ElasticStack中的filebeat

已于 2022-11-30 17:53:24 修改
阅读量421 收藏
点赞数
分类专栏: ES 文章标签: elasticsearch java 大数据
于 2022-11-30 15:55:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012663412/article/details/128037805
版权

记录下真实案例

下载filebeat

地址:https://www.elastic.co/cn/downloads/past-releases/filebeat-7-11-1
我是用的7.11.1版本的。

ES集群和Kibana

自备集群,搭建还是比较简单的。网上找一下就可以。

filebeat安装和配置

解压filebeat

tar -xzvf filebeat-7.11.1-linux-x86_64.tar.gz

配置filebeat.yml

filebeat.inputs:
- type: filestream
  enabled: true
  paths:
  	# 日志采集的路径
    - /var/logs/*/*.ndjson
    # 滚动创建的日志也进行采集
    - /var/logs/*/*.ndjson-*
  prospector.scanner.check_interval: 10s
  close.on_state_change.inactive: 5m
  close.on_state_change.renamed: true
  close.on_state_change.removed: true

  # # log rotation 滚动的时候以数字结尾
  rotation.external.strategy.copytruncate:
    suffix_regex: \.\d$

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  # processor之解析message,并且输出到ecsmessage字段中
  - decode_json_fields:
      fields: ["message"]
      process_array: false
      max_depth: 5
      target: "ecsmessage"
      overwrite_keys: true
      add_error_key: true
  # processor之删除无用字段
  # 如果有字段message,则删除message、host、ecs、agent、input字段
  - drop_fields:
      when:
        has_fields: ['message']
      fields: ["message", "host", "ecs", "agent","input"]
      ignore_missing: true

filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

setup.template.settings:
  index.number_of_shards: 3

# 给索引打上标签
tags: ["xxx"]

fields:
  env: uat

# 设置kibana面板的地址
setup.kibana:
  host: "x.x.x.x:5601"
# 设置elasticsearch的地址
output.elasticsearch:
  hosts: ["x.x.x.x:9200","x.x.x.x:9200","x.x.x.x:9200"]
  # 自定义索引名称
  index: "rotation-logname-%{+yyyy}"
  bulk_max_size: 50
  worker: 1

# 自定义名称的时候,一定要关闭这2个,否则就不成功
setup.ilm.enabled: false
setup.template.enabled: false

# 开启自身的监控
monitoring.enabled: true

spring-boot项目改造

bootstrap.yml 增加配置

logging:
  config: classpath:logback-spring-ecs.xml
  path: /var/logs
server:
  port: 8766

引入es官网提供的maven

	<dependency>
        <groupId>co.elastic.logging</groupId>
        <artifactId>logback-ecs-encoder</artifactId>
    </dependency>

logback-spring-ecs.xml

<?xml version="1.0" encoding="UTF-8" ?>
<configuration debug="true" scan="true" scanPeriod="60 seconds">
    <include resource="org/springframework/boot/logging/logback/defaults.xml" />
    <include resource="org/springframework/boot/logging/logback/console-appender.xml" />
    <include resource="co/elastic/logging/logback/boot/ecs-file-appender.xml" />
    <include resource="co/elastic/logging/logback/boot/ecs-console-appender.xml" />

    <springProperty scope="context" name="ApplicationName" source="spring.application.name"/>
    <springProperty scope="context" name="ServerPort" source="server.port"/>
    <springProperty scope="context" name="LoggingPath" source="logging.path"/>

    <appender name="InfoToJson" class="ch.qos.logback.core.rolling.RollingFileAppender">
        <filter class="ch.qos.logback.classic.filter.LevelFilter">
            <level>INFO</level>
            <onMatch>ACCEPT</onMatch>
            <onMismatch>DENY</onMismatch>
        </filter>
        <File>${LoggingPath}/${ApplicationName}_${ServerPort}/info-ecs.ndjson</File>
        <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
            <FileNamePattern>${LoggingPath}/${ApplicationName}_${ServerPort}/info-ecs.ndjson-%d{yyyyMMdd}.%i</FileNamePattern>
            <maxFileSize>100mb</maxFileSize>
            <MaxHistory>20</MaxHistory>
            <totalSizeCap>2GB</totalSizeCap>
        </rollingPolicy>
        <encoder class="co.elastic.logging.logback.EcsEncoder">
            <serviceName>${ApplicationName}</serviceName>
            <serviceNodeName>${hostName}</serviceNodeName>
            <includeOrigin>true</includeOrigin>
            <additionalField>
                <key>serverPort</key>
                <value>${ServerPort}</value>
            </additionalField>
        </encoder>
    </appender>

