Filebeat+kfaka+ELK架构,采集多个日志

已于 2023-04-05 16:05:25 修改
阅读量456 收藏 1
点赞数
分类专栏: ELK 文章标签: elk 架构 linux Powered by 金山文档
于 2023-03-25 16:18:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48096142/article/details/129632576
版权
该文章详细介绍了如何部署ELK栈的各个组件,包括Zookeeper的下载、配置与启动,Kafka的安装、配置和启动,以及Filebeat的配置和启动来收集Nginx的日志数据,并通过Logstash处理这些日志数据,最后将数据发送到Elasticsearch。整个过程涵盖了日志采集、传输和处理的完整流程。
摘要由CSDN通过智能技术生成

架构图

ELK部署

参考上一篇文章:ELK7.0-部署

ZK部署

1.下载

下载地址:https://zookeeper.apache.org/releases.html

2.解压安装包
 tar -zxf apache-zookeeper-3.7.1-bin.tar.gz -C /usr/local/
/usr/local/apache-zookeeper-3.7.1-bin/ /usr/local/zookeeper-3.7.1/
3.拷贝配置文件,
cp /usr/local/zookeeper-3.7.1/conf/zoo_sample.cfg /usr/local/zookeeper-3.7.1/conf/zoo.cfg
4.修改配置文件
#在配置文件中加一行监听本机 IP 即可
clientPortAddress=10.0.5.163
zookeeper默认会占用8080端口,如果你本机已有服务在使用8080,可以把下面参数添加到zoo.cfg 文件里,自定义端口
admin.serverPort=8001
5.启动zk
/usr/local/zookeeper-3.7.1/bin/zkServer.sh start
6.查看端口是否监听
netstat -lntp |grep 2181
如果服务未监听,请查看日志排查问题
more zookeeper-root-server-VM-5-163-centos.out

kafka 部署

1.下载

下载地址:https://kafka.apache.org/downloads

2.解压安装包
tar -zxf kafka_2.12-3.4.0.tgz -C /usr/local/
3.修改kafka配置
vim /usr/local/kafka_2.12-3.4.0/config/server.properties 
#修改 zk 的IP
zookeeper.connect=10.0.5.163:2181

#修改监听地址
listeners=PLAINTEXT://10.0.5.163:9092
4.启动kafka
nohup /usr/local/kafka_2.12-3.4.0/bin/kafka-server-start.sh /usr/local/kafka_2.12-3.4.0/config/server.properties >/tmp/kafka.log 2>&1 &
5.查看端口是否监听
netstat -lntp |grep 9092

Flebeat部署

  1. 下载
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.16.1-linux-x86_64.tar.gz
2.解压二进制包
tar zxf filebeat-7.16.1-linux-x86_64.tar.gz -C /usr/local/
mv /usr/local/filebeat-7.16.1-linux-x86_64/ /usr/local/filebeat-7.16.1
3.创建 Filebeat 配置文件
#备份模板文件
mv /usr/local/filebeat-7.16.1/filebeat.yml /usr/local/filebeat-7.16.1/filebeat.yml.bak
#创建配置文件
cat > /usr/local/filebeat-7.16.1/filebeat.yml << "EOF"
filebeat.inputs:
- type: log
  tail_files: true
  backoff: "1s"
  paths:
      - /var/log/nginx/access.json.log
  fields:
    type: access
  fields_under_root: true
- type: log
  tail_files: true
  backoff: "1s"
  paths:
      - /var/log/messages
  fields:
    type: messages
  fields_under_root: true
output:
  kafka:
    hosts: ["10.0.5.163:9092"]
    topic: hosts_10-0-5-163
EOF
4.启动Fielbeat
#查看是否已存在进程,将其停止
ps -ef |grep filebeat |grep -v grep |awk '{print $2}' |xargs kill -9

#启动Filebeat
nohup /usr/local/filebeat-7.16.1/filebeat  -e -c /usr/local/filebeat-7.16.1/filebeat.yml >/tmp/filebeat.log 2>&1 &

#查看进程
ps -ef |grep filebeat

#查看是否与ZK建立连接
netstat -ntp |egrep -w '9092|filebeat'

Logstash 配置

1.修改Logstash 配置文件(下面 output 将日志打印到本地,观察日志是否采集到,日志格式是否正确)
cat > /usr/local/logstash-7.16.1/config/logstash.conf << "EOF"
input {
  kafka {
    bootstrap_servers => "10.0.5.163:9092"
    topics => ["hosts_10-0-5-163"]
    group_id => "test"
    codec => "json"
  }
}

filter {
  if [type] == "access" {
    json {
      source => "message"
      remove_field => ["message","@version","path","beat","input","log","offset","prospector","source","tags"]
    }
  }
}

output {
  stdout {
    codec=>rubydebug
  }
}
EOF
2.执行前台启动命令
#查看是否已存在进程,将其停止
ps -ef |grep logstash |grep -v grep |awk '{print $2}' |xargs kill -9

