ELK之配置多个客户端使用不同的索引

已于 2022-03-27 13:46:14 修改
阅读量2k 收藏 1
点赞数 1
分类专栏: 高效运维 文章标签: elk elasticsearch filebeat
于 2022-03-10 22:12:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012069313/article/details/123411934
版权

目录

一、Filebeat 的基础概念

1.输入

输入可以指定:file, stdin, redis, udp, docker, tcp, syslog。

2.收集器

(1). 对于每个单独的文件,会启动一个收集器按行读取文件,并发送到输出端。
(2). 收集器负责管理文件描述符,即使一个文件被重命名了,它仍会继续读该文件。
(3). 当日志内容一段时间没有变化时,收集器会关闭。

3.输出

输出可以指定:elasticsearch, logstash, kafka, redis, file, console, cloud。

4.消息队列

Filebeat 使用一个内部队列来暂时存储消息,有内存队列和磁盘队列两种形式。消息队列会等待输出的应答,如果队列满了,就不再接收新消息。

二、Filebeat 配置说明

filebeat.yml 配置文件说明如下:

filebeat.inputs:
- type: log  # 输入类型
  enabled: true  # 启用或禁用配置
  paths: 
    - /home/source/api/logs/*.out
  encoding: gbk  # 编码
  include_lines: ['WARN -', 'ERROR-', 'INFO -', 'DEBUG-']  # 采集包含指定内容的行
  exclude_files: ['\.swp$']  # 排除日志文件正则表达
  tags: ["shop_dev"]  # 标识

output.logstash:  # 指定 Logstash 作为输出
  enabled: true  # 启用或禁用
  hosts: hosts: ["localhost:5044"]

三、多个客户端使用不同的索引

多个客户端在 filebeat.yml 配置中定义不同的 tags,如:
第一个客户端:

tags: ["shop_dev"]  # 标识

第二个客户端:

tags: ["shop_prod"]  # 标识

然后在 Logstash 的 config/logstash-sample.conf 中加入判断:

input {
  beats {
    port => 5044
    codec => "json"
  }
}

filter {
  mutate {
    remove_field => [ "host" ]
  }
}

output {
  if "shop_dev" in [tags] {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "shop_dev-%{+YYYY.MM.dd}"
    }
  }

