filebeat 日志采集到 elasticsearch

已于 2023-04-11 12:40:57 修改
阅读量1.5k 收藏 5
点赞数
分类专栏: 软件安装 文章标签: elasticsearch docker
于 2023-04-07 11:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44639720/article/details/130006533
版权
该教程详细介绍了Filebeat的下载与安装过程,包括在Linux和Windows平台上的解压步骤。接着,它展示了如何修改配置文件来收集正常日志和JSON格式日志,以及如何配置Elasticsearch模板和输出设置。最后,文章提供了在Linux和Windows环境下启动Filebeat的命令。
摘要由CSDN通过智能技术生成

文章目录

一、下载与安装

1.下载

https://www.elastic.co/cn/downloads/beats/filebeat

根据自己的需求下载对应的版本

2. 解压

# windows平台直接解压

# linux平台解压:
tar -zxvf filebeat-7.6.1-linux-x86_64.tar.gz

二、修改配置文件

1. 正常日志采集

# ============================== Filebeat inputs ===============================
filebeat.inputs:
# 文本算法类型日志采集
- type: log
  enabled: true
  encoding: UTF-8
  fields:
    algo_type: text 
  paths:
    - /home/script/text/logs/*log*
 
# 图片算法日志采集
- type: log
  enabled: true
  encoding: UTF-8
  fields:
    algo_type: image
  paths:
    - /home/script/image/logs/*log*


# ======================= Elasticsearch template setting =======================
# es索引模板配置
setup.ilm.enabled: false
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"
setup.template.settings:
  index.number_of_shards: 3
  index.number_of_replicas: 1
  index.codec: best_compression

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  hosts: ["192.168.19.100:9200"]
  protocol: "http"
  # es账号密码,没有设置的可以不用配置
  username: "root"
  password: "123456"
  # 根据不同的日志类型配置不同的es索引
  indices:
    - index: "filebeat-text-%{+yyyy-MM-dd}"
      when.equals:
        fields:
          algo_type: "text"
    - index: "filebeat-image-%{+yyyy-MM-dd}"
      when.equals:
        fields:
          algo_type: "image"


# ================================= Processors =================================
processors:
  # 将自带的一些字段可以去除
  # - add_host_metadata:
  #     when.not.contains.tags: forwarded
  # - add_cloud_metadata: ~
  # - add_docker_metadata: ~
  # - add_kubernetes_metadata: ~
  # 在这里可以设置要去除的字段
  - drop_fields:
      # when: 可以设置去除的条件
      #   condition
      fields: ["log","host","input","agent","ecs"]
      ignore_missing: false

2. JSON格式日志采集

采集JSON格式数据需要将日志输出JSON格式的日志,如下:

{"start_time": "2020-12-13 10:37:01.072","type": "CsbTest","level": "INFO","message":"数据1","parameter":["6677"]}
{"start_time": "2020-12-13 10:37:01.072","type": "CsbTest","level": "INFO","message":"数据2","parameter":["12121"]}

配置如下:

# ============================== Filebeat inputs ===============================
filebeat.inputs:
# 文本算法类型日志采集
- type: log
  enabled: true
  encoding: UTF-8
  fields:
    algo_type: text 
  paths:
    - /home/script/text/logs/*log*
  json:
    keys_under_root: true
    overwrite_keys: true
    add_error_key: true
 
# 图片算法日志采集
- type: log
  enabled: true
  encoding: UTF-8
  fields:
    algo_type: image
  paths:
    - /home/script/image/logs/*log*
  json:
    keys_under_root: true
    overwrite_keys: true
    add_error_key: true


# ======================= Elasticsearch template setting =======================
# es索引模板配置
setup.ilm.enabled: false
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"
setup.template.settings:
  index.number_of_shards: 3
  index.number_of_replicas: 1
  index.codec: best_compression

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  hosts: ["192.168.19.100:9200"]
  protocol: "http"
  # es账号密码,没有设置的可以不用配置
  username: "root"
  password: "123456"
  # 根据不同的日志类型配置不同的es索引
  indices:
    - index: "filebeat-text-%{+yyyy-MM-dd}"
      when.equals:
        fields:
          algo_type: "text"
    - index: "filebeat-image-%{+yyyy-MM-dd}"
      when.equals:
        fields:
          algo_type: "image"


