分布式ELK-Logstash、Kibana

最新推荐文章于 2022-03-29 11:52:03 发布
最新推荐文章于 2022-03-29 11:52:03 发布
阅读量101 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sda1_hacker/article/details/104580786
版权

一、Logstash:用于收集、分析、处理日志。

1、准备主机
准备主机192.168.1.57,修改/etc/hosts文件(ELK所有主机上都相同)
192.168.1.51 es1
192.168.1.52 es2
192.168.1.53 es3
192.168.1.54 es4
192.168.1.55 es5
192.168.1.56 kibana
192.168.1.57 logstash


2、安装相关软件包
yum -y install java-1.8.0-openjdk
yum -y install logstash		# 默认安装在/opt/logstash下


3、创建配置文件
logstash默认没有配置文件,需要自定义配置文件
vim /etc/logstash/logstash.conf	# 创建配置文件
配置文件中需要分为三个部分(模块)
	①、input{}	读取数据
	②、filter{}	处理数据
	③、output{}	输出数据


4、配置文件语法:
	类型:(变量名=>值)
		布尔:ssl_enable=>true		# 给ssl_enable赋值为true
		字节:bytes=>"1MiB"
		字符串:name=>"jack"
		数值:port=>22
		数组:match=>["abc", "filter"]
		哈希:options=>[k=>'v', k2=>'v2']
		编码解码:codec=>“json”	# 支持yaml,json等格式
		路径:file_path=>"/tmp/filename"
		注释:#

	条件判断:
		==, !=, <, >, <=, >=, 
		=~		# 匹配正则
		!=		# 不匹配正则


5、第一个配置文件
vim /etc/logstash/logstash.conf
input{
    stdin{}		# 插件,表示手动输入
}
filter{
}
output{
    stdout{}	#插件,表示输出到屏幕
}
/opt/logstash/bin/logstash -f /etc/logstash/logstash.conf	#根据配置文件执行logstash


6、插件:
像stdin{},stdout{}都属于插件。
/opt/logstash/bin/logstash-plugin list				# 查看可用的插件
/opt/logstash/bin/logstash-plugin install xxx		# 安装插件
/opt/logstash/bin/logstash-plugin uninstall xxx		#卸载插件
# 到https://github.com/logstash-plugins可以查看所有插件以及手册
插件的分类主要有四种:
	input:仅用于input模块
	output:仅用于output模块
	filter:仅用于output模块
	codec:可以用于所有模块

vim /etc/logstash/logstash.conf
input{
    stdin{
    codec => "json"        //输入设置为编码json
   }
}
filter{
}
output{
    stdout{
    codec => "rubydebug"        //输出设置为rubydebug
   }
}


7、常用插件:
	input-file插件:从文件中读取数据
	input{
	  file {	# 一个input中可以包含多个file插件
	    path          => [ "/tmp/a.log", "/tmp/b.log" ]
	   sincedb_path   => "/var/lib/logstash/sincedb"    # 记录读取文件的位置,logstash关闭时向这个文件中写数据
	   start_position => "beginning"                # 配置第一次读取文件从什么地方开始
	   type           => "testlog"                    # 类型名称,标签,日志的种类(自定义)
	  }
	}


	filter-grok插件:解析各种非结构化日志
	①:使用正则表达式
	filter{
	    grok{
	       match => [ "message",  "(?<client_ip>[0-9.]+)" ]	# 正则表达式,给匹配到的ip地址取名为client_ip
	    }
	}
	②:使用宏(别人定义好的正则)
	在/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns/这个目录下,grok-patterns这个文件
	filter{
	   grok{
	        match => ["message", "%{COMBINEDAPACHELOG}"]	# 使用了宏,标准apache正则
	  }
	}

	
	output-elasticsearch插件:向elasticsearch中写入数据
	output{
      stdout{ codec => "rubydebug" }
      if [type] == "apachelog"{	# 接受日志的类型,在web服务器上的filebeat中定义为 document_type: apachelog
	      elasticsearch {
	          hosts => ["192.168.1.51:9200", "192.168.1.52:9200"]	# elasticsearch集群中主机
	          index => "apachelog"	# elasticsearch中的index
	          flush_size => 2000	# 数据累计超过2000字节,向数据库写入一次
	          idle_flush_time => 10	# 10秒向数据库写入一次
	      }
		}
	}


	input-beats:接受web服务器上通过filebeat发送过来的数据
	input{
		beats{
			port=>5044		# 通过5044接受filebeat发送的日志数据
		}
	}


