(原)logstash-forwarder + logstash + elasticsearch + kibana

最新推荐文章于 2024-11-18 19:12:21 发布
最新推荐文章于 2024-11-18 19:12:21 发布
阅读量102 收藏
点赞数
文章标签: 大数据 网络

[logstash-forwarder + logstash + elasticsearch + kibana]
------------------------------------------------------------------------------------------------------------------------------------------------
摘要:logstash-forwarder搜集日志,汇总给logstash,然后输出到elasticsearch,并由kibana展现web界面.
------------------------------------------------------------------------------------------------------------------------------------------------
一 安装
1.logstash-forwarder
see and install:
https://github.com/elasticsearch/logstash-forwarder

(logstash-forwarder有个坑. 虽然严格讲不算是logstash-forwarder的坑.
跟证书相关的:https://github.com/elasticsearch/logstash-forwarder/issues/221 <-可以不看.
下面的解决方案规避这个坑了. 下面会提到.)

2.logstash
see and install:
http://logstash.net/docs/1.4.2/tutorials/getting-started-with-logstash

3.elasticsearch

3.1.下载https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.3.2.tar.gz

3.2.解压到目录 elasticsearch-1.3.2

3.3. 测试安装是否成功
$ cd elasticsearch-1.3.2/
$ bin/elasticsearch
$ curl -X GET http://localhost:9200/
(保持elasticsearch一直运行. 下面将继续测试)

4.kibana:

4.1.下载https://download.elasticsearch.org/kibana/kibana/kibana-3.1.0.tar.gz

4.2. 解压到目录 kibana-3.1.0

4.3. 测试安装是否成功
$ cd kibana-3.1.0
$ vi config.js
第32行修改为:
elasticsearch: "http://localhost:9200",
或者如果是要非本地访问,就应该这样:
elasticsearch: "http://"+window.location.hostname+":9200"
注意后面有逗号.
在浏览器里打开这目录里的index.html.

------------------------------------------------------------------------------------------------------------------------------------------------
二 .方案:

client[logstash-forwarder]---|
client[logstash-forwarder]---|---log-server[logstash]--->[elasticsearch]
client[logstash-forwarder]---|

2.1 先启动elasticsearch
前面已经启动了.

2.2  开启logstash
先写logstash的配置文件:
$ cd logstash-1.4.2
$ vi test_logstash.conf
input {
  lumberjack {
    # The port to listen on
    port => 5000

    # The paths to your ssl cert and key
    ssl_certificate => "/home/xiaou/logstash-forwarder.crt"
    ssl_key => "/home/xiaou/logstash-forwarder.key"

    # Set this to whatever you want.
    type => "somelogsXXX"
  }
}
output {
  elasticsearch { host => localhost } # 因为logstash和elasticsearch在同一台机器上,所以这里可以用localhost
  stdout { codec => rubydebug }
}

还要产生自签证书:
$ openssl req -subj '/CN=localhost/' -x509 -batch -nodes -newkey rsa:2048 -keyout /home/xiaou/logstash-forwarder.key -out /home/xiaou/logstash-forwarder.crt  -days 1095
(这里用“-subj '/CN=localhost/'”规避了上面提到的logstash-forwarder的坑)

然后启动logstash:
$ bin/logstash -f test_logstash.conf

2.3 启动logstash-forwarder
先写logstash-forwarder的配置文件:
$ cd logstash-forwarder
$ vi test_forwarder.conf
{
  "network": {
    "servers": [ "localhost:5000" ],
 "ssl ca": "/home/xiaou/logstash-forwarder.crt",
    "timeout": 5
  },
  "files": [
    {
      "paths": [
        "/var/log/linshi.txt",
        "/var/log/*.log"
      ],
      "fields": {
        "type": "linshiXX"
      }
    }
  ]
}
(这里配置文件的写法也是规避了前面提到的logstash-forwarder的坑:servers没用ip)
启动logstash-forwarder:
$ ./logstash-forwarder -config test_forwarder.conf
logstash-forwarder启动后就会与logstash建立tcp连接.