# ================================= Processors =================================
processors:
  # 将自带的一些字段可以去除
  # - add_host_metadata:
  #     when.not.contains.tags: forwarded
  # - add_cloud_metadata: ~
  # - add_docker_metadata: ~
  # - add_kubernetes_metadata: ~
  # 在这里可以设置要去除的字段
  - drop_fields:
      # when: 可以设置去除的条件
      #   condition
      fields: ["log","host","input","agent","ecs"]
      ignore_missing: false

三、启动

# linux中,后台启动, 先进入到安装目录中,将所有标准输出及标准错误输出到/dev/null空设备,即没有任何输出
nohup  ./filebeat  -c  filebeat.yml  -e  >/dev/null  2>&1  &

# windows中启动,先进入到安装目录中
.\filebeat.exe -e -c .\filebeat.yml
  • -c:配置文件位置
  • -e:关闭日志输出
不忘初欣丶
关注
专栏目录
Filebeat日志采集Elasticsearch集群
万物皆可学
01-30 735
注意:所有版本需要一直,我这里Elasticsearch是7.10.1,包括后期的Logstash那些都需要版本一致。我在/data下新建了一个filebeat目录下载并解压filebeat进入解压后的filebeat目录,嫌目录文件名长的话可以用mv命令修改一下。
大数据ELK(十九):使用FileBeat采集Kafka日志Elasticsearch
Lansonli(蓝深李)的博客
12-08 4882
全网最详细的大数据ELK文章系列,强烈建议收藏加关注! 新文章都已经列出历史文章目录,帮助大家回顾前面的知识重点。 目录 使用FileBeat采集Kafka日志Elasticsearch 一、需求分析 二、配置FileBeats 1、input配置 2、output配置 三、配置文件 1、创建配置文件 2、复制一下到配置文件中 四、运行FileBeat 1、运行FileBeat 2、将日志数据上传到/var/kafka/log,并解压 五、查询数据 1、查看索引信息 ..
实时日志收集-查询-分析系统(Flume+ElasticSearch+Kibana)
热门推荐
在路上的学习者
02-27 2万+
**设计方案:**Flume(日志收集) + ElasticSearch日志查询)+ Kibana(日志分析与展示)实验使用场景:通过ambari部署集群后,可以添加自己的日志系统,记录每个组件的产生的日志,实时的查询分析一、Flume概述:Apache Flume is a distributed, reliable, and ava
使用filebeat采集文件到es
木子金丰的博客
07-26 2万+
继上一篇logstash采集日志。 之前用logstash做日志采集,但是发现logstash很占用机器资源导致机器运行有点慢。查询资料表明logstash使用Java编写,插件是使用jruby编写,对机器的资源要求会比较高,网上有一篇关于其性能测试的报告。之前做过和filebeat的测试对比。在采集日志方面,对CPU,内存上都要比前者高很多。那么果断使用filebeat作为替代方案。走起! ...
docker 部署 filebeat 采集日志导入到elasticsearch 设置pipeline
最新发布
萧曳丶
10-02 658
docker 部署 filebeat 采集日志导入到elasticsearch 设置pipeline。
filebate收集日志es
LiuSir的博客
01-03 5733
日志系统 场景 一般常见我们需要进行日志分析场景是:直接日志文件中grep、awk就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 大型系统是一个分布式部署的架构,不同的服务模块部署在...
filebeat读取日志存入elasticsearch
SpringHASh的博客
08-26 647
【代码】filebeat读取日志存入elasticsearch
filebeat日志文件上传到Es中配置(ES8版本)
zhaojiyuan1024的博客
07-21 622
ES8版本默认生成的是数据流,不是默认的索引,这么配置生成的数据流名称就是idx_springboot,不是默认的filebeat了,如查索引发现生成长索引名是.ds-idx_springboot-2024.07.21-000001这种格式的,但我们配置视图时,选idx_springboot就行了。为保护我的个人隐私,有的生命周期名、索引名、模板名我做过修改,如发现有问题,可评论,或与我联系。
filebeat收集日志es实践
疾风sxp的博客
09-24 7996
1、环境 操作系统:windows10 elasticsearch:7.14.1 filebeat:7.14.1 elasticsearch-head:5.0.0 2、安装 2.1.安装elasticsearch 官网下载地址:Download Elasticsearch Free | Get Started Now | Elastic | Elastic,你可以根据操作系统选择自己需要的版本,由于本次实践采用的是windows10 64位操作系统,所以选择下载了windows版本的es,将下
使用FileBeat采集MQ日志Elasticsearch时所需资料
03-22
