ELK教程4 - filebeat

已于 2022-09-26 14:23:30 修改
阅读量1k 收藏
点赞数
分类专栏: 系统架构设计 文章标签: elk linux 服务器
于 2022-09-15 15:41:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010249118/article/details/126871996
版权

目录

约定

下载安装

服务操作

读取配置

输出配置

 重启filebeat服务

项目配置

 配置logstash

重启logstash服务

约定

查看用户列表:
# cat /etc/passwd

查看用户组列表:
# cat /etc/group

# 创建 filebeat用户和组
groupadd filebeat
useradd filebeat -m -s /sbin/nologin -d /home/filebeat -g filebeat


# useradd 参数
-s /sbin/nologin 设置不能登陆
-d 设置用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。 
-g 用户组 
-m 创建用户目录

下载安装

URL:Download Filebeat • Lightweight Log Analysis | Elastic

选择elasticsearch相同的版本

​#切换目录
cd  /home/filebeat

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.1-x86_64.rpm

yum -y localinstall filebeat-7.12.1-x86_64.rpm

rpm -qc filebeat

whereis filebeat

find / -name filebeat.yml
filebeat的配置文件默认为/etc/filebeat/filebeat.yml

服务操作

# 设置服务开机启动
systemctl enable filebeat.service

# 启动服务
systemctl start filebeat.service

#查询服务状态
systemctl status filebeat.service

#重启服务
systemctl restart filebeat.service

查看服务日志
journalctl -u filebeat.service

查看服务端口
netstat -nltp

日志配置

默认日志输出到了/var/log/messages里面,修改为/var/log/filebeat

vi /etc/filebeat/filebeat.yml

logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644

读取配置

  vi /etc/filebeat/filebeat.yml



# 修改为
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/messages
  
  # 变量,给elasticsearch使用
  fields:
    servername: 192.168.112.89
    servicename: xxx-service
  
  # 多行合并,用于错误日志堆栈,匹配日期开始的行,将后面的合并到这一行
  multiline.type: pattern
  multiline.pattern: '^[[:space:]]+(at|\.{3})\b|^Caused by:'
  multiline.negate: false
  multiline.match: after

输出配置

  vi /etc/filebeat/filebeat.yml



# 修改为logstash的端口,默认5044
output.logstash:
  hosts: ["localhost:5044"]

 重启filebeat服务

systemctl restart filebeat.service

项目配置

更新logback-spring.xml

<property name="FILE_LOG_PATTERN" value="[${PID:- }] %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level [TRACE_ID:%X{traceId}] [ORDER_NO:%X{orderNo}] %logger{64}#%method:%L => %msg%n"/>
<!-- 
[${PID:- }]:进程号
%d{yyyy-MM-dd HH:mm:ss.SSS}: 记录时间
[%thread]:线程名称
%-5level:日志等级
[TRACE_ID:%X{traceId}]:MdcKey.TRACE_ID 追踪号
[ORDER_NO:%X{orderNo}]:MdcKey.ORDER_NO 业务订单号(可选)
[自定义属性:%X{自定义属性}]:MdcKey,可以自定义其它业务属性,比如任务号、托盘号等
%logger{64}#%method:%L: 记录类、方法、行数
=> %msg%n:日志内容
-->

<!-- 日志文件的格式 -->
<encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder">
	<pattern>${FILE_LOG_PATTERN}</pattern>
	<charset>utf-8</charset>
</encoder>

 配置logstash

  vi /etc/logstash/conf.d/log-system.conf



input{
  #配置输入源是filebeat
  beats {
    port => 5044
    client_inactivity_timeout => 3000
  }
  tcp {
    mode => "server"
    host => "127.0.0.1"
    port => 4560
    codec => json_lines
  }
}

# Adding the filters
filter {
  
 grok {
   match => ["message", "(?m)^\[%{INT:pid}\]%{SPACE}%{TIMESTAMP_ISO8601:createTime}%{SPACE}\[%{DATA:threadName}\]%{SPACE}%{LOGLEVEL:LEVEL}%{SPACE}\[TRACE_ID:(?<traceId>\w*)\]%{SPACE}\[ORDER_NO:(?<orderNo>\w*)\]%{SPACE}%{JAVACLASS:javaClass}#(?<methodName>[\w*]+):%{INT:linenumber}%{SPACE}=>%{SPACE}%{GREEDYDATA:msg}"]
 }


 mutate {
    replace => { "[host]" => "%{[host][name]}" }
    remove_field => ["agent","@version", "tags", "ecs", "input", "[log][offset]"]
  }
}

output{

    elasticsearch{
      hosts => ["localhost:9200"]
      #引用filebeat中的变量创建索引
      index => "%{[fields][servername]}-%{[fields][servicename]}-%{+yyyy.MM.dd}"
    }

