Mac下配置Filebeat+ELK日志管线的方法

最新推荐文章于 2024-04-23 10:32:43 发布
最新推荐文章于 2024-04-23 10:32:43 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: Data Pipeline 文章标签: Elastic Data Pipeline
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010281174/article/details/97178567
版权

介绍

日常维护运行在集群上的服务时,依次登录到机器上查看日志文件显然是非常低效的。另一方面,这些日志文件经常是有着良好的格式以及固定的路径。如果能将指定的日志文件批量导出到一个数据库里,无论是查看还是检索都会方便很多。这里记录一下在构建日志管理系统时的一些工具和方法,方便以后取用。

本文将构建的系统如下面的框图所示,用于管理日志文件(例如.log文件),并可以通过可视化工具Kibana显示、查找。

整个系统全部使用Elastic家族的服务,包括日志监控/读取服务Filebeat,数据管线Logstash,弹性存储和搜索服务Elasticsearch,以及最终的可视化工具Kibana。其中,Logstash是可选的,Filebeat也支持直接注入数据到Elasticsearch中,它存在的意义在于对日志进行一次filter处理,减轻Elasticsearch上的存储压力。

为了便于操作,本文整个系统都在一台电脑上实现。实际应用中,各个服务可能搭建在不同的机器上,服务之间通过网络通讯。但是原理都是一致的。

安装

这次用到的Elastic全家桶可以用homebrew安装,非常方便。

brew tap elastic/tap
brew install elastic/tap/elasticsearch-full
brew install elastic/tap/filebeat-full
brew install elastic/tap/logstash-full
brew install elastic/tap/kibana-full

其中,Logstash需要java支持,而且必须是java8或java11。可以用brew安装:

brew cask install homebrew/cask-versions/adoptopenjdk8

也可以自己前往oracle官网下载安装。

以上安装完成后,运行

brew services list

如果看到

Name               Status  User Plist
elasticsearch-full stopped      
filebeat-full      stopped      
kibana-full        stopped      
logstash-full      stopped      

则证明安装成功了。稍后配置完成后,我们再回头启动这些service。

配置路径

这次用到了一共4个服务,这些服务的配置、日志等路径都不一样,整理如下。需要注意的是,本文是用brew安装在mac上的,在其他系统上路径结构可能会不一样。

服务安装路径配置路径日志路径
Filebeat/usr/local/var/homebrew/linked/filebeat-full//usr/local/etc/filebeat/usr/local/var/log/filebeat
Logstash/usr/local/var/homebrew/linked/logstash-full

/usr/local/Cellar/logstash-full/7.2.0/libexec/config/pipelines.yml

(其他配置路径均在pipelines.yml中指定)

/usr/local/var/log/logstash.log

Elasticsearch/usr/local/var/homebrew/linked/elasticsearch-full

(ES_PATH_CONF)

/usr/local/etc/elasticsearch

(path.logs)

/usr/local/var/log/elasticsearch

其中,Logstash的路径可能比较难找,Filebeat和Elasticsearch的路径在官方文档中都有详细的说明。

配置和测试

配置过程主要是根据数据流水线设置前后的输入输出。在这里所有的服务都是用端口链接,这是因为正常情况下这些服务是分布在不同机器上的。而我们作为测试全部放在一台机器上配置。

Filebeat

Filebeat的功能是监控log文件,并将更新的日志信息输出。

打开Filebeat的配置文件,brew安装的路径是 /usr/local/etc/filebeat/filebeat.yml

在Filebeat.inputs项下面配置需要监控的日志路径:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

将output下面的elasticsearch output注释掉,因为我们这里filebeat的下游是logstash,logstash的下游才是elasticsearch:

#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
  #hosts: ["localhost:9200"]

然后取消logstash下面的两行注释:

output.logstash:
  hosts: ["localhost:5044"]

这样算是将Filebeat配好了。

对Filebeat的测试需要启动Filebeat服务之后才能看到。Filebeat的log在 /usr/local/var/log/filebeat/filebeat里,如果Filebeat正常的话,启动服务后可以在这个文件里看到时间戳和运行信息。

Logstash

Logstash的输入时Filebeat输出的日志信息,输出端是Elasticsearch。Logstash存在的意义在于,它可以添加filter对数据进行一波处理。

Logstash安装好就可以直接在命令行运行,并进行测试:

cd /usr/local/Cellar/logstash-full/7.2.0
bin/logstash -e 'input { stdin { } } output { stdout {} }'

该命令的意思是,直接用指定的配置启动Logstash。而这个配置的将输入输出全部绑定到标准流。

Logstash启动后,在命令行输入

hello logstash

会看到Logstash的输出

{
          "host" => "yujinshiairbnb.local",
    "@timestamp" => 2019-07-23T08:54:16.665Z,
       "message" => "hello logstash",
      "@version" => "1"
}

这样表示Logstash可以正常运行了。

对Logstash的配置比较复杂,首先要配置pipeline,配置文件的路径在

/usr/local/Cellar/logstash-full/7.2.0/libexec/config/pipelines.yml

比如配置一条test流水线,config文件指向另外一个地方:

