Beats — Filebeat 基础操作

最新推荐文章于 2024-04-11 18:40:07 发布
最新推荐文章于 2024-04-11 18:40:07 发布
阅读量2.8k 收藏 5
点赞数
分类专栏: ELK 文章标签: Elastic Stack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shm19990131/article/details/107322860
版权

ElasticStack—Beats

定义

BEATS 轻量型数据采集器 官网:https://www.elastic.co/cn/beats/

Beats 是一个免费且开放的平台,集合了多种单一用途数据采集器。它们从成百上千、上万台机器和系统向 Logstash 或 ElasticSearch 发送数据。


一、ElasticStack 的组成

Beats 采集端 ---- kafka 消息队列 ---- logstash 数据处理引擎 ---- ElasticSearch 数据存储 ---- Kibana数据展示


二、Beats 组件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Lqjux3H-1594637012061)(C:\Users\86156\Pictures\devops\ELK\批注 2020-07-10 165923.png)]

最重要的

FileBeat 日志采集
Metricbeat 系统指标采集


FileBeat 日志采集

官方文档:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation.html
在这里插入图片描述
在这里插入图片描述

Filebeat 可以有多个源数据端(input),不断产生日志,例如(nginx-access.log)

👇

Spooler 传输采集到的数据,到达数据的采集端( Kafka、Logstash)

👇

采集端(Kafka\logstash),实际生产环境种存在大量的日志文件,logstash 并不能处理高并发的大容量数据,会告诉 Filebeat 减缓日志读取速度。所以一般是 Filebeat ----> kafka ----> Logstash


二、 Filebeat 工作原理

Filebeat 由两个主要组件组成:prospector(发现文件) 和 harvester(读取文件内容)

  • havester:

    • 负责读取单个文件的内容
    • 如果文件在读取时被删除或者重命名,filebeat 将继续读取该文件

  • prospector

    • prospector 负责管理 harvester 并找到所有要读取的文件来源
    • 如果输入类型为日志,则查找器将查找路径匹配的所有文件,并为每个文件启动一个 harvester
    • Filebeat 目前支持两种 prospector 类型,log 和 stdin。

  • Filebeat 如何保持文件的状态

    • Filebeat 保存每个文件的状态并经常将状态刷新到磁盘上的注册文件中。
    • 该状态用于记住 harvester 正在读取的最后偏移量,并确保发送所有日志行。
    • 如果输出(例如ElasticSearch 或 Logstash )无法访问,Filebeat 会跟踪最后发送的行,并在输出再次可用时继续读取文件。
    • 在 Filebeat 运行时,每个 prospector 内存中也会保存的文件状态信息,当重新启动 Filebeat时,将使用注册文件的数据来重建文件状态,Filebeat 将从每个 harvester 保存的最后段偏移量继续读取。
    • 文件状态记录在 data/registry 文件中。


三、启动命令

路径下启动 -e -c 指定 采集数据的配置文件

./filebeat -e -c itcast.yml

./filebeat -e -c itcast.yml -d “publish”

-e:输出到标准输出,默认输出到 syslog 和 logs下

-c:指定配置文件

-d:输出 debug 信息


四、部署和运行

filebeat 下载地址:https://www.elastic.co/downloads/past-releases

软件包版本与 ES 集群和logstash 全部采用同一版本

tar -zxvf filebeat-7.6.2-linux-x86_64.tar.gz -C /usr/src/
mv /usr/src/filebeat-7.6.2-linux-x86_64/ /usr/local/filebeat


1、output.console 通过终端获取到数据

vim /usr/local/filebeat/itcast-log.yml

filebeat.inputs:	#写入数据
 - type: log		#log日志格式
   enabled: true	#开启 input
   paths:			#写入数据的路径文件
     - /itcast/beats/logs/*.log		#通过此 log 日志写入数据
setup.template.settings:
  index.number_of_shards: 3
output.console:		#输出收集的数据	
  pretty: true		#以人性化方式显示
  enable: true		#是否开启 output

