filebeat收集自定义日志

最新推荐文章于 2023-12-22 16:51:15 发布
最新推荐文章于 2023-12-22 16:51:15 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: ELK 文章标签: 正则表达式 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46380571/article/details/107921345
版权

1.查看日志内容

2020-08-10 20:19:54 Logout 121.*.*.5 wujian ppp0 1**.*8.4*.1 1*.1*8.*2.1

2.grok进行切割

grok正则测试

%{DATESTAMP:timestamp} %{WORD:severity} %{IP:client} %{USERNAME:username} %{USERNAME:device} %{IP:vlanIP} %{IP:assignIP}

grok官方给出了很多封装好的patterns 我们可以直接用
官方patterns

filebeat

3.编写filebeat.yml

cat >> /etc/filebeat/filebeat.yml <<EOF
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/ipsec.log
output.logstash:
  hosts: ["10.0.0.42:5045"]    #logstash的端口
EOF

4.filebeat开机自启|重启

 systemctl enable filebeat.service  
 systemctl restart filebeat.service
 第一次启动用start

logstash

5.编写**.conf文件

cat >> /etc/logstasg/conf.d/*.conf <<EOF
input {
  beats {
    port => 5045
    host => "0.0.0.0"
  }
}
filter {
        mutate {
                remove_field => ["host","input","fields"]
        }
        grok {
                match => { "message" => "%{DATESTAMP:timestamp} %{WORD:severity} %{IP:client} %{USERNAME:username} %{USERNAME:device} %{IP:vlanIP} %{IP:assignIP}" }
                remove_field => "message"  #删除message那一行
        }
}
output {
  elasticsearch {
    hosts => ["http://10.0.0.41:9200"]
    index => "vpn-%{+YYYY.MM.dd}"   #设置索引
    manage_template => false
  }
}
EOF

6.编辑pipelines.yml

vim /etc/logstash/pipelines.yml
- pipeline.id: *    #自定义名字最好和conf.d下的文件名一致
  path.config: "/etc/logstash/conf.d/*.conf"   #使用那个文件

