02-elk创建多个日志索引---filebeat配置文件

最新推荐文章于 2024-07-24 17:15:33 发布
最新推荐文章于 2024-07-24 17:15:33 发布
阅读量1.2k 收藏 6
点赞数
分类专栏: ELK 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renren_100/article/details/119815097
版权

A,不修改日志格式的收集配置:

filebeat配置文件:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
output.elasticsearch:
  hosts: ["10.4.7.11:9200"]

在这里插入图片描述

B,收集日志(单个日志并修改日志索引名称)

1,在配置文件中 ,修改索引名称,并修改待收集软件的日志格式nginx

1,filebeat配置文件:

/etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  json.keys_under_root: true
  json.overwrite_keys: true 
    
output.elasticsearch:
   hosts: ["http://10.4.7.11:9200"]
   index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"
logging.level:   info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644 
setup.template.enabled: false
setup.template.name: "nginx"
setup.template.pattern: "nginx-*"
setup.ilm.enabled: false

2,修改nginx的日志文件格式(log_format):

在http模块下修改nginx生产的日志格式:
log_format json '{ "time_local": "$time_local", '
                          '"remote_addr": "$remote_addr", '
                          '"referer": "$http_referer", '
                          '"request": "$request", '
                          '"status": $status, '
                          '"bytes": $body_bytes_sent, '
                          '"agent": "$http_user_agent", '
                          '"x_forwarded": "$http_x_forwarded_for", '
                          '"up_addr": "$upstream_addr",'
                          '"up_host": "$upstream_http_host",'
                          '"upstream_time": "$upstream_response_time",'
                          '"request_time": "$request_time"'
    ' }';
    access_log  /var/log/nginx/access.log  json;

如示例:

在一个配置文件中收集多个日志文件
方法一:

cat >/etc/filebeat/filebeat.yml<<EOF
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  json.keys_under_root: true
  json.overwrite_keys: true 
    
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log
  json.keys_under_root: true
  json.overwrite_keys: true 
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log  
output.elasticsearch:
   hosts: ["http://10.4.7.11:9200"]
   indices:
     - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"
       when.contains:
         log.file.path: "/var/log/nginx/access.log"           ######特别是log.file.path的由来
     - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM.}"
       when.contains:
         log.file.path: "/var/log/nginx/error.log"            ######特别是log.file.path的由来 
logging.level:   info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644 
setup.template.enabled: false
setup.template.name: "nginx"
setup.template.pattern: "nginx-*"
setup.ilm.enabled: false
EOF


在这里插入图片描述
方法二:打个标签

打个标签:
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  json.keys_under_root: true
  json.overwrite_keys: true 
  tags: ["access"]
    
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log
  tags: ["error"]
  json.keys_under_root: true
  json.overwrite_keys: true 
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log  
processors:               ###删除无用的字段
  - drop_fields:
      fields: ["ecs","log","log.offset"]   
output.elasticsearch:
   hosts: ["http://10.4.7.11:9200"]
   indices:
     - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"
       when.contains:
          tags: "access"
     - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM.}"
       when.contains:
          tags: "error"
logging.level:   info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644 
setup.template.enabled: false
setup.template.name: "nginx"
setup.template.pattern: "nginx-*"
setup.ilm.enabled: false

删除无用的字段:

processors:
  - drop_fields:
      fields: ["ecs","log","log.offset"]

无用字段删除前与删除后的比较:
在这里插入图片描述

C,在不修改nginx默认日志格式的情况下,用grok收集nginx日志,

不需要修改日志的模式,通过定义grok 来收集日志
普通格式的日志,转换成json格式的形式

%{IP:clientip} - - \[%{HTTPDATE:nginx.access.time}\] \"%{DATA:nginx.access.info}\" %{NUMBER:http.response.status_code:log} %{NUMBER:http.response.boby.bytes:log} \"(-|%{DATA:http.request.referrer})\" \"(-|%{DATA:user_agent.original})\" \"(-|%{IP:http_x_forwarded_for})\"

在elasticsearch 中创建一个grok

PUT _ingest/pipeline/pipeline-nginx-access
{
  "description": "nginx access log",
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": ["%{IP:clientip} - - \\[%{HTTPDATE:nginx.access.time}\\] \"%{DATA:nginx.access.info}\" %{NUMBER:http.response.status_code:log} %{NUMBER:http.response.boby.bytes:log} \"(-|%{DATA:http.request.referrer})\" \"(-|%{DATA:user_agent.original})\" \"(-|%{IP:http_x_forwarded_for})\""]
      }
    },{
      "remove": {
        "field": "message"
      }
    }
  ]
}