    <appender name="ErrorToJson" class="ch.qos.logback.core.rolling.RollingFileAppender">
        <filter class="ch.qos.logback.classic.filter.LevelFilter">
            <level>ERROR</level>
            <onMatch>ACCEPT</onMatch>
            <onMismatch>DENY</onMismatch>
        </filter>
        <File>${LoggingPath}/${ApplicationName}_${ServerPort}/error-ecs.ndjson</File>
        <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
            <FileNamePattern>${LoggingPath}/${ApplicationName}_${ServerPort}/error-ecs.ndjson-%d{yyyyMMdd}.%i</FileNamePattern>
            <maxFileSize>100mb</maxFileSize>
            <MaxHistory>20</MaxHistory>
            <totalSizeCap>2GB</totalSizeCap>
        </rollingPolicy>
        <encoder class="co.elastic.logging.logback.EcsEncoder">
            <serviceName>${ApplicationName}</serviceName>
            <serviceNodeName>${hostName}</serviceNodeName>
            <includeOrigin>true</includeOrigin>
            <additionalField>
                <key>serverPort</key>
                <value>${ServerPort}</value>
            </additionalField>
        </encoder>
    </appender>
    <logger name="cn.xxx" level="INFO">
        <appender-ref ref="InfoToJson" />
        <appender-ref ref="ErrorToJson" />
    </logger>
    <root level="INFO">
        <appender-ref ref="CONSOLE" />
    </root>
</configuration>

es中索引管理,超过30天就删除

PUT _ilm/policy/rotation-*
{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {
          "rollover": {
            "max_age": "30d",
            "max_size": "500gb",
            "max_docs": 20
          },
          "set_priority": {
            "priority": 100
          }
        }
      }
    }
  }
}

参考地址:https://www.elastic.co/guide/en/beats/filebeat/7.11/filtering-and-enhancing-data.html