- pipeline.id: test
  path.config: "/usr/local/Cellar/logstash-full/7.2.0/libexec/config/logstash.conf"
  pipeline.workers: 1

更多关于流水线的参数的设置可以参考官方文档

conf文件如下配置:

input {
    beats {
        port => "5044"
    }
}
filter {
}
output {
    elasticsearch {
        hosts => [ "localhost:9200" ]
    }
}

这样一条简单的输入输出流水线就算配置好了。

Elasticsearch

Elasticsearch的作用是保存输入的日志,相关的有三个不同作用的配置文件,分别为:

  • elasticsearch.yml Elasticsearch的配置文件
  • jvm.options 配置JVM设置
  • log4j2.properties 配置Elasticsearch的日志信息

这里保持默认配置即可,不需要修改。

Kibana

Kibana配置也不需要修改,直接启动然后从网页端配置即可。

启动

使用brew管理服务:

sudo brew services elasticsearch-full
sudo brew services filebeat-full
sudo brew services logstash-full
sudo brew services kibana-full

启动之后,可以用brew services list命令看到这些服务都是运行状态。

各个服务的日志可以去相应的路径查看。

Kibana界面配置

所有的服务都启动以后,Kibana已经在本地的5601端口(默认)启动了。因此访问

http://localhost:5601

即可打开Kibana网页。

第一次进入需要稍微配置一下,主要是配置Kibana从Elasticsearch读取的内容。

进入主页后如下图所示。

点击主页上的"connect to your Elasticsearch index",配置index pattern:

index pattern即从Elasticsearch中读取的日志的pattern,如上图中列出了一个indices为”logstash-2019.07.24-000001",意思是2019.07.24创建的Logstash。如果这里没有indices,可能是上游某个服务没有配好,应该回去查看前面各个环节的日志,确保没有error。

输入一个index pattern匹配该indices:

logstash-*

创建好index pattern之后,点击左侧栏的第一项“explorer”:

