local/logstash/config/first-pipeline.conf 
input {
   beats {
      port => 5044
   }
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}" }
        remove_field => [ "message" ]
    }
    geoip {
       source => "clientip"
    }
}
output {
  stdout {
     codec => rubydebug
  }

  if [log][file][path] == "/var/log/nginx/access.log" {
    elasticsearch {
      hosts => ["192.168.19.20:9200","192.168.19.21:9200","192.168.19.22:9200"]
      index => "%{[host][hostname]}-nginx-access-%{+YYYY.MM.dd}"
    }
  } else if [log][file][path] == "/var/log/nginx/error.log" {
    elasticsearch {
      hosts => ["192.168.19.20:9200","192.168.19.21:9200","192.168.19.22:9200"]
      index => "%{[host][hostname]}-nginx-error-%{+YYYY.MM.dd}"
    }
  }
}

logstash或者使用 Filebeat 内置模块的情况

input {
   beats {
      port => 5044
   }
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}" }
        remove_field => [ "message" ]
    }
    geoip {
       source => "clientip"
    }
}

output {
  stdout {
     codec => rubydebug
  }
  if [event][dataset] == "nginx.access" {
    elasticsearch {
      # 这里是输出到 elasticsearch 集群中
      hosts => ["192.168.19.20:9200","192.168.19.21:9200","192.168.19.22:9200"]
      # 创建索引,索引好比是MySQL 数据库中的表名称
      index => "%{[host][hostname]}-nginx-access-%{+YYYY.MM.dd}"
    }
  } else if  [event][dataset] == "nginx.error" {
  elasticsearch {
      # 这里是输出到 elasticsearch 集群中
      hosts => ["192.168.19.20:9200","192.168.19.21:9200","192.168.19.22:9200"]

      # 创建索引,索引好比是MySQL 数据库中的表名称
      index => "%{[host][hostname]}-nginx-error-%{+YYYY.MM.dd}"
    }
  }
}
#注意打开filebeat中的proccesser功能添加主机信息