测试, 写日志,观察运行logstash的终端的输出:
$ echo 1234 >> /var/log/linshi.txt

2.4  打开kibana,展现最终汇总到elasticsearch的日志.
(唯kibana不能算是服务, 它只是一个“阅读器”.)
用浏览器打开kibana-3.1.0目录下的index.html,看右边倒数第五行有个链接。打开.
------------------------------------------------------------------------------------------------------------------------------------------------
三.深入

1. type
logstash.conf里的
input {
  lumberjack {
    ...
    type => "this forwarder's file have no type!"
这个type,是对forwarder.conf的补充:如果forwarder.conf里没有type,则这里的type就会填充日志event的type字段.
ps:
一条日志event是这样的:
{
       "message" => "xx",
      "@version" => "1",
    "@timestamp" => "2014-09-18T03:31:12.744Z",
          "type" => "linshi1",
          "file" => "/var/log/epoch/linshi.txt",
          "host" => "xiaou-mint",
        "offset" => "568"
}
用type来作为区分各个日志应该不错:
在forwarder里这样写files:
  "files": [
    {
      "paths": [
        "/var/log/epoch/linshi1.txt"
      ],
      "fields": {
        "type": "linshi1"
      }
    },
    {
      "paths": [
        "/var/log/epoch/linshi2.txt"
      ],
      "fields": {
        "type": "linshi2"
      }
    }
  ]

2.add_field添加字段
    add_field => {
      "test_field" => "asdasd"
      "test_filed2" => "112233"
    }
尽量不要跟日志event里已有的字段冲突了,如果要这么做,需要自行测试是否会覆盖event日志的字段. 我测试了几个字段诸如type、message、file,居然表现各一,无法统一下结论.

3.if表达式
随时需要查文档http://logstash.net/docs/1.4.2/。。。不写了. End.
/*
http://logstash.net/docs/1.4.2/inputs/lumberjack
http://logstash.net/docs/1.4.2/configuration#conditionals
http://logstash.net/docs/1.4.2/filters/mutate
http://logstash.net/docs/1.4.2/filters/drop
*/

4. 最后给出两个conf的测试内容:
logstash.conf :

input {
  lumberjack {
    # The port to listen on
    port => 5000

    # The paths to your ssl cert and key
    ssl_certificate => "/home/xiaou/logstash-forwarder.crt"
    ssl_key => "/home/xiaou/logstash-forwarder.key"

    type => "this forwarder's file have no type!"

  }
}

filter{
  if [type] == "linshi2"{
    mutate{
      replace => ["message","%{message}:it's linshi2"]    
      update => ["file", "FILE_LINSHI2"] # 替换字段.
    }
  }else{ # linshi1
    if "error" in [message]{ # 日志里还有“error”字符串
      mutate{
        add_field => {"NOTE" => "ERROR!"} # 添加字段
        add_tag => "tag_error!" # 添加标签. 标签是个数组
        add_tag => "tag_error2!"
      }
    }else{ # 如果来自linshi1.txt的并且没有“error”自负, 则丢弃.
      drop{}
    }
  }
}

output {
  elasticsearch { host => localhost }
  stdout { codec => rubydebug }
}

forwarder.conf :

{
  "network": {
    "servers": [ "localhost:5000" ],
 "ssl ca": "/home/xiaou/logstash-forwarder.crt",
    "timeout": 5
  },

  "files": [
    {
      "paths": [ 
        "/var/log/epoch/linshi1.txt"
      ],
      "fields": { 
        "type": "linshi1" 
      }
    },
    {
      "paths": [ 
        "/var/log/epoch/linshi2.txt"
      ],
      "fields": { 
        "type": "linshi2" 
      }
    }
  ]
}

------------------------------------------------------------------------------------------------------------------------------------------------
End.

