企业运维实战--ELK日志分析平台之logstash数据采集

最新推荐文章于 2022-07-06 16:25:56 发布
最新推荐文章于 2022-07-06 16:25:56 发布
阅读量502 收藏 1
点赞数
分类专栏: 企业运维实战--ELK日志分析平台 文章标签: 运维 elk logstash 数据采集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45233090/article/details/119705360
版权

企业运维实战--ELK日志分析平台之logstash数据采集

前言–logstash简介

Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。

logstash数据采集

安装

rpm -ivh jdk-8u171-linux-x64.rpm
rpm -ivh logstash-7.6.1.rpm

在这里插入图片描述

日志采集输出插件

命令行数据采集并显示到终端

/usr/share/logstash/bin/logstash -e 'input { stdin {}} output { stdout {} }'

在这里插入图片描述
输入数据会立刻在终端以标准输出的方式反馈
在这里插入图片描述

以文件的形式运行,设定文件输出路径为/tmp/testfile

cd /etc/logstash/conf.d/

vim test.conf
cat test.conf

input {
	stdin {}
}

output {
 file {
   path => "/tmp/testfile"
   codec => line { format => "custom format: %{message}"}
 }
}

在这里插入图片描述

file输出插件
-f指定文件

/usr/share/logstash/bin/logstash -f test.conf

在这里插入图片描述
在这里插入图片描述

查看

cat /tmp/testfile

在这里插入图片描述

logstash连接到elasticsearch

vim es.conf
cat es.conf

input {
	stdin {}
}

output {
	stdout {}

	elasticsearch {
		hosts => ["172.25.0.3:9200"]
		index => "logstash-%{+yyyy.MM.dd}"
	}
}

在这里插入图片描述

/usr/share/logstash/bin/logstash -f es.conf

随意输入,输入结束后ctrl+c结束数据采集
在这里插入图片描述
进入监控查看采集的数据浏览
在这里插入图片描述

https://www.elastic.co/guide/en/logstash/7.6/plugins-outputs-file.html

采集本机日志输出到elasticsearch

input {
	file {
		path => "/var/log/messages"
		start_position => "beginning"
}
}

output {
	stdout {}

	elasticsearch {
		hosts => ["172.25.9.4:9200"]
		index => "logstash-%{+yyyy.MM.dd}"
	}
}

在这里插入图片描述

 /usr/share/logstash/bin/logstash -f es.conf

在这里插入图片描述

在这里插入图片描述

重复采集同样的日志,只会生效一次,是因为生成了sincedb文件
在这里插入图片描述
sincedb文件所在目录

cd /usr/share/logstash/data/plugins/inputs/file/
l.

在这里插入图片描述

想要重新生成索引,就必须删除它

rm -f .sincedb_452905a167cf4509fd08acb964fdb20c

在这里插入图片描述

采集系统日志syslog输入插件

input {
#	file {
#		path => "/var/log/messages"
#		start_position => "beginning"
#	}
	syslog {
	port => 514
	}
}

output {
	stdout {}

	elasticsearch {
		hosts => ["172.25.9.4:9200"]
		index => "syslog-%{+yyyy.MM.dd}"
	}
}

在这里插入图片描述

 /usr/share/logstash/bin/logstash -f es.conf

在这里插入图片描述
监控查看数据
在这里插入图片描述

多行过滤插件

待收集主机:

vim /etc/rsyslog.conf

# 打开tcp 514端口
$ModLoad imtcp 
$InputTCPServerRun 514

# 接受来自指定ip 514端口的信息采集
*.* @@172.25.9.7:514

在这里插入图片描述
在这里插入图片描述

重启服务

systemctl restart rsyslog.service

在这里插入图片描述

读取集群日志,多行过滤插件

input {
      file {
        path => "/var/log/my-ees.log"
        start_position => "beginning"
          codec => multiline {
            pattern => "^\[" #以[开头的
            negate => "true"
            what => "previous"
          }
      }
}

output {
	stdout {}

	elasticsearch {
		hosts => ["172.25.9.4:9200"]
		index => "eslog-%{+yyyy.MM.dd}"
	}

}

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

/usr/share/logstash/bin/logstash -f test.conf

在这里插入图片描述
查看监控
在这里插入图片描述

grok过滤插件,切片apache访问日志

grok.conf

input {
	file {
		path => "/var/log/httpd/access_log"
		start_position => "beginning"
	}

