kafka- elk-filebeat 日志收集

最新推荐文章于 2023-05-22 12:36:23 发布
最新推荐文章于 2023-05-22 12:36:23 发布
阅读量1.1k 收藏
点赞数
分类专栏: ELK 文章标签: elk
原文链接:https://editor.csdn.net/md?not_checkout=1&spm=1001.2101.3001.5352&articleId=124510615
版权

kafka - 集成 elk+filebeat 日志收集

基于 elasticsearch 7.x

什么是 ELK ?

  • ELK: Elasticsearch + Logstash + Kibana
  • Logstash: 日志读取
  • FileBeat: 比 Logstash 更轻量级

日志收集流程

流程:

  • fileBeat 从各节点读取日志文件
  • fileBeat 将日志写入 kafka
  • logstash 从 kafka 订阅 日志
  • logstash 将日志写入 elasticsearch
  • kibana 展示查询 elasticsearch 中的日志

为什么需要 kafka?

防止读取的速度 大于写入的elasticsearch 中的速度,使用消息中间件做缓冲

docker-compose 配置

version: '3.1'
services:  
   zk:
      image: zookeeper
      container_name: zk
      ports:
        - 2181:2181
      volumes:
        - "./zoo/data:/data"
        - "./zoo/datalog:/datalog"
      environment:
        ZOO_MY_ID: 1
        ZOO_SERVERS: server.1=zoo:2888:3888;2181
   kf:
      image: wurstmeister/kafka
      container_name: kf
      ports:
        - "9092:9092"
      environment:
        KAFKA_BROKER_ID: 1
        KAFKA_LISTENERS: PLAINTEXT://0.0.0.0:9092
        KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://192.168.1.17:9092    ## 宿主机IP
        KAFKA_ADVERTISED_HOST_NAME: 192.168.1.17
        KAFKA_ADVERTISED_PORT: 9092
        KAFKA_ZOOKEEPER_CONNECT: "zk:2181"
      volumes:
        - "./kafka/data/:/kafka"
   elasticsearch:    
      image: elasticsearch:7.12.1
      container_name: elasticsearch
      environment:
         - discovery.type=single-node
         - http.port=9200
         - http.cors.enabled=true
         - http.cors.allow-origin=*
         - http.cors.allow-headers=X-Requested-With,X-Auth-Token,Content-Type,Content-Length,Authorization
         - http.cors.allow-credentials=false
         - bootstrap.memory_lock=true
         - 'ES_JAVA_OPTS=-Xms512m -Xmx512m'
         - TZ=Asia/Shanghai    
      volumes:      
         - $PWD/es/plugins:/usr/share/elasticsearch/plugins
         - $PWD/es/data:/usr/share/elasticsearch/data
      ports:      
         - 9200:9200
         - 9300:9300
   kibana:    
      image: kibana:7.12.1
      container_name: kibanana
      links:
         - elasticsearch:es  
      depends_on:      
         - elasticsearch
      environment:      
         - elasticsearch.hosts=http://es:9200
         - TZ=Asia/Shanghai    
      ports:      
         - 5601:5601
      volumes:
#         - $PWD/data/kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml
         - $PWD/kibana/data:/usr/share/kibana/data
   logstash:    
      image: docker.elastic.co/logstash/logstash:7.12.1
      container_name: log_stash
      environment:
         - TZ=Asia/Shanghai
      volumes:
         - $PWD/logstash/config/logstash.conf:/usr/share/logstash/pipeline/logstash.conf 
         # - $PWD/data/logstash/tpl:/usr/share/logstash/config/tpl 
      links:
         - elasticsearch:es  
      depends_on:
         - elasticsearch  
         - kf
      ports:      
         - 9600:9600
         - 5044:5044

   filebeat:
      image: docker.elastic.co/beats/filebeat:7.12.1
      container_name: filebeat
      user: root
      volumes:
        - ./filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml
        - ./filebeat/data:/usr/share/filebeat/data
        # 将宿主机的日志目录映射到容器内!!不然会读取不到日志
        - /var/log/app:/var/www/log
      depends_on:
        - kf
      environment:
        - TZ=Asia/Shanghai
问题

  1. es 启动需要权限

    • chmod -R 777 es(es目录)

  2. filebeat.yml 文件需要 root 权限

    • chown root filebeat/filebeat.yml

logstash 配置文件

logstash.conf 配置文件:

input {
 # 从 kafka 消费
  kafka {
    bootstrap_servers => ["192.168.1.17:9092"]
    group_id => "kafka_elk_group"
    topics => ["kafka_elk_log"]
    auto_offset_reset => "earliest"
    codec => "plain"
 }
}
filter {

}
output {
 # 输出到 elasticsearch
  elasticsearch {
    hosts => "192.168.1.17:9200"
    index => "kafka_elk_log‐%{+YYYY.MM.dd}"
    codec => "plain"
 }
 # 输出到控制台
 stdout { codec => rubydebug }
}

filebeat 配置文件

filebeat.yml 配置文件:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    # 注意 /var/www/log 目录是容器内的目录,需要将宿主机的日志目录进行映射,不然会加载不到日志
    - /var/www/log/*.log
output.kafka:
  hosts: ["192.168.1.17:9092"]
  topic: 'kafka_elk_log'
  partition.round_robin:
    reachable_only: false
  compression: gzip
  max_message_bytes: 1000000

注意 /var/www/log 目录是容器内的目录,需要将宿主机的日志目录进行映射,不然会加载不到日志!!!