7.重启logstash

 systemctl restart logstash.service

8.查看日志

tailf /var/log/logstash/logstash-plain.log  #稍等一会 启动比较慢

9.访问kibana

在这里插入图片描述
发现数据已经分割开

云原生解决方案
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
filebeat-daemonSet模式采集pod日志
晓俊子的博客
01-16 901
docker运行filebeat镜像,采集容器日志
filebeat自定义收集springboot日志
南角影
08-02 9641
springboot-fek 目标 单点安装filebeat -> elasticsearch -> kibana 解析spring boot 日志 FEK方式,日志收集使用filebeat收集springboot日志文件信息,发送至es。 环境 服务器列表 192.168.1.10 filebeat 192.168.1.11 kibana elaticsearch 软件环境 j...
Beats: Filebeat 自定义标签 多日志采集
IChen.的博客
08-31 604
Filebeat一、自定义采集数据标签自定义标签自定义字段终端端显示信息完整的一个 自定义标签、自定义字段的 filebeat采集日志logstash 引用标签,对索引进行输出二、Filebeat 采集多个日志配置 一、自定义采集数据标签 自定义标签 tags: [“nginx-access”] 自定义标签为 nginx-access tags: [“error-access”] 自定义标签为 error-access 自定义字段 fields: from: nginx-access itc
ELK日志分析平台之filebeat读取日志
兔纸先森的后花园
07-04 3015
1 软件环境说明本次安装部署所用的软件均为官网上目前的最新版本。操作系统软件Java环境windows 10logstash-6.2.4 jdk 1.8.0_171filebeat-6.3.01.2.2           Elasticsearch安装a.        解压tar包(tar -zxvf elasticsearch-6.2.4.tar.gz);b.       修改elastic...
filebeat收集日志
小船的专栏
09-06 3666
1. 下载filebeat    curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.5.2-x86_64.rpm 2. 安装    rpm -ivh filebeat-5.5.2-x86_64.rpm
Filebeat 实时收集 Nginx 日志1
08-03
Filebeat 是 Elastic Stack 中的一员,它是轻量级的日志收集工具,特别适合于资源有限的服务器。相较于 Logstash,Filebeat 更加节省资源,启动快速,因此在实时收集 Nginx 日志等场景下,Filebeat 成为了首选。...
使用FileBeat采集MQ日志Elasticsearch时所需资料
03-22
FileBeat是一款轻量级的日志收集工具,常用于从服务器上收集各种类型的日志,并将其转发到中央日志管理系统,如Elasticsearch。本教程将详细介绍如何使用FileBeat采集MQ(Message Queue)日志并将其存储到Elastic...
日志分析系统Elk + Filebeat安装包
07-08
Filebeat是Elastic公司推出的一个轻量级的日志转发工具,用于收集和发送日志到Logstash或者直接到Elasticsearch。在这个"日志分析系统ELK + Filebeat安装包"中,所有组件都是7.6版本,这是Elastic Stack的一个稳定...
filebeat-8.0.0
04-11
Filebeat 是使用 Golang 实现的轻量型日志...当然,我们也可以自定义 Output 组件,让 Filebeat日志转发到我们想要的地方。 filebeat 其实是 elastic/beats 的一员,除了 filebeat 外,还有 HeartBeat、PacketBea
基于kafka的web日志收集项目
09-11
Filebeat作为日志收集工具,安装在服务器上,负责从Nginx的日志文件中实时读取和传输日志数据到Kafka。Filebeat的配置需要指定日志文件路径、Kafka的Bootstrap Servers以及日志主题。 Kafka是一个分布式流处理平台...
ES8生产实践——自定义日志采集(Filebeat方式)
qq_33816243的博客
08-08 462
在某些存在业务高峰期的场景下,期间可能会产生大量日志,如果继续使用fleet采集日志,使用ingest处理数据,可能会出现写入堆积的情况。此时可采用传统的Filebeat方式采集日志,引入Kafka作为消息缓冲队列,保证日志传输数据的可靠性和稳定性。接下来以日志demo程序为例,实现Filebeat采集——>kafka消息缓冲队列——>logstash解析处理数据——>es存储——>kibana数据可视化分析完整流程的演示。
filebeat 轻量型日志分析
weixin_44793145的博客
09-18 474
paths:指定要监控的日志,目前按照Go语言的glob函数处理。 encoding:指定被监控的文件的编码类型,使用plain和utf-8都是可以处理中文日志的。 input_type:指定文件的输入类型log(默认)或者stdin。 exclude_lines:在输入中排除符合正则表达式列表的那些行。 include_lines:包含输入中符合正则表达式列表的那些行(默认包含所有行),include_lines执行完毕之后会执行exclude_lines。 exclude_files:
ELK之filebeat收集日志并拆分
qianyidui的博客
12-20 2847
官方链接:日志拆分 #=========================== Filebeat inputs ============================= filebeat.inputs: - type: log enabled: true paths: - /usr/local/gwt/nginx/logs/*access.log tags: ["access"...
ES8生产实践——pod日志采集(Elastic Agent方案)
qq_33816243的博客
09-10 347
在先前的自定义日志采集(fleet方式)中已有详细讲解,具体内容可参考文档,此处不再赘述。
filebeat 处理日志切割问题
最新发布
zhaoyangjian724的专栏
12-22 710
filebeat 当从tst.log 切换到tst.log.1的时候,还会继续采集tst.log.1。
Filebeat采集日志讲解(一)
桃花惜春风
03-25 5749
在ELKF中,Filebeat作为日志采集端,采集日志并发送到kafka。input就是以文件形式存储的log文件,output就是kafka集群。 在采集日志中一般情况有以下几点需要注意的: 输出内容确定,一般包括时间戳,主机名,日志类型,日志内容,其他的根据业务的实际需求,无用信息可以直接过滤掉; 输出格式,一般使用json,需要自己拼成json格式; 多路径采集日志配置,同时采集多个服务的...
Filebeat如何保证在日志文件被切割(或滚动rolling)时依然正确读取文件
屈帅波的技术博客
07-27 1725
filebeat日志采集缺失问题排查
Beats — Filebeat 自定义标签+多日志采集
北海牧野
07-13 6345
Beats — Filebeat 进阶一、自定义采集数据标签自定义标签自定义字段终端端显示信息完整的一个 自定义标签、自定义字段的 filebeat采集日志logstash 引用标签,对索引进行输出二、Filebeat 采集多个日志配置 一、自定义采集数据标签 自定义标签 tags: [“nginx-access”] 自定义标签为 nginx-access tags: [“error-access”] 自定义标签为 error-access 自定义字段 fields: from: ng.
Filebeat 6.0 把日志直接输入到ES中如何自定义index
weixin_33749242的博客
08-13 2855
临时搭建了一套EFK(elasticsearchfilebeat,kibana),filebeat 6.0 默认的index 是filebeat+时间,这样无法满足正常的业务需求,如果是收集一个地方的还可以,超出一个就需要自定义index了,自定义的方法如下:setup* 部分需要顶格写,同时注意index 定义必须是小写字符,否则会报错。 #--------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云原生解决方案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值