2 添加新的日志内容到相关日志文件

分别向测试的日志文件中添加新的日志内容

向 /var/log/nginx/access.log 添加内容

3 验证 Elasticsearch 集群中的索引

 logstash-2023.02.23-000001  是原来的

client-log-access-2023.02.23  是新建立的。

while(a);
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
毕设日记3.17 ——启动elasticsearch报错(查看日志已成功解决)
caicai_yuan的博客
03-18 4236
昨天把项目代码导入进去了,今天准备跟着视频运行 但是第一步就出错了。 启动elasticsearch,发现没有反应 1.看看是否是防火墙的原因 执行sudo systemctl status firewalld 报错systemctl: command not found 原因:centos6不支持systemctl命令,故使用service命令代替systemctl service iptables stop//临时关闭防火墙 发现启动成功了,但是curl http://linux:92
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署11-es-hea.mp4
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署08-ES基.mp4
05-28
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署08-ES基.mp4
elasticsearch:7.9.3 docker 开启日志
BIG.KE的博客
03-01 2685
ElasticSearch 默认不记录日志的, logs 下面只有 gc.log 去 config/log4j2.properties 修改下面的配置 ## appender.rolling.type = console 改成下面的 appender.rolling.type = RollingFile ### 下面的进行追加 ######## Server JSON ############################ appender.rolling.fileName = ${sys:es.log
ElasticSearch实战:日志分析与搜索技巧解析
最新发布
silenceallat的博客
03-28 737
本文深入探讨了ElasticSearch日志分析和搜索案例方面的应用,分享了实用的技巧和案例,包括索引日志数据、创建索引模板、使用Kibana进行数据分析等。同时,还介绍了ElasticSearch的进阶技巧,如查询优化、数据建模和使用监控和诊断工具。文章最后讨论了ElasticSearch的未来发展前景,包括更强大的机器学习功能、更好的云原生支持、增强的安全性和合规性以及优化的性能和扩展性。
记一次es启动失败
weixin_43833441的博客
08-05 207
显示读取日志错误,通过 ls -l 检查日志文件的属组是否因为es用户 由于之前通过root用户进行了 su elsearch ./elasticsearch 操作,导致elasticsearch.log和当天日志的属主变成了root ...
问题解决13:elasticsearch启动的时候报错,报日志文件没有权限解决方案
Leeue李月
03-13 1万+
报错如下: [esuser@izwz96zip5cr6qc2ws0vv8z bin]$ ./elasticsearch -d [esuser@izwz96zip5cr6qc2ws0vv8z bin]$ 2019-03-13 13:26:52,897 main ERROR RollingFileManager (/usr/local/soft/elasticsearch-6.4.3/logs/mye...
ES使用记录
天涯倦客的博客
11-01 1145
es记录 docker安装es kibana安装 IK分词器 springboot整合es
ELK日志分析--ESElasticsearch)--(一)
qq_47800859的博客
02-23 2431
ES基本介绍 单机ES部署 ESElasticsearch)集群部署
详解如何查看Elasticsearch的Debug日志
sinat_40572875的博客
11-16 4198
最后的处理逻辑会在每个 logger 设定完成后,去重新刷一遍现有的 logger,应用 root 或者 parent logger 的设定。当然,你也可以去修改配置目录下面的 log4j2.properties,然后重启节点,但这种方法太过笨重,建议你不要用。从这段描述看,当时要解决的问题是 x.y 没有继承 x logging level 的问题,所以加了这段显示继承的逻辑。上面的调用,最终结果是采用 _root 的设定,所有 logger 都是。,会是一个有效且必须要掌握的方法。
ES(Elasticsearch)日志类型
m0_54849806的博客
03-25 2694
每个软件应用为了方便排查运行时出现的问题或者一些做一些数据记录,都会提供相应的日志记录,Elasticsearch也不例外,Elasticsearch日志记录通过3类日志类型进行记录: **(1)主要日志(cluster-name.log)😗*记录了Elasticsearch运行时所发生一切的综合信息,例如,某个查询失败或一个新的节点加入集群 **(2)慢搜索日志(cluster-name_index_search_slowlog.log)😗*当某个查询运行得很慢时,Elasticsearch会在这里进行记
Elasticsearch高级调优方法论之——根治慢查询!
铭毅天下Elasticsearch
08-25 9681
1、引言Elasticsearch是非常灵活且功能丰富的搜索引擎,它提供了许多不同查询数据的方法。在实战业务场景中,经常会出现远远低于预期查询速度的慢查询。作为分布式系统...
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署12-es-he.mp4
06-02
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署12-es-he.mp4
初识ES-IK分词器的拓展和停用词典
Leon_Jinhai_Sun的博客
11-15 2485
扩展词词典 随着互联网的发展,“造词运动”也越发的频繁。出现了很多新的词语,在原有的词汇列表中并不存在。比如:“奥力给”等。 所以我们的词汇也需要不断的更新,IK分词器提供了扩展词汇的功能。 1)打开IK分词器config目录: 2)在IKAnalyzer.cfg.xml配置文件内容添加: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/p
elasticsearch目录及配置参数说明
juedaifenghua2的博客
04-04 4735
elasticsearch目录及配置参数说明
【详解】 ELK (ElasticStack) 实现日志监控
热门推荐
weixin_47255175的博客
05-10 1万+
目录 ElasticStack 介绍: Demo 实现 说在前面 案例实现流程图 创建Spring Boot 项目 项目部署、运行 Logstash配置 FileBeat配置 ES配置 Kibana配置 最终效果 前言 关于日志监控、日志管理,对于任何一个成型的系统来说都是必不可少的,之前使用Commons-IO实现过日志监控功能,实践告诉我们这个过程很繁琐,当然,并不是难实现的意思。最终是数据存在MongoDB,可是实际应用中一般没人选择这种方式。但听说ElasticS..
ElasticSearch】学习笔记(一)es的基本操作
Decade_Faiz的博客
12-13 341
创建索引库:PUT /索引库名查询索引库:GET /索引库名删除索引库:DELETE /索引库名修改索引库(添加新字段):PUT /索引库名/_mapping创建文档:POST /索引库名/_doc/id { json文档 }查询文档:GET /索引库名/_doc/id删除文档:DELETE /索引库名/_doc/id修改文档:全量修改:PUT /索引库名/_doc/文档id { json文档 }
docker搭建简单elk日志系统1(elasticsearch
weixin_44835704的博客
02-24 489
4.创建elk/elasticsearchelk/logstash、elk/kibana文件夹用于挂载配置文件。7.给挂载目录设置权限,使容器内外权限一致,elasticsearch内部用户gid:1000,uid:1000。2.修改/etc/security/limits.conf 文件,追加或修改配置。11.删除之前创建的elasticsearch容器并运行启动脚本。访问https://192.168.81.129:9200/6.另开一个窗口登录服务器。查看状态sestatus。
fluentd-elasticsearch
09-03
Fluentd-Elasticsearch是一种可以将日志数据上传到外部Elasticsearch的工具。它可以与ELK(Elasticsearch, Logstash, Kibana)或EFK(Elasticsearch, Fluentd, Kibana)等日志堆栈一起使用。 要部署Fluentd-Elasticsearch,您可以先下载该工具,然后执行"cd fluentd-elasticsearch && kubectl apply -f ."命令进行部署。 需要注意的是,Fluentd-ElasticsearchELK(Elasticsearch, Logstash, Kibana)以及EFK(Elasticsearch, Filebeat, Kibana)是不同的,后者通常是原生部署的日志堆栈。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [fluentd收集kubernetes 集群日志分析](https://blog.csdn.net/weixin_33857230/article/details/91420718)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值