启动 filebeat

[root@node3 filebeat]# ./filebeat -e -c itcast-log.yml

不断的向 /itcast/beats/logs/路径下的 .log 日志文件写入内容,终端显示采集到的数据

{
  "@timestamp": "2020-07-10T09:52:22.880Z",		#时间
  "@metadata": {
    "beat": "filebeat",					#由谁获取的数据
    "type": "_doc",								
    "version": "7.6.2"							
  },
  "agent": {
    "version": "7.6.2",
    "type": "filebeat",
    "ephemeral_id": "de081f86-da27-4679-af73-b261ce5578d2",
    "hostname": "node3",
    "id": "4ca47258-8944-4973-9262-9a34d9284f4a"
  },
  "message": "asjd",					#数据内容
  "log": {
    "offset": 2,
    "file": {
      "path": "/itcast/beats/logs/abc.log"		#数据文件路径
    }
  },
  "input": {
    "type": "log"
  },
  "ecs": {
    "version": "1.4.0"
  },
  "host": {
    "name": "node3"
  }
}

2、输出 到 output.ElasicSearch

filebeat.inputs:
 - type: log
   enabled: true
   paths:
     - /itcast/beats/logs/*.log
   tags: ["web"]	#设置索引标签
   fileds:			
     from: test-web
   fileds_under_root: true
setup.template.settings: 
  index.number_of_shards: 3
output.elasticsearch:				#output到 Elasticsearch当中
  hosts: ["192.168.168.4:9200"]		#指定 Elasticsearch 的节点IP地址

在这里插入图片描述
在这里插入图片描述

filebeat 按照时间来存储 索引数据,2020-07-10-000001,每一天都会更新一个新的索引**


3、读取 Nginx 日志文件

创建配置文件 itcast-nginx.yml

filebeat.inputs:
 - type: log
   enabled: true
   paths:
     - /usr/local/nginx/logs/access.log
   tags: ["nginx"]
setup.template.settings:
  index.number_of_shards: 3
output.elasticsearch:
  hosts: ["192.168.168.4:9200"]


4、Module 内置模块采集Nginx

Filebeat 内置模块目录 /usr/local/filebea/module/

Filebeat 开启 Module 的配置文件目录 /usr/local/filebeat/modules.d/

在这里插入图片描述在这里插入图片描述

内置Module 启动nginx,禁用nginx

./filebeat modules enable nginx
./filebeat modules disable nginx

./filebeat modules list 查看是否启动成功

配置 Module – Nginx 配置文件

成功开启之后的 nginx.yml 是不带 disabled 的./modules.d/nginx.yml

- module: nginx
  # Access logs
  access:
    enabled: true
    var.paths: ["/usr/local/nginx/logs/access.log*"]	#重点:别忘了加个*
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:

  # Error logs
  error:
    enabled: true
    var.paths: ["/usr/local/nginx/logs/error.log*"]   #重点: 别忘了加个 *
    # Set custom paths for the log files. If left empty,
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:
配置 filebeat

vim /usr/local/filebeat/itcast-nginx.yml

filebeat.inputs:
setup.template.settings:
  index.number_of_shards: 3
output.elasticsearch:
  hosts: ["192.168.168.4:9200"]		#将数据输出到 ES
filebeat.config.modules:			#指定内置 Modules 模块
 path: ${path.config}/modules.d/nginx.yml	#nginx.yml 文件路径
 reload.enable: false				#是否重新加载,暂时 false

启动 filebeat ./filebeat -e -c itcast-nginx.yml

通过 Module 启动的 Nginx 日志采集,会对日志数据进行规范化的格式进行存储
在这里插入图片描述

这个阻塞日志意思:5分钟之内,没有新的数据产生,不是报错
在这里插入图片描述

官网所有 Module 的文档:

https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-modules.html


Modules - Nginx - 日志仪表板

编辑收集日志的配置文件

vim itcast-nginx.yml

filebeat.inputs:
setup.template.settings:
  index.number_of_shards: 3
output.elasticsearch:
  hosts: ["192.168.168.4:9200"]
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: true
setup.kibana:
  host: "192.168.168.4:5601"