3,修改filebeat配置文件

cat /etc/filebeat/filebeat.yml |egrep -v "#|^$"
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  tags: ["access"]
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log
  tags: ["error"]
processors:
  - drop_fields:
      fields: ["ecs","log"]
output.elasticsearch:
   hosts: ["http://10.4.7.11:9200"]
   pipelines:
    - pipeline: "pipeline-nginx-access"
      when.contains:
        tags: "access"
   indices:
     - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"
       when.contains:
         tags: "access"
     - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM.}"
       when.contains:
         tags: "error"
setup.template.enabled: false
setup.ilm.enabled: false

logging.level:   info
logging.to_files: true

D:利用官方的module来进行日志收集的配置工作

首先配置filebeat配置文件

filebeat.config.modules:      #这个指定了模块的位置,并激活模块功能
  path: ${path.config}/modules.d/*.yml
  reload.enabled: enable        
filebeat.modules:                   
- module: nginx
output.elasticsearch:
   hosts: ["http://10.4.7.11:9200"]
   indices:
     - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"
       when.contains:
     - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM.}"
       when.contains:
setup.template.enabled: false
setup.ilm.enabled: false

其次:修改filebeat的modules设置

cd /usr/share/filebeat/module/        ####  这个是filebeat的模板文件所在地
filebeat modules list
filebeat modules enable nginx    #### 激活nginx模板
# 在当前目录下编辑nginx.yml
vim nginx.yml
var.paths: ["/var/log/nginx/access.log"]
var.paths: ["/var/log/nginx/error.log"]  # 修改这两个地址
# 有一个报错算是可能是bug
在/usr/share/filebeat/module/nginx/access下有个ingress_controller目录,配置文件已经禁止了但还是可以开启,需要把这个文件删除掉。
mv  ingress_controller  /opt/   #移除   一劳永逸