}

重启logstash服务

systemctl restart logstash.service

maxmaxma
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filebeat采集udp/tcp数据
zsx18273117003的博客
05-19 3835
背景:在win10下docker操作filebeat做日志采集基础上进行 一、配置文件 1. D:\usr\local\etc\filebeat目录下docker-compose-filebeat.yml文件,新增暴露端口 version: '3' services: filebeat: image: elastic/filebeat:7.6.2 container_name: filebeat volumes: - /d/usr/local/logs..
filebeat日志收集工具
最新发布
2303_79207100的博客
11-28 235
hosts:表示往哪个服务器上发送日志(filebeat先发往lostash,再由loastash发送到ES服务器)logstash可以使用任意端口,只有没被占用都可以使用,推荐使用从1024之后的端口号,用5044,5046都可以。filebeat无法实现数据过滤,一般结合logstash的数据过滤一块使用。tail -f filebeat.out 检查filebeat错误。httpd+nginx+mysql服务+filebeat组件。7、修改filebeat配置文件,接收不同主机上的服务的日志。
Filebeat新手入门(三)接入TCP/UDP数据
kele5589的博客
05-12 2505
filebeat 日志数据分析 大数据分析
4、Filebeat
光明小学王小雨的博客
05-07 596
一、Filebeat安装 1、下载解压 tar -zxf filebeat-6.6.0-linux-x86_64.tar.gz mv filebeat-6.6.0-linux-x86_64 /usr/local/filebeat-6.6.0 mv filebeat-6.6.0-linux-x86_64 /usr/local/filebeat-6.6.0 mv /usr/local/filebeat...
27.Filebeat的简单配置
热门推荐
Mars Loo的博客
03-26 1万+
简单介绍搭建一个可以工作的Filebeat的方法。
docker compose安装运行ELKFilebeat
weixin_38312502的博客
08-21 3958
1.作用 filebeat可以用来收集数据,发送给elasticsearch或者logstash等 2.docker-compose.yml 配置 filebeat: image: docker.elastic.co/beats/filebeat:7.3.0 container_name: filebeat volumes: - /usr/local/w...
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
教程将详细介绍如何在CentOS 7上利用docker-compose安装ELK+Filebeat。 1. **Elasticsearch**:Elasticsearch是一个分布式、RESTful风格的搜索和数据分析引擎,能够对大量数据进行快速的近实时处理。它是ELK堆栈...
ELK+FileBeat+Kafka分布式系统搭建图文教程.docx
06-06
ELK+FileBeat+Kafka分布式系统搭建图文教程教程详细记录了ELK+FileBeat+Kafka分布式系统的搭建流程和步骤,为大家快速上手提供了详细的指导。本系统由FileBeat、Kafka、Logstash、Elasticsearch、Kibana五个组件...
ELK+FileBeat+Kafka分布式系统搭建图文教程.pdf
06-15
1.filebeat收集需要提取的日志文件,将日志文件转存到kafka集群中,logstash处理kafka日志,格式化处理,并将日志输出到elasticsearch中,前台页面通过kibana展示日志。 2.使用kafka集群做缓存层,而不是直接将...
ELK-5.2.0-linux-x64.tar.gz.zip
05-11
ELK是三个开源工具的缩写,分别代表Elasticsearch、Logstash和Kibana,它们在IT运维领域中常被用于日志管理和数据分析。...使用时,只需按照官方文档或社区教程正确安装和配置这三个组件,即可充分发挥其功能。
filebeat主配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
ELK实战教程.zip
02-26
4. **ELK处理Web访问日志** 对于Web服务器的日志,如Apache或Nginx的access.log,Logstash可以使用grok解析器来解析常见的日志格式。解析后,可以利用Elasticsearch的聚合功能分析访问频率、IP来源、URL路径等,...
轻量级的日志采集组件 Filebeat 讲解与实战操作
匠人精神,持之以恒!
09-24 2210
Filebeat是一个轻量级的日志数据收集工具,属于Elastic公司的Elastic Stack(ELK Stack)生态系统的一部分。它的主要功能是从各种来源收集日志数据,将数据发送到Elasticsearch、Logstash或其他目标,以便进行搜索、分析和可视化。轻量级:Filebeat是一个轻量级的代理,对系统资源的消耗非常低。它设计用于高性能和低延迟,可以在各种环境中运行,包括服务器、容器和虚拟机。多源收集。
ELK——ELK+filebeat+kafka部署——(1)部署ELK
w1206507055的博客
06-15 653
部署ELK
filebeat配置详解
weixin_42689717的博客
09-26 138
Filebeat的安装和使用
weixin_44239915的博客
06-26 6442
由于logstash采集日志时的资源消耗较大,故搜集日志的工作交给其他轻量级工具,再传输给logstash进行处理。Filebeat是比较好用的一款工具,filebeat是本地文件的日志数据采集器。 作为服务器上的代理安装,Filebeat监视日志目录或特定日志文件,tail file,并将它们转发给Elasticsearch或Logstash进行索引、kafka 等。 官方网站:https:/...
ELK入门(六)——Filebeat安装与启动(rpm包)+logstash(rpm包)
Netceor的博客
01-23 1931
一、filebeat安装 # 下载 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.10.0-linux-x86_64.tar.gz # 解压 tar -zxvf filebeat-7.10.0-linux-x86_64.tar.gz 其中版本号(7.10.0字段)可以依据需要更改,解压后出现filebeat-7.10.0-linux-x86_64的文件夹 二、yml配置 在该文件夹下有一个fileb
filebeat常见配置项梳理
Jerry00713的博客
02-24 6386
filebeat 5.2.2 prospector(input)段配置 filebeat.prospectors: 每一个prospectors,起始于一个破折号”-“ - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: 日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf-8, utf-16be-b
filebeat 启动流程
laomei
07-24 3974
因为各种各样的原因,好久没有写博客了,还是希望能够坚持下来 讲解一下filebeat的启动流程吧,核心功能先不描述了0.0 filebeat启动入口在main.go文件内, cmd.RootCmd.Execute()启动filebeat; func main() { if err := cmd.RootCmd.Execute(); err != nil { os.Exit(1) } } ...
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
ELK日志归集 - 搭建及使用说明文档V1.0 Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且。 logstash比filebeat功能更强大一点,2个都使用是因为:Beats 是一个轻量级的采集器,支持从边缘机器向 Logstash 和 Elasticsearch 发送数据。考虑到 Logstash 占用系统资源较多,我们采用 Filebeat 来作为我们的日志采集器。并且这里采用kafka作为传输方式是为了避免堵塞和丢失,以实现日志的实时更新。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值