  if "shop_prod" in [tags] {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "shop_prod-%{+YYYY.MM.dd}"
    }
  }
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "user-%{+YYYY.MM.dd}"
  }
}
奔跑吧邓邓子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ELK 7.5.0(九)ELK+Filebeat采集多个源日志(自定义索引名称)
友人A的博客
11-19 1300
一、实验环境 主机名 IP es 192.168.14.210 kibana 192.168.14.210 logstash 192.168.14.211 Filebeat 192.168.14.213 nginx 192.168.14.213 secure 192.168.14.213 二、安装部署(内容比较多,已经分多个章节) 1、E...
ELK多个日志文件创建多个项目索引
朦胧的旋律
10-12 5290
一、背景 我的elk架构是filebeat--redis--logstash--elasticsearch--kibana,我的想法是:我一台服务多个程序有多个日志文件,在kibana里面想创建不通项目索引,指定不同日志文件 二、问题及解决思路 因为filebeat在6.0之后配置文件只能写一个output,因此多个日志文件都会传到redis的同一个库,同时key只能写一个。 但这样会有...
ELK企业级日志分析系统资源
05-15
ELK企业级日志分析系统资源
ELK系列(七)、Filebeat+Logstash采集多个日志文件并写入不同的ES索引
热门推荐
王义凯 的博客
05-24 1万+
Logstash依赖于JVM,在启动的时候大家也很容易就能发现它的启动速度很慢很慢,但logstash的好处是支持很多类型的插件,支持对数据做预处理。而filebeat很轻量,前身叫logstash-forward,是使用Golang开发的,所以不需要有java依赖,也很轻量,占用资源很小,但功能也很少,不支持对数据做预处理。因此一般都是将filebeat+logstash组合使用,在每个节点部署filbeat,然后将监控的日志推送到数据缓冲层或直接推送到logstash集群内,配合redis或kafka做
ELK的日志解决方案
kiryu1223的博客
12-06 388
ELK是指Elasticsearch、Logstash和Kibana的组合。这是一套完整的日志解决方案,可以帮助我们收集、存储、搜索和分析大量的日志数据。Elasticsearch:是一个分布式的搜索和分析引擎,用于存储和索引各种类型的数据。它使用倒排索引技术快速地进行搜索和分析。Logstash:是一个用于日志收集、处理和导出的工具。它可以从各种来源(如文件、数据库、网络等)收集日志数据,并对其进行过滤、解析和转换,最后输出到Elasticsearch
ELK中指定不同的环境输出各自的索引
qq_35008624的博客
07-27 406
elk6.8.8中,logstash的配置如下: input { tcp { port => 10004 codec => json type => imas_dev_log } } output{ if [fields][type] == "imas_dev_log" { elasticsearch { hosts => ["172.16.11.3x:9200","172.16.11.2x:9200","1.
02-elk创建多个日志索引---filebeat配置文件
renren_100的博客
08-21 1156
log.file.path "/var/log/nginx/access.log" output.elasticsearch: hosts: ["http://10.4.7.11:9200"] indices: - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}" when.contains: message: log.file.path "/var/log/nginx/access.log" -
elk模块x-pack简单替代,按照索引设置不同用户(nginx权限控制)
wzz_ccr的博客
03-16 1816
按照url路径划分不同业务组的应用 例如nginx日志显示: "POST/elasticsearch/logstash-ceshi-1*/_field_stats?level=indices HTTP/1.1" 401195 "http://192.168.6.3:9999/app/kibana" "Mozilla/5.0 (WindowsNT 6.1; WOW64; rv:51.0) Gec
ansible-elk:Ansible剧本,用于设置ELKEFK堆栈和客户端
01-31
在这个场景中,Logstash 作为ELK堆栈的一部分,从不同的数据源收集日志,进行预处理,然后将其发送到Elasticsearch进行存储和分析。Logstash配置文件定义了输入、过滤和输出插件,以适应特定的日志格式和需求。 **...
简单ELK配置实现生产级别的日志采集和查询实践.doc
07-09
ELK 配置实现生产级别的日志采集和查询实践需要考虑集群规划、节点角色规划、脑裂问题避免、索引分片规划、分片副本规划等多个方面,通过合理的规划和配置,可以实现高效、可靠的日志采集和查询系统。
ELK搜索高级课程1
08-04
Logstash作为数据处理管道,负责数据的采集、转换和传输,可以轻松地从多个来源收集数据并发送到Elasticsearch。Kibana则是一个用户界面,帮助用户直观地探索和展示存储在Elasticsearch中的数据。 在Elasticsearch...
elk 6.6.0 百度云地址.txt
05-30
- **稳定性提升**:修复了多个已知的问题,提高了整个系统的稳定性和可靠性。 ### 三、如何下载ELK 6.6.0 文档中提供了四个百度网盘的下载链接,每个链接后跟着的是提取码,用户可以通过这些信息来下载ELK 6.6.0的...
第六十一章:部署ELK分布式日志分析平台1
08-08
- **Elasticsearch**:作为分布式搜索服务器,Elasticsearch拥有零配置、自动发现、索引分片和副本机制等特点,支持RESTful接口,并能处理多种数据源。 - **Kibana**:Kibana是Elasticsearch的数据可视化工具,帮助...
ELK索引应用
叶声
11-16 3365
创建kibana索引若只需要收集显示nginx的访问日志,则可以建立一个名为nginx+时间的索引 若是需要收集一个服务器下的多个服务日志,则可以在一个conf下添加多个input并根据type来区分和实现环境 192.168.2.112 ES/kibana 192.168.2.118 logstash/nginx 192.168.2.117 logsta
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
gaoshan12345678910的博客
02-24 1248
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
如何给ELK日志加上索引
Crecendow
08-14 720
业务日志里的log patter放了seq 字段,那就可以在进入aop的时候 打上seq作为日志的字段索引,然后在处理流程结束的时候,拿出seq字段索引,这样排查的时候,就可以根据这个字段来排查了。1、遇到长流程的时候,日志记录是非常重要的。如何排查日志,可以在MDC中去put对应的值,这样就等于对你关心的关键字段加上了索引,在elk中可以通过该索引就能 容易排查到问题。同样的,如果是kafka的接受类,你可以把 offset和partition作为字段索引,也是及其好用的。
ELKfilebeat收集多日志并自定义索引
qianyidui的博客
12-19 2230
ELKfilebeat自定义索引 filebeat6.x #-------------------------- Elasticsearch output ------------------------------ output.elasticsearch: # Array of hosts to connect to. hosts: ["192.168.31.234:9200"] ...
ELK高级搜索五之索引管理
yangyanping20108的博客
04-20 370
创建索引 创建索引的语法 PUT /index { "settings": { ... any settings ... }, "mappings": { "properties" : { "field1" : { "type" : "text" } } }, "aliases": { "otherName": {} } } 创建一个新闻索引 PUT localhost:9200/artic.
elk日志索引被锁blocks,日志无法写入
最新发布
weixin_45112997的博客
07-23 304
kafka积压,logstash无法将日志写入到eslogstash报错:”}}
elk 8 个索引已 生命周期错误
06-07
要解决这个问题,可以手动删除不再需要的索引,或者重新配置 ILM 策略以更好地适应你的需求。以下是一些可能有用的命令和步骤: 1. 查看当前的索引列表: ``` GET /_cat/indices?v&s=index ``` 2. 确认哪些索引...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑吧邓邓子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值