安装仪表板

./filebeat -c itcast-nginx.yml setup

启动 filebeat

./filebeat -e -c itcast-nginx.yml

在 kibana - dashboard 里面搜过 Nginx,点击 Filebeat 的仪表板即可查看

在这里插入图片描述

 清欢渡.
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filebeat-6.1.1-arm64
10-17
这是一个在arm64位系统下,用go编译运行的filebeat-6.1.1-arm64二进制可执行文件,有用arm64为系统的老铁可以下载后替换掉相同版本的filebeat中的二进制文件即可使用。
Beats-Filebeat命令&配置说明
七路灯
04-29 1071
介绍Filebeat命令、配置以及最佳实战。 基于7.11版本。 目录命令配置说明 filebeat.yml最佳实践调优 命令 export:导出配置到标准输出(configuration, index template, ILM policy, dashboard) keystore:管理秘钥仓库 modules:管理模块配置 run:运行Filebeat。不知道命令的情况下,默认使用此命令 –modules MODULE_LIST:指定运行的模块 setup:一次性初始化环境。包括索引模板,.
filebeat___log -input
qq_45335806的博客
12-03 319
1.exclude_lines filebeat.inputs: - type: log paths: - /var/log/system.log - /var/log/wifi.log - type: log paths: - "/var/log/apache2/*" exclude_lines: ['^DBG'] #删除以DBG开头的任何行 fields: apache: true #使用fields配置选项将名为apache的字段
ELK详解(十六)——filebeat安装与使用_filebeat配置文件详解
最新发布
2301_76225520的博客
04-11 490
filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。。
Beats:为 Filebeat 配置 inputs
Elastic 中国社区官方博客
07-19 3800
Filebeat 模块为常见日志格式提供最快的入门体验。如果你对如何使用 Filebeat 模块还不是挺了解的话,请参阅我之前的文章: BeatsBeats 入门教程 (一) BeatsBeats 入门教程 (二) 为了能够手动配置 Filebeat 而不是使用模块,你可以在配置文件 filebeat.yml的 filebeat.inputs 部分定义一个列表的inputs。这些 inputs 定义了 Filebeat 如何定位及处理 input 数据。 这个列表是一个 YAML 的数组。每个..
filebeat7.7.0相关详细配置预览- Filebeat inputs
BigManing的博客
08-17 4122
文章目录1、Azure eventhub2、Cloud Foundry3、Container4、~~Docker~~5、Google Pub/Sub6、HTTP JSON7、Kafka8、Log(最常用)9、MQTT10、NetFlow11、Office 365 Management Activity API12、Redis13、s314、Stdin15、Syslog16、TCP17、UDP 手动配置filebeat采集源,可配置多个相同或者不同的源。 可支持以下输入源: 1、Azure eventh
ELK-005-Beats-Filebeat配置项详解之global
Yang
09-17 833
1. global所有配置项#========================= Filebeat global options ============================# Event count spool threshold - forces network flush if exceeded #filebeat.spool_size: 2048# Enable async pu
filebeat-8.0.0
04-11
Filebeat 是使用 Golang 实现的轻量型日志采集器,也是 Elasticsearch stack 里面的一员。本质上是一个 agent ,可以安装在各个...filebeat 其实是 elastic/beats 的一员,除了 filebeat 外,还有 HeartBeat、PacketBea
chef-filebeat:厨师食谱管理弹性Filebeat https
05-23
最新发行 cookbook 'filebeat' , '~> 2.4.0'从吉特 cookbook 'filebeat' , github : 'vkhatri/chef-filebeat' , tag : 'v2.4.0'资料库https://github.com/vkhatri/chef-filebeat支持的操作系统视窗亚马逊Linux ...
multi_beats:Filebeat + metricbeat + Heartbeat的多个实例
04-13
多拍 Filebeat + metricbeat + Heartbeat的多个实例
beats-docker:Beats Docker官方镜像
02-03
该存储库不再用于从生成正式的 Docker映像。 要为6.6之前的版本构建Beats docker映像,请将此存储库中的分支切换到匹配的版本。
Filebeat
huiyanshizhen21的博客
12-12 1323
1.官网 https://www.elastic.co/products/beats/filebeat 轻量型日志采集器 当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。 2.下载、配置 下载 wget https://artifacts.elastic.co/dow...