8、web服务器向Logstash发送数据:(web服务器192.168.1.55)
yum -y install filebeat	# 从本地读取日志,然后发送给elasticsearch或者logstash

vim/etc/filebeat/filebeat.yml
paths:
	- /var/log/httpd/access_log   	# 日志的路径,短横线加空格代表yml格式
	document_type: apachelog    	# 日志类型,在logstash中使用
elasticsearch:        # 发送给elasticsearch主机
	hosts: ["es5:9200"]                # elasticsearch主机
logstash:             # 发送给logstash主机
	hosts: ["192.168.1.57:5044"]       # logstash主机

systemctl enable filebeat
systemctl start filebeat

给logstash的filter加上判断(192.168.1.57)
filter{
	if [type] == "apachelog"{	# 日志类型,在web服务器上的filebeat中定义为 document_type: apachelog
	   grok{
	        match => ["message", "%{COMBINEDAPACHELOG}"]
	  }
	}
}

二、Kibana:elk可视化工具

1、准备主机(192.168.1.56)
同上,

2、安装软件包
yum -y install kibana
rpm -qc kibana	# -qc查看对应软件包配置文件的位置

3、修改配置文件
vim /opt/kibana/config/kibana.yml
server.port: 5601								# 第2行,服务端口,若把端口改为80,可以成功启动kibana,但ss时没有端口,没有监听80端口,服务里面写死了,不能用80端口,只能是5601这个端口
server.host: "0.0.0.0"        					# 第5行,服务器监听地址
elasticsearch.url: http://192.168.1.51:9200     # 第15 行,es集群中任意一台主机
kibana.index: ".kibana"    						# 第23行,kibana自己创建的索引,名字为.kibana
kibana.defaultAppId: "discover"    				# 第26行,打开kibana页面时,默认打开的页面discover,即默认首页
elasticsearch.pingTimeout: 1500    				# 第53行,ping检测超时时间
elasticsearch.requestTimeout: 30000    			# 第57行,请求超时
elasticsearch.startupTimeout: 5000    			# 第64行,启动超时


4、启动服务
systemctl restart kibana
systemctl enable  kibana
访问:http://192.168.1.56://5601