weixin_34416754
关注
LOGSTASH+ELASTICSEARCH+KIBANA处理OSS访问日志
fishmai的专栏
10-23 2885
Logstash+ElasticSearch+Kibana处理nginx访问日志 logstash shipper -> redis" style="color:rgb(54,115,165); line-height:inherit">1. nginx日志 -> logstash shipper -> redis logstash indexer -> elasticsearch"
logstash book for logstash-v1.4.2
03-26
Logstash是一款开源的日志处理引擎,属于ELK Stack(Elasticsearch, Logstash, Kibana)的重要组成部分,主要用于实现日志数据的收集、处理和转发。本书《The Logstash Book》是由James Turnbull所著,专注于...
logstash-forwarder:Ubuntu Logstash-forwarder 将日志发送到 logstash 服务器!
06-20
Logstash 转发器 ==================== 描述 这是一个 Ansible 角色,用于将“logstash-forwarder”部署到您想要为您的 logstash 服务器收集日志的任何机器上。 这将与 ELK 或 Logstash 环境一起使用。 行动 安装 logstash-forwarder 发送日志文件 /var/log/auth.log /var/日志/系统日志 /var/log/apache2/other_vhosts_access.log 您可以修改模板以包含其他文件: roles/logstash-forwarder/templates/logstash-forwarder.logger.j2 用法 要使用此角色,只需更新以下默认值: roles/logstash-forwarder/defaults/main.yml logstash_ho
Logstash Forwarder
gitblog_00026的博客
03-17 387
Logstash Forwarder 去发现同类优质开源项目:https://gitcode.com/ Logstash Forwarder 是一个开源的工具,用于收集服务器日志并将它们发送到 Logstash 进行处理和存储。它可以帮助您集中管理和分析您的日志数据,从而提高运营效率和故障排查能力。 功能特性 支持多种日志源:Logstash Forwarder 可以从多个系统日志文件、网络设备...
logstash_forwarder:logstash-forwarder 厨师食谱
06-11
这本食谱已被弃用,取而代之的是
Filebeat 日志收集器 logstash-forwarder 的替代品
weixin_34337381的博客
09-08 239
Filebeat是一个开源的文件收集器,主要用于获取日志文件,并把它们发送到logstashelasticsearch。与libbeat lumberjack一起替代logstash-forwarder。 在logstash-forwarder项目上,看到下面一些信息“The filebeat project replaces logstash-...
ELK logstash升级到2.0以及logstash-forwarder迁移到Filebeat
ronon77的专栏
12-27 244
将从logstash1.5版本升级到2.1版本,以及将《ELK部署指南》中使用的logstash-forwarder转移到Filebeat上。 升级步骤 停止logstash以及发送到logstash的所有管道。 更新apt或yum源或者下载新版包。 安装新版的logstash。 测试logstash配置文件是否正确。 启动logstash以及第一步停止的管道。 升级logst...
docker-logstash-forwarder:Logstash转发器Docker映像
05-14
Docker-logstash-forwarder 是一个专门为 Docker 设计的 Logstash 客户端,使得在 Docker 容器内产生的日志能够高效地被 Logstash 处理,进而进入 ELK(Elasticsearch, Logstash, Kibana)日志分析堆栈,为企业提供...
最新版windows logstash-7.13.2-windows-x86_64.zip
06-16
Logstash 是一个强大的开源数据收集、处理和转发引擎,它属于 Elastic Stack(以前称为 ELK Stack,包括 ElasticsearchLogstashKibana)的一部分。在Windows环境下,Logstash 提供了方便的数据采集和预处理...
ansible-role-logstash转发器:已弃用Ansible角色-Logstash转发器
01-31
Logstash是一款强大的日志收集、处理和转发工具,它是ELK(ElasticsearchLogstashKibana)堆栈的重要组成部分,用于将各种来源的日志数据结构化并推送到Elasticsearch进行存储和分析。然而,随着技术的发展,...