#启动 Logstash
logstash -f /usr/local/logstash-7.16.1/config/logstash.conf

我的nginx 日志是 json 格式,这里输出表示正常

3.查看kafka Group 和队列信息
#进入kafka 安装目录
cd /usr/local/kafka_2.12-3.4.0/bin
#查看所有topic
./kafka-topics.sh  --bootstrap-server 10.0.5.163:9092 --lis
#查看Group
./kafka-consumer-groups.sh  --bootstrap-server 10.0.5.163:9092 --list
#查看队列
./kafka-consumer-groups.sh  --bootstrap-server 10.0.5.163:9092 --group test --describe

4.修改配置文件,将output 将日志写入elasticsearch
cat > /usr/local/logstash-7.16.1/config/logstash.conf << "EOF"
input {
  kafka {
    bootstrap_servers => "10.0.5.163:9092"
    topics => ["hosts_10-0-5-163"]
    group_id => "test"
    codec => "json"
  }
}
filter {
  if [type] == "access" {
    json {
      source => "message"
      remove_field => ["message","@version","path","beat","input","log","offset","prospector","source","tags"]
    }
  }
}

output{
  if [type] == "access" {
    elasticsearch {
      hosts => ["http://127.0.0.1:9200"]
      user => "elastic"
      password => "elk@2023"
      index => "access-%{+YYYY.MM.dd}"
    }
  }
  else if [type] == "messages" {
    elasticsearch {
      hosts => ["http://127.0.0.1:9200"]
      user => "elastic"
      password => "elk@2023"
      index => "messages-%{+YYYY.MM.dd}"
    }
  }
}
EOF

4.后台启动 Logstash
#查看是否已存在进程,将其停止
ps -ef |grep logstash |grep -v grep |awk '{print $2}' |xargs kill -9

#启动 Logstash
nohup logstash -f /usr/local/logstash-7.16.1/config/logstash.conf  >/tmp/logstash.log 2>&1 &