}

filter {
	grok {
	match => { "message" => "%{HTTPD_COMBINEDLOG}" }
	}
}

output {
	stdout {}

	elasticsearch {
		hosts => ["172.25.9.4:9200"]
		index => "apachelog-%{+yyyy.MM.dd}"
	}
	
}

在这里插入图片描述

固定服务变量模板以准备好,变量所在目录:

cd /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns

在这里插入图片描述

安装apache

yum install -y httpd
echo www.westos.org > /var/www/html/index.html
systemctl start httpd

在这里插入图片描述

chmod 755 /var/log/httpd

多访问几次该服务
在这里插入图片描述

/usr/share/logstash/bin/logstash -f grok.conf

在这里插入图片描述

监控查看
在这里插入图片描述

Rabbitgo_hyl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
日志收集分析平台02(nginx-filebeat-kafka-zookeeper)
qq_53980494的博客
07-22 663
日志收集分析平台是一个集Linux运维,python开发的高难度web项目。其中用到nginx反向代理服务器,filebeat收集日志,kafka中间件集群负责业务解耦,zookeeper对kafka进行管理,然后将数据交由消费者清洗存入数据库,再用python开发出web服务平台提取数据库字符段进行数据的监控、报警等功能。......
企业运维实战 ELK日志分析平台 Kinaba (Kibana安装、Kinaba安全认证、Kinaba监测)
08-11
企业运维实战中,ELK 日志分析平台 Kinaba 是一个非常重要的组件,它由三部分组成:Elasticsearch、Logstash 和 Kibana。Kinaba 是 Kibana 的中文名称,它是 ELK 栈中最重要的组件之一。 Kibana 安装 Kibana 是 ...
运维相关指标数据采集并ES入仓 - 运维笔记
weixin_30363509的博客
07-03 263
为了进行数字化IT治理,需要对一些应用进程相关指标进行采集并入库。收集到的应用指标数据最好要进行ES入仓,入到Kafka里面,并通过Kibana可视化展示。 需要进行采集的应用进程相关指标如下: ES入库的规范如下: 中文名 英文名 类型 是否必填 说明 指标名称 indexName ...
系统运维系列 之网络编程/数据采集/交互方式汇总
langxiaolin的博客
02-09 447
本篇博客意在总结一下数据采集/交互的方式,直白点说就是接口/通信的问题,即怎样建立和对端的通信连接,数据怎样传送,采用什么方式入库等。我们的世界就是一个万物互联的世界,本质上讲日常生活中我们都在做信息交互,像古代战争时候的烽火台,到近现代战争的电报/电话,再到现在的互联网/信息化,信息的交互非常重要。 网络编程的三要素: IP地址:每个设备在网络中的唯一标识,本地回路地址127.0.0.1,广播地址255.255.255.255,IPV4 4个0-255,IPV6 共8组,每组4个16进制; 端口号:每个程
企业运维ELK日志分析平台Logstash
weixin_54720351的博客
04-10 2669
ELK日志分析平台--Logstash数据采集介绍与配置
Linux运维ELK日志分析平台
qq_43541622的博客
06-12 158
elasticsearch实战 elasticsearch简介 Elasticsearch 是一个开源的分布式搜索分析引擎,建立在一个全文搜索引擎库 Apache Lucene基础之上。 Elasticsearch 不仅仅是 Lucene,并且也不仅仅只是一个全文搜索引擎: 一个分布式的实时文档存储,每个字段 可以被索引与搜索 一个分布式实时分析搜索引擎 能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据 基础模块 cluster:管理集群状态,维护集群层面的配置信息。 alloctio
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署11-es-hea.mp4
打造高效实用的运维日志平台
weixin_33912246的博客
11-23 255
2019独角兽企业重金招聘Python工程师标准>>> ...
企业实战--ELK日志分析平台Logstash数据采集搭建)
chitung_hsu的博客
06-12 406
一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、数据存储以及各种
Go运维开发之日志收集(1)技术选型和架构设计
weixin_44575411的博客
06-22 391