测试

# 向日志写入信息
xiao@z:/var/log/app$ echo "我是中国人" >> a.log 
xiao@z:/var/log/app$ 

# logstash , filebeat 读取日志
filebeat         | 2022-04-30T11:42:44.156+0800	INFO	log/harvester.go:302	Harvester started for file: /var/www/log/a.log
log_stash        | {
log_stash        |        "message" => "{\"@timestamp\":\"2022-04-30T03:42:44.156Z\",\"@metadata\":{\"beat\":\"filebeat\",\"type\":\"_doc\",\"version\":\"7.12.1\"},\"agent\":{\"ephemeral_id\":\"fc7259a7-7b4f-400b-aa72-f6041f118336\",\"id\":\"f6c3697d-6b9b-4ec4-9f1f-0b1ee0c194bc\",\"name\":\"c49f93715899\",\"type\":\"filebeat\",\"version\":\"7.12.1\",\"hostname\":\"c49f93715899\"},\"message\":\"我是中国人\",\"log\":{\"offset\":18,\"file\":{\"path\":\"/var/www/log/a.log\"}},\"input\":{\"type\":\"log\"},\"ecs\":{\"version\":\"1.8.0\"},\"host\":{\"name\":\"c49f93715899\"}}",
log_stash        |       "@version" => "1",
log_stash        |     "@timestamp" => 2022-04-30T03:42:46.290Z
log_stash        | }

访问 kibana , localhost:5601 :
在这里插入图片描述

可以发现日志已经成功读取

good luck!