Filebeat
源圈
08-25 1548
文章目录1. Filebeat简介 1. Filebeat简介 FilebeatElasticsearch 公司开发并提供的一款开源轻量级日志收集器,它是Beats 的一种,主要用来收集日志文件数据。   当你启动 Filebeat 时,它将启动一个或多个输入源(inputs)用来监控事先指定的日志文件位置,对于 Filebeat 定位到的每个日志文件,Filebeat 将为其启动一个收集...
filebeat-input-stream配置
wxd5617的博客
12-18 2071
不是基于文件的修改时间。如果关闭的文件再次发生变化,则启动一个新的收割机,并在勘探者.scanner之后收集最新的变化。已经过Check_interval。我们建议你设置close.on_state_change.Inactive设置为大于日志文件中最不频繁更新的值。例如,如果你的日志文件每隔几秒钟更新一次,你可以安全地设置close.on_state_change。静止到1m。如果有更新速度非常不同的日志文件,您可以使用具有不同值的多个配置。设置close.on_state_change。
filebeat+kafka 启动命令
m0_47959499的博客
02-02 243
filebeat+kafka 启动命令 先配置好相关配置 filebeat https://blog.csdn.net/haozhuxuan/article/details/79753599 kafka https://blog.csdn.net/weixin_38004638/article/details/91893910 elasticsearch 启动 双击bin目录下.bat Windows filebeat启动.\filebeat -e -c filebeat.yml zk启动 双击bin目录下
ELK--filebeat命令行参数解释
dlm520947的博客
01-19 425
./filebeat   使用-c命令行上的标志设置要加载的配置文件,可以通过重复-c标志来指定多个配置文件,   可以使用覆盖个别设置-E <setting>=<value>。<value>可以是单个值,也可以是复杂对象,如列表或字典。     例如: -E output ='{elasticsearch.enabled:false,con...
ELK-003-Beats-Filebeat的工作原理
Yang
09-15 965
1. 引言本系列上一篇文章《 ELK-002-Beats-Filebeat的HelloWorld》中我们降到了Filebeat的应用场景,同时搭建Filebeat完成了HelloWorld示例,今天我们来探讨下Filebeat的工作原理。Filebeat主要是靠两个组件共同工作完成日志采集的:harvester(收割者)和prospector(勘探者),这两个组件共同工作去获取最新的日志事件然后推送
filebeat 启动脚本
weixin_34208283的博客
03-20 4187
之前安装filebeat启动的时候使用命令放到后台的话非常麻烦,所以写了个filebeat启动脚本,希望能够帮助到大家。#!/bin/bash PATH=/usr/bin:/sbin:/bin:/usr/sbin exportPATH agent="/usr/local/filebeat/filebeat" args="-c/usr/local/filebeat/fi...
Filebeat手册-官方文档译(input-log官方不推荐请使用stream)
wxd5617的博客
12-17 1550
filebeat不在支持input - log方式
docker filebeat
09-21
Docker中的Filebeat是一个轻量级的日志收集工具。下面是一种在Docker上配置Filebeat的方法: 1. 首先,拉取Filebeat镜像: ``` docker pull docker.elastic.co/beats/filebeat:7.9.2 ``` 2. 创建一个filebeat.docker.yml文件,并通过卷挂载将该文件挂载到容器中: ``` docker run -d \ --name=filebeat \ --user=root \ --volume="$(pwd)/filebeat.docker.yml:/usr/share/filebeat/filebeat.yml:ro" \ --volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" \ --volume="/var/run/docker.sock:/var/run/docker.sock:ro" \ docker.elastic.co/beats/filebeat:7.9.2 filebeat -e -strict.perms=false \ -E output.elasticsearch.hosts=["elasticsearch:9200"] ``` 3. 运行Filebeat,确保它可以连接到正确的Elasticsearch主机和端口。 可以通过将Filebeat配置文件嵌入自定义镜像来部署Filebeat。以下是一个例子的Dockerfile,它实现了这一目的: ``` FROM docker.elastic.co/beats/filebeat:7.9.2 COPY filebeat.yml /usr/share/filebeat/filebeat.yml USER root RUN chown root:filebeat /usr/share/filebeat/filebeat.yml USER filebeat ``` 以上是在Docker中使用Filebeat的基本步骤。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值