最后就是清空日志文件,重启filebeat服务

echo > /var/log/nginx/access.log
echo > /var/log/nginx/error.log
systemctl restart filebeat
renren-100
关注
专栏目录
ELK学习之Filebeat 采集多个文件
weixin_60092693的博客
05-05 2693
Filebeat 采集多个文件 filebeat.inputs: # 从这里开始定义每个日志的路径、类型、收集方式等信息 - type: log # 指定收集的类型为 log paths: - /usr/local/nginx/logs/access.log # 设置 access.log 的路径 fields:
ELKFileBeat收集多个多类型日志配置
yh88356656的专栏
07-28 3133
话不多说了,直接上配置代码!!! 一、FileBeat配置: filebeat.inputs: - type: log enabled: true paths: - /opt/mall/logs/*/catalina.log fields: server: 服务器1 filetype: logfile #主要是这里个自定义字段,用来区分的 fields_under_root: true
filebeat多个日志输出多条索引案例
最新发布
shizhiyi的博客
07-24 338
index: web-nginx-%{[fields.type]}-%{+yyyy.MM.dd} # 设置索引名称,后面引用的 fields.type 变量。此处的配置应该可以省略(不符合下面创建索引条件的日志,会使用该索引,后续会测试是否是这样)- index: web-nginx-access-log-%{+yyyy.MM.dd} # 设置 access.log 日志索引,注意索引前面的 web-nginx 要与setup.template.pattern 的配置相匹配。
14filebeat收集多个域名日志创建不同索引.md
10-29
14filebeat收集多个域名日志创建不同索引.md
Filebeat+kfaka+ELK架构,采集多个日志
weixin_48096142的博客
03-25 478
Filebeat+kfaka+ELK架构,采集多个日志
ELK-日志服务【filebeat-安装使用】
L596462013的博客
07-12 1746
如果挨个配置会变得很麻烦,我们可以将这些日志进行统一几种管理,使用rsyslog将本地所有类型的日志都写入到/var/log/all.log文件中,然后使用filebeat对该文件进行收集。方式一、修改nginx的日志格式 json 方式二、filebeat —> logstash。系统日志包含messages、secure、cron、dmesg、ssh、boot等。
filebeat-6.2.1-linux-x86_64.tar.gz
02-19
2. **config**: 这个目录包含配置文件,如 `filebeat.yml`,这是 Filebeat 的主要配置文件,用户可以在这里设置数据源、输出目标、日志级别等参数。 3. **docs**: 存放官方文档,帮助用户了解如何使用 Filebeat 及其...
elk(都是6.2.4重点-版本2-收集nginx日志-无filebeat
07-09
- 创建一个 Logstash 配置文件,定义输入插件(读取 Nginx 日志),过滤器(处理日志数据),以及输出插件(将数据发送到 Redis)。 例如: ```ruby input { file { path => "/var/log/nginx/access.log" start...
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
在IT行业中,ELK(Elasticsearch、Logstash、Kibana)栈是广泛...通过这个教程,你将能够在CentOS 7上搭建一个功能齐全的ELK+Filebeat日志管理平台,利用docker-compose简化部署流程,高效处理和分析服务器的日志数据。
ELK多个日志文件创建多个项目索引
朦胧的旋律
10-12 5342
一、背景 我的elk架构是filebeat--redis--logstash--elasticsearch--kibana,我的想法是:我一台服务器多个程序有多个日志文件,在kibana里面想创建不通项目索引,指定不同日志文件 二、问题及解决思路 因为filebeat在6.0之后配置文件只能写一个output,因此多个日志文件都会传到redis的同一个库,同时key只能写一个。 但这样会有...
Docker ELK Filebeat 不同日志采集配置
Touch
07-04 1656
ELK日志分析的时候,有时需要一个filebeat采集多个日志,送给ES,或者给logstash做解析。下面举例演示以下filebeat采集error、warn日志送给ES或者送给logstash做解析的正确配置方法。 2、logstash.conf 配置 3、运行filebeat容器 日志文件 4、测试结果......
filebeat同时采集多个日志时,logstash和filebeat的文件配置
hjxloveqsx的博客
09-15 2348
filebeat同时采集多个日志时,logstash和filebeat的文件配置
ELK之配置多个客户端使用不同的索引
邓邓子的博客
03-10 2084
目录一、Filebeat 的基础概念1.输入2.收集器3.输出4.消息队列二、Filebeat 配置说明三、多个客户端使用不同的索引 一、Filebeat 的基础概念 1.输入 输入可以指定:file, stdin, redis, udp, docker, tcp, syslog。 2.收集器 (1). 对于每个单独的文件,会启动一个收集器按行读取文件,并发送到输出端。 (2). 收集器负责管理文件描述符,即使一个文件被重命名了,它仍会继续读该文件。 (3). 当日志内容一段时间没有变化时,收集器会关闭。
ELK_filebeat日志收集
weixin_55501651的博客
09-07 655
ELK_filebeat日志收集配置
如何给ELK日志加上索引
Crecendow
08-14 783
业务日志里的log patter放了seq 字段,那就可以在进入aop的时候 打上seq作为日志的字段索引,然后在处理流程结束的时候,拿出seq字段索引,这样排查的时候,就可以根据这个字段来排查了。1、遇到长流程的时候,日志记录是非常重要的。如何排查日志,可以在MDC中去put对应的值,这样就等于对你关心的关键字段加上了索引,在elk中可以通过该索引就能 容易排查到问题。同样的,如果是kafka的接受类,你可以把 offset和partition作为字段索引,也是及其好用的。
ELK系列(七)、Filebeat+Logstash采集多个日志文件并写入不同的ES索引
热门推荐
王义凯 的博客
05-24 1万+
Logstash依赖于JVM,在启动的时候大家也很容易就能发现它的启动速度很慢很慢,但logstash的好处是支持很多类型的插件,支持对数据做预处理。而filebeat很轻量,前身叫logstash-forward,是使用Golang开发的,所以不需要有java依赖,也很轻量,占用资源很小,但功能也很少,不支持对数据做预处理。因此一般都是将filebeat+logstash组合使用,在每个节点部署filbeat,然后将监控的日志推送到数据缓冲层或直接推送到logstash集群内,配合redis或kafka做
elk笔记22.2--通过api快速创建索引
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
08-31 261
elk笔记22--elk笔记22--通过api快速创建索引v21 简介2 功能实现2.1 源码2.2 测试3 注意事项说明 1 简介 本文基于 elk笔记22–通过api快速创建索引 继续通过 api 快速创建索引。本节将追加一个db模块存储索引,并添加通过flask程序提供对外的api,后续会在此基础之上新增一个简单的UI界面,同时会追加一个索引定期删除功能。 2 功能实现 本文前置条件需要安装一套elk实例和mysql,具体安装方法可以参考笔者博文: elk笔记1–搭建elk集群 elk笔记2–使用do
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
gaoshan12345678910的博客
02-24 1321
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
应用无侵入式日志管理:ELK+Filebeat配置与安装
安装ELKFilebeat涉及多个步骤,通常包括安装Elasticsearch、Logstash、Kibana和Filebeat,以及配置相应的服务,以保证这些组件能够正确地协同工作。安装过程需要根据操作系统和环境进行适配。 6. 使用Logstash...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值