重生之我是一名程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker单机:FileBeat+ELK 日志收集
一支穿云箭
08-12 1074
参考链接:https://www.cnblogs.com/fbtop/p/11005469.html 目的: 线程请求生成对应的requestId,根据requestId追踪链路生产消费的数据,方便定位问题和回溯;基于一些XXX考虑,和阿巴阿巴阿巴的原因先拿FileBeat+ELK的方式进行实验,跑通日志收集和展示的功能。 为了避免重复造轮子,本篇只对上出链接博客做一些补充: 1.单机/docker/版本7.1.1; 2.docker四大网络的特点...
elk日志分析filebeat配置(filebeat + logstash)
热门推荐
wzz_ccr的博客
01-23 1万+
日志格式: nginx_access: { "@timestamp":"2017-01-23T15:16:48+08:00","client": "192.168.0.151","@version":"1","host":"192.168.0.147","size":160,"responsetime":0.000,"domain":"mv.bjfxr.com","url":"/index.h
filebeat日志采集的一次流程记录
wejack的专栏
06-25 2351
背景:公司采购的一套第三方应用,部署在阿里云上,因为第三方有权限登录该服务器,所以不能将该服务器与公司的内网生产服务器进行打通 ,不能直接接入公司内网的已有的日志采集功能中,现在要想办法将该应用的日志采集到公司的日志采集中。 ​ 出于安全原因,公司的内网服务器的端口不能向阿里云服务器开放,google查了下文档,可以filebeat可以安装output.http插件,支持http请求的输出,公司的应用可以配置公网的域名,提供http接口给予阿里云上的filebeat进行调用 ,所以初步.
轻量型日志采集Filebeat基本使用
有勇气的牛排博客
02-23 2071
文章目录1 介绍2 安装2.1 下载安装3 收集日志配置4 启动5 举例5.1 Filebeat收集日志并输出到控制台5.2 Filebeat收集Nginx运行日志并输出到es5.3 基于Nginx module使用Filebeat收集Nginx运行日志并输出到es 1 介绍 Filebeat是一个日志文件托运工具,安装客户端后,filebeat会监控指令日志, 下载地址: https://www.elastic.co/cn/beats/filebeat https://www.elastic.co/cn/
logstash收集filebeat区分日志
lai0yuan的博客
05-21 6359
1.场景 filebeat在服务器中同时收集nginx和web项目日志,需要对两个日志在logstash中分别处理 2.版本区别 ==6.x之前==的可以使用filebeat的prospectors里面配置document_type类型,然后在logstash里面使用if [type] == “string” 来匹配,这里不做详细记录 ==6.x之后==配置文件不支持document_...
filebeat 5.2.2详细配置说明
weixin_39077573的博客
06-19 8187
#filebeat 5.2.2 #prospector(input)段配置 filebeat.prospectors: #每一个prospectors,起始于一个破折号"-" - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: #日志文件路径列表,可用通配符,不递归 - /var/log/*.
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
elk + kafka + filebeat搭建日志分析系统-附件资源
03-05
elk + kafka + filebeat搭建日志分析系统-附件资源
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
实现功能 1.可视化展示日志 2.根据日记等级,日志内容,时间匹配日志 ...3.最后kibana将elasticsearch收集日志进行展示 下面详细讲解搭建过程,分成部分 一.环境准备 二 .SpringBoot+logback配置 三.ELK环境搭建 四.
elk+filebeat+kafka日志系统搭建.docx
最新发布
07-05
linux环境下搭建全套 elk+filebeat+kafka日志系统 详细步骤。
ELK+KAFKA+FILEBEAT
08-02
ELKF是 Elastic + Logstash + Kibana + FileBeat 四个组件的组合。...在这个系统中,Elastic充当一个搜索引擎,Logstash为日志分析上报系统,FileBeat日志文件收集系统,Kibana为此系统提供可视化的Web界面
filebeat发送至阿里云服务器上的kafka失败 问题原因寻找及解决
soulfire的博客
12-02 7243
错误现象 前提 filebeat中配置的kafka地址确认是正确的阿里云服务器外网地址和正确的端口号9092,且该端口开启,可以通过telnet连接。 服务器上的kafka已开启,且在相应的topic上开启了消费者进行监控。 现象 开启filebeat后,在服务器上的消费者未收到任何消息。 filebeat日志大多是: 2020-12-02T19:16:44.589+0800 INFO [publisher] pipeline/retry.go:219 retryer: sen
elasticsearch查询filebeat采集日志
爱编程
03-24 3455
依赖 不要问为什么不用7或者8,因为不会 <dependency> <groupId>org.elasticsearch.client</groupId> <artifactId>elasticsearch-rest-high-level-client</artifactId> <version>6.8.5</version> </depende
【elasticsearch】filebeat+ELK收集数据的过程详述
高精尖发展
04-12 3062
前言: &nbsp;&nbsp;&nbsp;为了日志收集,用了4台虚拟机,filebeat52一台,es两台95、93,logstash一台75,kibana和es的主节点在一台服务器95上,因为安装了x-pack BUT 不会用的原因、真是坑自己不带眨眼滴走了很多弯路,说多了都是泪,之前写了安装搭建的博客,希望给大家带来帮助吧,如果没有帮助那我就是在做笔记;^_^ filebeat类似一个管...
CC00290.CloudKubernetes——|KuberNetes&运维.V12|——|EFLK架构.v07|验证日志输出采集是否正常|
yanqi_vip
03-31 639
一、验证日志输出采集是否正常 ### --- 进入Filebeat-pod查看是否正常启动 ~~~ 查看Filebeat容器 [root@k8s-master01 filebeat]# kubectl get po -n public-service -owide NAME READY STATUS ...
fileBeat访问kafka失败,通过host绑定 hostIP及hostName 解决
u014154117的博客
08-03 1238
这几天测试elk,发现当kafkafilebeat在同一台机器上时是能够跑通的,但在另一台机器上部署kafka就访问不到了,后经查阅,原因如下:filebeat解析的时候要解析到主机名,报错信息如下: 解决方式: 在C:\Windows\System32\drivers\etc\hosts文件中添加部署了kafka的主机IP及主机名,使fileBeat能够识别该主机,操作如下: 这种方式非常蛋疼,如果将来在分布式集群中大量部署fileBeat文件采集器,接入kafka将会很麻..
Filebeat 日志采集利器
zzhongcy的专栏
05-05 942
首先Filebeat是Beats中的一员。Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、CPU、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。Filebeat结构:由两个组件构成,分别是inputs(输入)和harvesters(收集器),这些组件一起工作来跟踪文件并将事件数据发送到您指定的输出,harvester负责读取单个文件的内容。
filebeat信息采集
moyuanbomo的博客
05-22 1102
在主配置文件做修改,添加一些信息,增加 自定义输出内容(codec.format) 参数配置。在主配置文件做修改,添加一些信息,使用Processors(处理器)过滤和增强(加)数据。二、对采集的信息做处理,对一些filebeat所携带的元数据进行删除。一、对采集的信息不做处理,就保持主配置文件和子配置文件不做修改。三、只要日志数据,对filebeat所携带的元数据一律不要。主配置文件,采集到的信息放到kafka
filebeat和logstash测试验证
Ellie
08-24 1478
以下都是基于windows系统进行配置验证 1、 安装filebeat 下载安装压缩包进行解压,确认为64位还是32位。 对filebeat进行配置。 选择filebeatyml文件进行配置 filebeat.inputs: type: log enabled: true paths: D:/elk_test/test-file/*.txt document_type: srv_sys_elasticsearch fields: logtype: srv_sys_elasticsearch output
elk+kafka+filebeat
06-28
elk+kafka+filebeat 是一种常见的数据处理和分析...Filebeat是一个轻量级的日志数据收集器,用于将日志数据发送到ELKKafka中进行处理和分析。这种架构可以帮助企业实现实时数据处理和分析,提高数据的价值和利用率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值