这个页面即可看到Filebeat收集到的日志信息。如果这里为空,可能是当前时间段没有新的日志,可以尝试修改filter的时间段。

到此,整个系统就搭好了。更多深入的探究,可以参考官方的说明文档。

_子宽
关注
专栏目录
ELK企业级日志分析系统】部署Filebeat+ELK详解
陌上花开,静待绽放!
07-12 1264
我们对年龄的恐惧,其实并不在于年纪增长所带来的苍老,而是恐惧随着年龄的增长,我们仍然—无所得。
Mac搭建filebeat采集输出到kafka
csdn_xpw的博客
04-01 1727
Mac搭建filebeat采集输出到kafka环境准备安装 filebeat安装kafka实践创建kafka topic:abc123配置filebeat.yml启动filebeat启动过程可能遇到如下错误如何验证? 环境准备 安装 filebeat brew install filebeat 安装kafka 参考我的另一篇博文, Mac springboot 集成 kafka 实践 创建kaf...
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
mac下搭建elasticsearch日志系统,filebeat + elasticsearch + logstash + kibana
liubin9043的博客
03-20 822
mac下搭建elasticsearch日志系统,filebeat + elasticsearch + logstash + kibana
MAC搭建ELK日志搜索系统,单机单节点,filebeat + elasticsearch + logstash + kibana 20190722
一个千万开发人员中的程序员
07-22 572
一、软件下载 filebeat:https://www.elastic.co/cn/downloads/past-releases/filebeat-5-6-0 elasticsearch: https://www.elastic.co/cn/downloads/elasticsearch logstash:https://www.elastic.co/cn/downloads/log...
学习filebeat入门
LargeOrangeCoder的博客
12-12 251
filebeat + kafka日志收集 背景 入职新公司,让我用filebeat 收集日志输出到kafka,做简单的日志收集工作 filebeat安装 本机用的是mac os所以直接采用brew 安装filebeat brew install filebeat 安装完成之后  ~  filebeat version filebeat version 7.10.0 (amd64), libbeat 7.10.0 [1428d58cf2ed945441fb2ed03961cafa9e4ad3eb bui
filebeat-7.5.0-darwin-x86_64.tar.gz
12-06
MAC版 Beats是用于单用途数据托运人的平台。它们以轻量级代理的形式安装,并将来自成百上千台机器的数据发送到Logstash或Elasticsearch。 (画外音:通俗地理解,就是采集数据,并上报到Logstash或Elasticsearch) Beats对于收集数据非常有用。它们位于你的服务器上,将数据集中在Elasticsearch中,Beats也可以发送到Logstash来进行转换和解析。
ELK + Filebeat + Kafka 分布式日志管理平台搭建
最新发布
2301_82242204的博客
04-23 755
在部署的过程中可能会遇到各种情况,此时根据日志说明都可以百度处理(如部署的过程中不能分配内存的问题)。如果完成后如果数据显示不了,可以先到根据工作流程到各个节点查询数据是否存储和传输成功。如查询filebeat是否成功把数据传输到了kafka,可以进入kafka容器当中使用kafka中如下命令查询:查看日志filebeat中的数据是否正常在kafka中存储。
filebeat+ELK+kafka 架构体系 运行原理
我只是个小学生 能力有限 一直抱着学习的态度
07-09 5415
Elasticsearch介绍 Elasticsearch是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析,采用Java语言编写。目前,最新的版本是,它的主要特点如下: 实时搜索,实时分析 分布式架构、实时文件存储,并将每一个字段都编入索引 文档导向,所有的对象全部是文档\ 高可用性,易扩展,支持集群(Cluster)、分片和复制(Shards和Replicas) 接口友...
filebeat-6.2.2-darwin-x86_64.tar
03-20
Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读)
mac m1+homebrew 安装MySQL/MongoDB/Redis/Elasticsearch,并启动服务
young_kp的博客
08-27 708
这里基本都是参考官网了,仅当做个笔录 1. 使用brew安装 警告⚠️ 不要直接 brew install mongodb 而是要执行下面两步。当然,执行之前还是要在终端设置代理。 brew tap mongodb/brew brew install mongodb-community@5.0 安装的路径记录下(mac M1版): /opt/homebrew/Cellar/mongodb-community/5.0.2 2. 启停mon...
日志收集笔记(Filebeat 日志收集、Logstash 日志过滤)
KeePCoding
03-01 2247
Filebeat 是使用 Golang 实现的轻量型日志采集器,也是 Elasticsearch stack 里面的一员。本质上是一个 agent ,可以安装在各个节点上,根据配置读取对应位置的日志,并上报到相应的地方去。
数据监控ElasticStack全家桶之容器化部署|Java 开发实战
程序员蒋老湿的博客
06-02 326
theme: channing-cyan 本文正在参加「Java主题月 - Java 开发实战」,详情查看 活动链接 开篇 这是我参与更文挑战的第2天,活动详情查看: 更文挑战 如果我们要监控企业的IT基础设施或者说完成整个软件的端到端的全链路监控,可以通过Elastic Stack,它作为一个大数据平台的技术栈,在运维监控这个垂直领域,已经提供了一套完整的技术解决方案,从日志分析,到...
Filebeat入门
wyyl1的专栏
05-30 6814
官网 https://www.elastic.co/guide/en/beats/filebeat/6.2/filebeat-getting-started.html 要开始使用自己的Filebeat设置,请安装并配置这些相关产品: Elasticsearch存储和索引数据。 用于UI的Kibana。 Logstash(可选)用于将数据插入Elasticsearch。 有关更多信息,请...
Filebeat 日志收集器 安装和配置
weixin_33873846的博客
09-08 623
Filebeat 风来了.fox 1.下载和安装 https://www.elastic.co/downloads/beats/filebeat 目前最新版本 1.3.0 这里选择 LINUX 64-BIT 即方式一 方式一:源码 wget https://download.elastic.co/beats/f...
macos k8s环境下基于filebeatElasticSearch、Kibana日志解决方案
weixin_43279440的博客
10-27 820
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
28.Filebeat的高级配置-Filebeat部分
热门推荐
Mars Loo的博客
04-24 5万+
介绍Filebeat的高级配置,尤其介绍了Filebeat组件自己的配置选项的意义。
filebeat实践-内存占用-最大内存占用
weixin_34320159的博客
11-11 1164
filebeat作为日志采集agent, 是需要部署到生产服务器上的.不理解filebeat的工作机制,不了解filebeat在实际生产使用中的内存使用将会给你带来意想不到的麻烦. 有些文章说filebeat内存消耗很少,不会超过100M, 这简直是不负责任的胡说,假如带着这样的认识把filebeat部署到生产服务器上就等着哭吧. filebeat在空载...
27.Filebeat的简单配置
Mars Loo的博客
03-26 1万+
简单介绍搭建一个可以工作的Filebeat方法
Filebeat+ELK 部署
07-12
你好!对于部署FilebeatELKElasticsearch, Logstash, Kibana)的步骤,可以按照以下指南进行操作: 1. 安装Elasticsearch: - 在Elasticsearch官方网站上下载并安装适合您操作系统的版本。 - 解压文件并运行elasticsearch启动服务。 2. 安装Logstash: - 在Logstash官方网站上下载并安装适合您操作系统的版本。 - 解压文件并配置logstash.conf文件,该文件定义了如何处理和传输日志数据。 3. 安装Kibana: - 在Kibana官方网站上下载并安装适合您操作系统的版本。 - 解压文件并运行kibana启动服务。 4. 配置Filebeat: - 在Filebeat官方网站上下载并安装适合您操作系统的版本。 - 解压文件并配置filebeat.yml文件,该文件定义了Filebeat如何监视和发送日志数据。 5. 启动服务: - 依次启动Elasticsearch、Logstash、Kibana和Filebeat服务。 6. 验证部署: - 访问Kibana的Web界面(默认地址为http://localhost:5601),确保能够正确显示日志数据。 - 测试日志数据是否正确传输到Elasticsearch集群。 以上是一个基本的Filebeat+ELK部署过程。请根据您的需求和环境进行相应的配置和调整。如果有进一步的问题,请随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值