Go运维开发之日志收集(1)收集应用程序日志到kafka中 一 , 需求背景 每个业务系统都有自己的⽇志,当业务系统出现问题时,需要通过查找⽇志信息来定位和解决问题。 当业务系统服务器⽐较少时,登陆到服务器上查看即可满⾜。但当系统机器规模巨⼤,登陆到服务器上查看⼏乎不现实(分布式的系统,⼀个系统部署在⼗⼏甚至几十台服务器上) 解决方案 把服务器上的⽇志实时收集,统⼀存储到中⼼系统。 再对这些⽇志建⽴索引,通过搜索即可快速找到对应的⽇志记录。 通过提供⼀个界⾯友好的web⻚⾯实现⽇志展示与检索。 业界方案 有
运维记录 - 业务日志清理功能
weixin_30894583的博客
09-20 290
线上某些系统业务跑一段时间后,日志就会越来越多,考虑到业务机器磁盘有限,需要添加业务日志清理功能。根据日志所在分区磁盘使用情况来判断是否清理日志,比如当日志分区磁盘空间使用超过90%时,将一周前的日志打包转移到别处 (别的分区下或远程存储设备上)。脚本 (/opt/script/log_clear.sh) 如下: #!/bin/bash #定义日志所在分区当前空间所占比...
构建ELK日志搜索运维平台
jqdelove的博客
01-12 266
新年第一篇博客,也是新年的第一个工作日,今天上班阅读(摸????)了不少的技术文章,突然发现自己Java领域的技术路线图根本没有走完,技术栈还有很大的填补空间,想着今年是提升自己技术的重要时间点,如果止步于此,今后的职业发展会受到很大的限制,不能仅仅只满足于工作够用,况且互联网技术本身迭代更新的速度非常快(毕竟开源大佬边工作边开发新技术),互联网人需要不断的学习新技术才能保证自己不被时代淘汰。大数据相关的技术路线进度缓慢,还有Java后端部分的权限控制、单点登录校验等内容都是今年需要完成的学习任务,甚至于面
自动化运维日志系统Logstash系列一
weixin_33918114的博客
04-06 219
第1章 日志分析系统需求1.1 运维痛点1.运维要不停的查看各种日志。2.故障已经发生了才看日志(时间问题)。3.节点多,日志分散,收集日志成了问题。4.运行日志,错误等日志等,没有规范目录,收集困难。1.2 环境痛点1.开发人员不能登陆线上服务器查看详细日志。2.各个系统都有日志日志数据分散难以查找。3.日志数据量大,查询速度慢,数据不够实时1.3 解决痛点1....
自动化运维日志系统Logstash实践Rsyslog(四)
weixin_30244681的博客
12-09 92
6.1Logstach收集rsyslog日志 1.修改rsyslog.conf配置文件 [root@linux-node3 elasticsearch]#vim /etc/rsyslog.conf *.* @@192.168.90.203:514 [root@linux-node3 elasticsearch]# systemctl restart rsyslog ...
自动化运维日志系统Logstash实践
weixin_30614109的博客
01-30 78
Logstach收集rsyslog日志 Logstach收集tcp日志 Logstach收集java日志 Logstach收集nginx日志 Logstach收集rsyslog日志 1.修改rsyslog.conf配置文件 [root@linux-node3 elasticsearch]#vim /etc/rsyslog.conf *.* @@192.168...
大数据之路读书笔记-02日志采集
数字人生
07-06 1199
数据采集作为阿里大数据系统体系的第 环尤为重要。因此阿里巴巴建立了一套标准的数据采集体系方案,致力全面、高性能、规范地完成海量数据的采集,并将其传输到大数据平台。本章主要介绍数据来中的日志采集部分。 阿里巴巴的日志采集体系方案包括两大体系: Ap us.JS Web(基于浏览器)日志采集技术方案: UserTrack APP 端(无线客户端日志采集技术方案。 本章从浏览器的页面日志采集、无线客户端的日志采集以及我们遇到的日志采集挑战三块内容来阐述间里巴巴的日志采集经验。浏览器的页面型产品/服务的日志采集可分
ELK 企业日志分析系统(理论加实战部署详解)
Chenwei的博文
03-03 1349
ELK 企业日志分析系统(理论加实战部署详解) 文章目录一、ELK 概述1.1 ELK 的工作原理二、部署详解(一)、ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)(二)、 ELK Logstash 部署(在 Apache 节点上操作)(三)、 ELK Kiabana 部署(在 Node1 节点上操作) 安装包:ELK安装包 一、ELK 概述 ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana三个开源工具配合使用,
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 1918
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
docker-compose部署elk
最新发布
05-18
Docker-compose 部署 ELK(Elasticsearch、Logstash、Kibana)的步骤如下: 1. 创建一个目录,例如 elk,用于存放 docker-compose.yml 文件和其他配置文件。 2. 在 elk 目录下创建一个 docker-compose.yml 文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值