Monkey KevinWu
关注
专栏目录
Elastic StackFilebeat 6.7.1版本安装
HiterCoder
01-10 251
1、截至目前Elasticsearch 版本已经更新到了7.10.1版本了,这里先使用Filebeat 6.7.1版本,给一个下载地址,如下所示: 官方下载地址:https://www.elastic.co/cn/downloads/past-releases#elasticsearch 2、Beats入门学习。Lightweight Data Shipper,轻量级的数据传送者。  ...
elastic stack - Filebeat 入门之 Modules
lm324114的专栏
12-28 325
Filebeat模块简化了公共日志格式的收集、解析和可视化。 一个典型的模块(例如,对于Nginx日志)是由一个或多个fileset组成的(以Nginx为例,access 和 error)。 一个fileset包含以下内容: Filebeat 输入配置,其包含要默认的查找或者日志文件路径。这些默认路径取决于操作系统。Filebeat配置还负责在需要的时候拼接多行事件。 Elasticse...
filebeat7.7.0相关详细配置预览- processors - add_host_metadata
BigManing的博客
09-04 2137
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108396028 本文出自:【BigManing的博客】 add_host_metadata 自动追加host相关信息,配置如下 processors: - add_host_metadata: cache.ttl: 5m geo: name: nyc-dc1-rack1 location: 40.7128, -74.0060 .
Filebeat(8.7.0)实战配置
zsexkong的博客
06-13 1849
topic: "kafka-name-topic" # 输出到kafka的哪个topic。pattern: '^\[BEGIN|^Caused by' # 匹配的规则。主要是记录多行合并的真实配置,避免新人踩坑。hosts: ["x.x.x.x:9092"] # 输出的kafka地址。- /home/logs/auth/*.log # 抓取的日志地址。id: my-filestream-auth # id需要唯一。tags: ["auth-log"] # 给抓取的数据打上标签。
【ELK】使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4448
EFK是ELK日志监控架构一个较为简单的、轻量级的日志监控框架,主要使用到了FilebeatElasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
filebeat将日志发送到kafka不同Topic的方法
soulfire的博客
12-03 5333
版本 filebeat 7.10.0 方法 通过fields参数设置kafka的topic,如下配置文件所示: # ============================== Filebeat inputs =============================== filebeat.inputs: # Each - is an input. Most options can be set at the input level, so # you can use different inputs f
filebeat7.7.0相关详细配置预览- processors
热门推荐
BigManing的博客
09-01 1万+
文章目录前言processor1、add_cloud_metadata2、add_cloudfoundry_metadata3、add_cloudfoundry_metadata4、add_fields5、add_host_metadata6、add_id7、add_kubernetes_metadata8、add_kubernetes_metadata9、add_locale10、add_observer_metadata11、add_process_metadata 前言 处理器用于过滤或者增强要发送的
elastic stack - Filebeat 入门之 配置
lm324114的专栏
12-29 608
配置Filebeat 为了配置Filebeat,你可以编辑配置文件filebeat.yml。还有一个完整的配置文件示例filebeat.reference.yml 1. 指定运行哪个模块 Filebeat提供了几种启用模块的不同方式: 用modules.d目录下的配置启用模块 运行Filebeat的时候启用模块 用filebeat.yml启用模块配置 1.1. 用modules...
Elastic Stackfilebeat/logstash/elasticserarch/kibana)性能分析应用
baidu_41614347的博客
11-18 1237
目录 概要: 1.待分析日志的格式(1条日志): 2.filebeat设置获取日志的路径: 3.logstash匹配日志 4.调试 5.Elasticsearch插件( 方便对es的查询与删除) 6.对已有日志进行分析 7、Kibana展示 概要: 使用kibana展示日志分析结果的初衷是性能分析,终于分析出了第一份日志。性能压测情况下,某个日志文件的分析出的响应时间分布。 上篇文章请参看: logstash config filter 配置(grok、d...
elasticsearch + filebeat+kibana
maying0124的博客
05-25 832
准备工作 elasticsearch-7.XX需要更高版本的java(11),而提高es的版本也需要提高filebeat的版本!我这里使用的是jdk8,所以下载的elasticsearch-5.6.0 下载地址:https://www.elastic.co/cn/downloads/elasticsearch地址 一、安装elasticearch 下载完成elasticsearch之后时行解压缩; Linux解压命令: tar -zxvf 压缩文件名.tar.gz 创建用户组和用户 由于ela
ELK实时日志分析平台 --(3)扩展 Filebeat
weixin_47252600的博客
01-14 778
Logstash的过滤功能虽然无法被Filebeat替代,但轻量级的它确实很香
Docker部署ELK 8.8.2(3)-Beats Filebeat使用
weixin_48244640的博客
07-07 940
Docker部署ELK 8.8.2,ELK介绍,Elasticsearch、Kibana、Logstash、Filebeat安装及使用。
filebeat配置解析(待续)
最新发布
General_zy的博客
11-22 2259
每当队列的数据缓存到一定的大小或者超过了定时的时间(默认1s),会被注册的client从队列消费,发送至配置的后端。正常启动filebeat,一般确实只会占用3、40MB内存,但是偶发性的也会发现某些节点上的filebeat容器内存占用超过配置的pod limit限制(一般设置为200MB),并且不停的触发的OOM。所以,合理的配置日志文件的匹配规则,限制单行日志大小,根据实际情况配置memqueue缓存的个数,才能在实际使用规避filebeat的内存占用过大的问题。
ELK安装、部署、调试(五)filebeat的安装与配置
ly4983的专栏
08-30 1445
logstash 也可以收集日志,但是数据量大时太消耗系统新能。而filebeat是轻量级的,占用系统资源极少。
filebeat主配置
tanguomin的博客
07-31 381
[root@10-110-1-67 ~]# vim /etc/filebeat/filebeat.yml #=========================== Filebeat inputs ============================= ## filebeat.config.inputs: enabled: true path: inputs.d/*.yml #============================= Filebeat modules ============...
FileBeat系列:配置参数说明详解
NIO4444
05-16 5481
clean_removed:当文件被删除或重命名时,从registry记录清除文件记录(即使重新命名也会,因为文件ID和文件名称无关),但是如果该文件后续再一次出现,将会导致从头再读一遍。 clean_inactive:当文件不再活跃时,clean_inactive必须大于ignore_older ,从registry记录清除不再活跃的文件记录(即使重新命名也会,因为文件ID和文件名称无关),但是 ignore_older:忽略旧数据(文件修改时间大于这个) ...
filebeat-input-stream配置
wxd5617的博客
12-18 2960
不是基于文件的修改时间。如果关闭的文件再次发生变化,则启动一个新的收割机,并在勘探者.scanner之后收集最新的变化。已经过Check_interval。我们建议你设置close.on_state_change.Inactive设置为大于日志文件最不频繁更新的值。例如,如果你的日志文件每隔几秒钟更新一次,你可以安全地设置close.on_state_change。静止到1m。如果有更新速度非常不同的日志文件,您可以使用具有不同值的多个配置。设置close.on_state_change。
Beats:使用 Filebeat 的 filestream 输入更快速、更轻松地读取活动日志文件
Elastic 中国社区官方博客
08-16 4139
Elastic 7.14 ,filestream input( log input 的后继者)现在在 Filebeat 普遍可用。 这种新的、卓越的输入为读取活动日志文件提供了更好的支持,在系统存在背压时具有更快的反应时间、更快的注册表更新、与外部日志轮换工具的更好合作等等。 改进的注册表性能 以前,当注册表文件(用于保存发布事件进度的文件)包含许多条目时,状态更新会变慢,即使 Filebeat 只收集少数文件。主要问题是完整的注册表在来自输出的每个 ACK​​ 之后被序列化。这需要每次注
第4课:Filebeat高级应用
桃花惜春风
03-25 1611
文章目录课前三分钟 课前三分钟
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值