本教程将详细介绍如何使用FileBeat采集MQ(Message Queue)日志并将其存储到Elasticsearch。 首先,我们需要了解FileBeat的基本概念。FileBeat是由 Elastic 公司开发的开源工具,它是Logstash Forwarder的替代品...
大数据ELK(十九):使用FileBeat采集Kafka日志Elasticsearch_filebeats
2401_84166327的博客
05-01 395
在资料中有一个kafka_server.log.tar.gz压缩包,里面包含了很多的Kafka服务器日志,现在我们为了通过在Elasticsearch中快速查询这些日志,定位问题。但上述的日志会出现一条日志,跨多行的情况。有异常信息时,肯定会出现多行。默认FileBeat会将日志数据放入到名称为:filebeat-%filebeat版本号%-yyyy.MM.dd 的索引中。我们在日常日志的处理中,经常会碰到日志中出现异常的情况。从名字就能看出来,一个是用来输入数据的,一个是用来输出数据的。
Filebeat日志采集到Logstash再到Elasticsearch集群
万物皆可学
01-30 342
Logstash我也是在/data下创建了个logstash目录一样解压后就相当于安装好了,进入解压后的目录里注意:logstash不像filebeat进入目录后就可以看见启动文件,logstash的启动文件在bin目录下。
大数据ELK(十九):使用FileBeat采集Kafka日志Elasticsearch_filebeats(2)
2401_84166327的博客
05-01 435
在资料中有一个kafka_server.log.tar.gz压缩包,里面包含了很多的Kafka服务器日志,现在我们为了通过在Elasticsearch中快速查询这些日志,定位问题。默认FileBeat会将日志数据放入到名称为:filebeat-%filebeat版本号%-yyyy.MM.dd 的索引中。这明显是不符合我们的预期的,我们想要的是将所有的异常消息合并到一条日志中。我们在日常日志的处理中,经常会碰到日志中出现异常的情况。我们发现,原本是一条日志中的异常信息,都被作为一条单独的消息来处理了~
日志分析新范式:手把手教你用Filebeat导入腾讯云ES
cloudbigdata的博客
08-23 167
Filebeat简介Filebeat 是 Elastic Stack 中的一部分,是用于转发和集中日志数据的轻量级传送器。它作为代理安装在您的服务器上,监控指定的日志文件或目录,收集日志事件,并将它们转发到 Elasticsearch 或 Logstash 进行索引和处理。Filebeat的构成Harvesters(收集器):Harvester 负责读取单个文件的内容,逐行读取每个文件,并将内容发...
filebeat采集日志大到ES
jinian2016的博客
01-16 1523
filebeat.yml配置 ###################### Filebeat Configuration Example ######################### # ============================== Filebeat inputs =============================== filebeat.inputs: - type: log enabled: true paths: - /opt/apps/test-*
filebeat输出到elasticSearch
qq_26896085的博客
02-21 1846
在项目目录中添加配置文件写入下面信息 filebeat.inputs: - type: log enabled: true paths: - /usr/local/elasticsearch/beats/logs/*.log #添加自定义tag,便于后续的处理 tags: ["web", "wooide"] # 添加自定义字段 fields: from: ...
ES01# FileBeatElasticsearch集成
gaoliang1719的专栏
03-27 2226
引言对Elasticsearch体系化学习梳理,本文为第一篇,filebeatElasticsearch的集成部署,文章主要内容有:Elasticsearch安装与部署Kibana安装与部署FileBeatElasticsearch集成一、Elasticsearch安装与部署1.下载安装包//下载地址本文为Elasticsearch7.10.2 https://...
部署Filebeat收集日志并转发到Elasticsearch
u010797364的博客
06-28 1513
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。
Beats:通过 Filebeat日志传入到 Elasticsearch
Elastic 中国社区官方博客
09-12 1万+
我们知道Elastic Stack被称之为ELK (Elasticsearch,Logstash and Kibana)。由于beats的加入,现在很多人把ELK说成为ELKB。这里的B就是代表Beats。Beats在Elasticsearch中扮演很重要的角色。 从上面的图上,我们可以看出来,Beats可以帮我们采集数据,并把它传入到Elasticsearch或Logstash之中。Bea...
SpringBoot日志采集Filebeat+Logstash+ES+kibana实战
Logstash是一个数据处理管道,它接收来自Filebeat的数据,进行过滤、转换,然后发送到Elasticsearch。在`logstash-sample.yml`配置文件中,添加Elasticsearch的连接信息和索引设置。完成配置后,重启Logstash服务以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值