logstash_forwarder-formula:logstash-forwarder 的盐公式
06-08
日志转发器公式 使用Struts数据为基于 Debian 和 RedHat 的系统安装和配置 Logstash Forwarder。 笔记 请参阅完整的。 可用状态 安装logstash-forwarder包,设置配置文件,可选设置logstash-forwarder证书,并启用该服务。 该公式目前支持基于 Debian 和 RedHat 的发行版。 虽然 Debian 和 RedHat 的软件包提供了服务初始化文件,但我们在这个公式中管理它有两个因: RedHat 服务 init 文件当前已损坏,请参阅 < > 默认情况下,两个发行版系列的 init 文件在调用 logstash-forwarder 时都启用“log-to-syslog”,这可能会用不必要的噪音污染您的系统日志。 默认情况下,此功能将保持打开状态,但可以通过在您的Struts数据中将 logstash_for
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
logstash 常见解决方法
weixin_33681778的博客
11-17 567
1. logstash 无法连接 kafka logstash 版本: logstash-1.5.4-1.noarch.rpm logstash.log 错误信息: {:timestamp=>"2015-11-16T18:41:00.365000+0800", :message=>"The error reported is: \n ...
ELK中如何搭建客户端客户端如何将日志发送给服务端的logstash
weixin_33881041的博客
05-10 692
【背景】我们要统一收集日志,统一分析,统一在一个平台上搜索过滤日志!在上一篇中已经完成了ELK的搭建,那么该如何将每台客户端的日志集中到ELK平台中呢?【本系统介绍】ELK -- 192.168.100.10 (这个地方要有FQDN 创建SSL证书的时候需要配置FQDN,www.elk.com)被收集日志的客户端(也叫 logstash shipper) --- 192....
如何在Ubuntu 14.04上利用LogstashKibana实现日志信息集中化
zstack_org的博客
11-09 1527
如何在Ubuntu 14.04上利用LogstashKibana实现日志信息集中化提供:ZStack社区 内容简介在本篇教程中,我们将探讨Logstash 1.4.2与Kibana 3的安装方式,以及如何对二者配置以通过集中化方式收集系统日志信息并进行可视化处理。Logstash是一款用于收集、解析并存储日志信息以备日后使用的开源工具。Kibana 3则是一套Web界面,旨在帮助用户对Logsta
基于AIX系统的应用日志采集-Logstash服务器端和客户端配置
穿过午夜
10-17 2906
1.服务端 1.1.需要文件(/opt/file):   logstash-forwarder.crt   logstash-forwarder.key    1.2. 执行命令生成密钥文件keystore.jks   cd  /opt/file   keytool -importcert -trustcacerts -file logstash-forwarder.cr...
ElasticSearch+Logstash+Kibana
apprentices的博客
03-22 3533
第一节 ELK介绍 第二节 Windows下环境准备 第三节 单机版实战操作—spring boot整合 ELK 第四节 单机版实战操作—Mysql整合ELK 第五节 单机版实战操作—本地日志文件整合ELK 第一节 ELK介绍 日志是程序产生的,遵循一定格式(通常包含时间戳)的文本数据。通常由服务器生成,输出到不同的文件中,一般会有系统日志、 应用日志、安全日志。这些日志分散地存储在不同的机器上。通常当系统发生故障时,工程师需要登录到各个服务器上,使用 grep / sed / awk...
如何配置 Flink CDC 连接 OceanBase 实现数据实时同步
最新发布
OceanBase分布式数据库的博客
11-18 627
Flink CDC 为我们提供了一种高效、可靠的数据同步解决方案,结合 OceanBase 的高性能数据库特性,可以满足各种实时数据处理场景的需求。在实际应用中,还可以根据具体情况进行更多的优化和扩展,如调整并行度、设置数据过滤规则等,以提高数据同步的性能和效率
ELK架构详解:Filebeat数据采集与Logstash-Elasticsearch协作
ELK架构,即ElasticsearchLogstashKibana的组合,是现代日志管理和分析的流行工具集。这三大组件各司其职,共同构成了一套强大的集中式日志处理和分析体系。 1. **Elasticsearch**:作为分布式搜索和分析引擎,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值