5、测试
提前将数据导入到elasticsearch中,然后访问http://192.168.1.56://5601进行分析
sda1_hacker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK-快速入门使用
03-03
ELK是三个开源软件的缩写,分别表示:Elasticsearch,Logstash,KibanaELK通常用来构建日志分析平台、数据分析搜索平台等Elasticsearch是个开源分布式全文检索和数据分析平台。它的特点有:分布式,零配置,自动发现...
使用logstash进行ip映射(主机名或系统名)
点火三周的专栏
04-04 6660
文章目录需求场景解决方案测试示例性能测试与调优 需求场景 当使用elasticsearch进行日志数据可视化的时候,往往会遇到需要IP地址无法human-reading的情况。这时,我们需要将IP地址进行一定的格式转换,将其转换为主机名(hostname)或者系统名(application/service name)。 以WAF的日志为例,里面的dst_ip记录了被攻击的主机ip,scr_ip记录...
logstash使用小结
好记性不如烂笔头
05-03 3574
http://nosmoking.blog.51cto.com/3263888/1852115 一、安装 1、jdk 和 环境变量 支持jdk-1.7以上,推荐jdk-1.8 在环境变量配置:JAVA_HOME   2、安装 有2种方式下载,推荐缓存rpm包到本地yum源 1)直接使用rpm wget https://dow
分布式日志收集之Logstash 笔记(一)
三劫散仙
11-05 1万+
(一)logstash是什么? logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好,非常简洁强大,经常与ElasticSearch,Kibana配置,组成著名的ELK技术栈,非常适合用来做日志数据的分析。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如MySQL,redis
ELK技术栈之——分布式搜索--Elasticsearch+Kibana(一)
金蒂
01-18 3117
一、背景 关于ELK的技术栈大家一定不陌生,EKL分别为 分布式搜索Elasticsearch、日志的收集LogStash、提供友好界面的KibanaELK技术栈被广泛应用在日志数据分析、实时监控等领域‘。 二、初识Elasticsearch elasticsearch是一款非常强大的开源搜索引擎,可以帮助我们从海量数据中快速找到需要的内容。 我们为什么要学习Elasticsearch? 看一下全球搜索技术排行: 三、Elasticsearch与传统数据库搜索对比 搜索方式: EL
(精华)2020年10月2日 微服务 logstash的使用
热门推荐
时光隧道
09-04 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
Elasticsearch、LogstashKibana核心套件安装
08-10
ELK是Elasticsearch、LogstashKibana的简称,这三者是核心套件,但并非全部。 Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
elk-stack-guide-cn.pdf
12-31
ELK是Elasticsearch、LogstashKibana三大开源框架首字母大写简称。市面上也被成为Elastic Stack。其中Elasticsearch是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。像类似百度、谷歌...
linu 搭建ELK(es+kibana+logstash)安装
12-02
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
Logstash安装及使用
我的祖传代码
08-18 1万+
目录 1 简介 1.1 Inputs 1.1.1 Input plugins 1.2 Filters 1.3 Output 1.3.1 Output plugins 1.3.2 Csv输出插件示例 1.4 Logstash特点 1.4.1 即插即用 1.4.2 可扩展性 1.4.3 耐用性和安全性 1.4.4 检测 1.4.5 管理与检查 2 安装 2.1 下载...
logstash安装及简单测试
九天的博客
05-22 972
背景 业务目的是能够分析nginx和apache每天产生的日志,对url、ip、rest接口等信息进行监控,并将数据发送到elasticsearch服务。 对比flume 不重复消费,数据不丢失 目前flume支持hdfs比较好(个人理解) 离线安装 先配置JAVA_HOME 必须java8以上 下载解压即可 标准输入输出 bin/logstash -e 'input { stdin {} ...
ELK基础环境搭建-kibana配置分布式日志系统
编程之美
06-14 482
    "line_number": "String",    "speaker": "String",    "text_entry": "String",}Theaccounts data set is organized in the following schema:{    "account_number": INT,    "balance&quo
使用kibana+logstash+elasticsearch+redis搭建分布式日志收集、分析、查询系统。
乐乐的专栏
12-16 3021
1)      数据采集 地址: https://www.elastic.co/downloads/logstash  下载: wget https://artifacts.elastic.co/downloads/logstash/logstash-5.1.1.tar.gz   tar –zxvf logstash-5.1.1.tar.gz   数据采集端的安装步骤与服务器端的安
三、Logstash
Six_three的博客
03-29 2586
三、Logstash 1. 安装 参考官方网站 Logstash # curl -OL https://artifacts.elastic.co/downloads/logstash/logstash-7.13.2-linux-x86_64.tar.gz # tar -xf logstash-7.13.2-linux-x86_64.tar.gz -C /usr/local/ # mv /usr/local/logstash-7.13.2/ /usr/local/logstash 2. 测试运行 运行最
elk日志分析filebeat配置(filebeat + logstash
wzz_ccr的博客
01-23 1万+
日志格式: nginx_access: { "@timestamp":"2017-01-23T15:16:48+08:00","client": "192.168.0.151","@version":"1","host":"192.168.0.147","size":160,"responsetime":0.000,"domain":"mv.bjfxr.com","url":"/index.h
kibana连接ES集群
HouYing
08-30 2万+
# Kibana is served by a back end server. This setting specifies the port to use.server.port: 5601 # Specifies the address to which the Kibana server will bind. IP addresses and host names are both va...
基于ELK分布式日志存储、检索系统之Kibana
wrke1990的专栏
07-29 210
Kibana 一、定义 Kibana是一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化,并让您在 Elastic Stack 中进行导航。您可以进行各种操作,从跟踪查询负载,到理解请求如何流经您的整个应用,都能轻松完成。 二、环境搭建 1、基于docker 下载镜像:docker pull kibana:7.8.0 在本地创建kibana/data、kibana/config两个目录,用来映射容器中的数据和配置文件,并新增kibana.yml。kibana.yml内容如下:
日志收集神器 Logstash,闪亮登场~
emprere的博客
02-04 384
作者:废物大师兄来源:www.cnblogs.com/cjsblog/p/9445792.htmlLogstash介绍Logstash是一个开源数据收引擎,具有实时管道功能。Logstas...
logstash配置文件详解
Lamar's Blog
03-10 4万+
Logstash实际应用配置详解背景业务目的是能够分析nginx和apache每天产生的日志,对url、ip、rest接口等信息进行监控,并将数据发送到elasticsearch服务。
elastic search logstash kibana
最新发布
04-17
Elasticsearch, Logstash, 和 Kibana 是一套常用的开源工具组合,被称为ELK Stack,用于处理和可视化大规模数据集。下面是对它们的简要介绍: 1. Elasticsearch(简称ES)是一个分布式、高性能的搜索和分析引擎。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值