查看服务日志是否正常

查看日志是否有 ERROR 持续输出
tailf /tmp/logstash.log

#查看logstash 端口是否监听
netstat -lntp |grep 9600
丿|一口亅皓桀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Filebeat采集多个日志
我只是个小学生 能力有限 一直抱着学习的态度
07-02 4361
采集多个日志 收集单个Nginx日志 如果有采集多个日志的需求 Filebeat采集多个日志配置 filebeat.inputs: - type: log tail_files: true backoff: "1s" paths: - /usr/local/nginx/logs/access.json.log fields: type: access fie...
FILEBEAT采集多个目录下日志
weixin_48114253的博客
05-18 1674
FILEBEAT采集多个目录下日志 如题,笔者进一家新公司的时候,这家公司要求搭建一套新的企业级elk,之前也没自己搭建过,摸着石头过河,好在最后搭建好并投入使用。 刚开始想法还是比较简单,先搭起来在说,后期慢慢优化慢慢调,笔者用的是elk+filebeat+kafka架构,这方面不是很懂,到最后filebeat采集日志的时候傻眼了,刚登陆测试服务器,发现一个服务器上有几十个需要采集日志,这个要怎么采集elk集群中呢,filebeat修改了无数次,es收集到的索引还是...
filebeat采集多个日志(推送给ES或者logstash)
qq_43164571的博客
03-19 3656
filebeat采集多个日志 在使用ELK日志分析的时候,有时需要一个filebeat采集多个日志,送给ES,或者给logstash做解析。下面举例演示以下filebeat采集messages日志,secure日志,以及nginx日志送给ES或者送给logstash做解析的正确配置方法。 一、filebeat采集日志发送给ES: 1.1、filebeat.yml 配置如下: filebeat.inputs: - type: log tail_files: true scan_frequency:
使用Filebeat 6 收集多个目录的日志并发送到lostash
热门推荐
bugli的博客
03-23 2万+
1.安装filebeat 到目标机器 官方安装文档&lt;-点这里 本测试使用windows环境安装filebeat win: 1. Download the Filebeat Windows zip file from the downloads page. 2. Extract the contents of the zip file into C:\Program Files....
filebeat同时采集多个日志时,logstash和filebeat的文件配置
hjxloveqsx的博客
09-15 2239
filebeat同时采集多个日志时,logstash和filebeat的文件配置
Beats: Filebeat 自定义标签 多日志采集
IChen.的博客
08-31 611
Filebeat一、自定义采集数据标签自定义标签自定义字段终端端显示信息完整的一个 自定义标签、自定义字段的 filebeat采集日志logstash 引用标签,对索引进行输出二、Filebeat 采集多个日志配置 一、自定义采集数据标签 自定义标签 tags: [“nginx-access”] 自定义标签为 nginx-access tags: [“error-access”] 自定义标签为 error-access 自定义字段 fields: from: nginx-access itc
filebeat收集不规则多行日志
工具人的博客
04-06 651
原先pipeline中grok的写法如下,并且已经在filebeat.yml将日志合并为单个事件,也无法在message中使用官方提供的。现环境有多行日志输出内容和格式不确定,合并后使用grok默认正则无法收集,需要自己编写正则。最后将message字段修改成如下内容可以进行正确匹配。匹配到多行日志,个人认为是日志中有大量的。造成,会报错导致丢掉该条日志
filebeat收集多个目录日志配置
weixin_47980221的博客
07-02 1627
因业务需要,我们现有得服务器上一个节点上装了多个服务,前后端都有涉及,因此就需要用 filebeat 将这些日志收集起来生成不一样得索引,配置如下(仅供参考): input: filebeat.inputs: # Each - is an input. Most options can be set at the input level, so # you can use different...
使用filebeat和logstash收集多台服务器上的日志
06-08 3265
由于我们的各个服务在多台服务器上部署,有时候遇到用户反馈的问题,技术人员需要挨个登录上去查看,并且dubbo服务之间链式调用时需要登录查看更多的服务器,增加了解决问题的时间,同时,error日志我们ye'xi'w ...
ELKFileBeat收集多个类型日志配置
yh88356656的专栏
07-28 3090
话不多说了,直接上配置代码!!! 一、FileBeat配置filebeat.inputs: - type: log enabled: true paths: - /opt/mall/logs/*/catalina.log fields: server: 服务器1 filetype: logfile #主要是这里个自定义字段,用来区分的 fields_under_root: true
02-elk创建多个日志索引---filebeat配置文件
renren_100的博客
08-21 1164
log.file.path "/var/log/nginx/access.log" output.elasticsearch: hosts: ["http://10.4.7.11:9200"] indices: - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}" when.contains: message: log.file.path "/var/log/nginx/access.log" -
Docker ELK Filebeat 不同日志采集配置
Touch
07-04 1603
ELK日志分析的时候,有时需要一个filebeat采集多个日志,送给ES,或者给logstash做解析。下面举例演示以下filebeat采集error、warn日志送给ES或者送给logstash做解析的正确配置方法。 2、logstash.conf 配置 3、运行filebeat容器 日志文件 4、测试结果......
filebeat6.2.3收集多个日志多个topic输出
weixin_30535913的博客
07-24 723
下载 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz 解压 tar -zxvf filebeat-6.2.3-linux-x86_64.tar.gz 配置filebeat.yml filebeat.prospectors: - type: lo...
ELK_filebeat日志收集
weixin_55501651的博客
09-07 639
ELK_filebeat日志收集配置
【Elastic (ELK) Stack 实战教程】06、Filebeat 日志收集实践(下)
Stars.Sky 的博客
03-29 1253
Filebeat 日志收集 nginx、Tomcat 实践
ELFK集群部署(Filebeat+ELK) 本地收集nginx日志 远程收集多个日志
Lachewuxian的博客
11-30 651
这个命令将启动logstash并使用file_nginx.conf作为配置文件,–path.data参数指定了logstash的数据目录为/opt/test1。&符号表示在后台运行logstash。这个命令将启动logstash并使用file_nginx.conf作为配置文件,–path.data参数指定了logstash的数据目录为/opt/test2。查看NGINX的日志目录路径格式 给NGINX日志目录授权。编译安装是 /usr/local/nginx/给nginx的日志赋权权限 能够读取日志内容。
ELK学习之Filebeat 采集多个文件
weixin_60092693的博客
05-05 2658
Filebeat 采集多个文件 filebeat.inputs: # 从这里开始定义每个日志的路径、类型、收集方式等信息 - type: log # 指定收集的类型为 log paths: - /usr/local/nginx/logs/access.log # 设置 access.log 的路径 fields:
分布式日志采集elk+kafka)
qq_40322236的博客
03-24 2178
分布式系统的日志,每个服务器节点web服务都会产生各自的日志文件,如果想要整合或者排查日志,就需要到每个节点下逐一查看日志文件这样会比较麻烦。所以需要一个方案将日志采集放到一个位置进行存储和查询。这里就可以使用elk+kafka的方式解决。
filebeat + elk
最新发布
04-12
Filebeat是一个轻量级的日志数据收集器,用于将日志数据从各种来源(如文件、系统日志、网络等)发送到Elasticsearch或Logstash进行集中存储和分析。ELK则是指Elasticsearch、Logstash和Kibana的组合,用于实现日志的收集、存储和可视化分析。 具体来说,Filebeat通过监控指定的日志文件或位置,实时读取日志数据,并将其发送到Elasticsearch或Logstash进行处理。它可以根据配置文件中定义的规则,对日志数据进行解析和转换,以便更好地进行搜索和分析。 ELK中的Elasticsearch是一个分布式搜索和分析引擎,用于存储和索引大量的日志数据。它提供了强大的搜索和聚合功能,可以快速地检索和分析日志数据。 Logstash是一个用于数据收集、转换和传输的开源工具。它可以从各种来源(如Filebeat、Beats、JDBC等)接收数据,并对数据进行过滤、解析和转换,然后将其发送到Elasticsearch进行存储。 Kibana是一个用于可视化和分析日志数据的开源工具。它提供了丰富的图表、仪表盘和搜索功能,可以帮助用户更直观地理解和分析日志数据。 总结起来,Filebeat负责收集日志数据,Logstash负责对数据进行处理和转换,Elasticsearch负责存储和索引数据,Kibana则提供了可视化和分析的界面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值