ELK日志实时分析

已于 2022-11-15 14:43:04 修改
阅读量1k 收藏 1
点赞数 2
分类专栏: 大数据学习 文章标签: elk kafka 大数据
于 2022-11-15 14:41:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51309151/article/details/127864688
版权

项目实训报告:ELK日志实时分析

任务目标

  • 使用filebeat采集日志数据,通过kafka将数据传输给logstash进行过滤,最后输出到Elasticsearch绘制数据图表。

  • 数据说明
    在这里插入图片描述

实施步骤

  • 将数据上传到家目录(/home/hadoop)(系统中已经存在,不用上传)
  • 删除以前filebeat中的数据文件:
cd /usr/local/filebeat/data
rm -r regsitry

在这里插入图片描述

  • 编写filebat配置文件,采集家目录下名为access_2018_05_01.log的数据文件
cd /usr/local/filebeat

vim filebeat.yml
# 修改以下配置
filebeat.inputs:
 - type: log
   enabled: true
   paths:
     - /home/hadoop/access_2018_05_01.log
output.kafka:
   hosts: ["localhost:9092"]
   topic: "applog"
processors:
- drop_fields:
   fields: ["beat", "input", "source", "offset"]

在这里插入图片描述

  • 启动kafka进程,并启动filebeat
cd /usr/local/kafka
./bin/zookeeper-server-start.sh -daemon ./config/zookeeper.properties

在这里插入图片描述

  • 修改kafka配置文件
cd /usr/local/kafka/config/
vim server.properties
# 按照如下内容修改配置文件
listeners=PLAINTEXT://localhost:9092

在这里插入图片描述

在这里插入图片描述

  • 启动kafka
cd /usr/local/kafka
./bin/kafka-server-start.sh -daemon ./config/server.properties
jps

在这里插入图片描述

  • 启动filebeat
cd /usr/local/filebeat/
./filebeat -e -c filebeat.yml 
 #不要关闭此窗口,方便调试

在这里插入图片描述

  • 配置Logstash接收kafka数据,并匹配日志文件中的详细指标,使用geoip取出IP地址的地理位置信息,并将结果输出到Elasticsearch。
cd /usr/local/logstash/

vim logstash-plain-map.conf   
#配置文件内容如下


input{  
 kafka{    
   bootstrap_servers=> "localhost:9092"    
   topics => ["applog"]    
   group_id => "logstash-file"    
   codec => "json"
}
}
filter{  
  grok{         
 			match => {               
"message" => "%{IPORHOST:clientip} %{HTTPDUSER:ident} %{HTTPDUSER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})\" %{NUMBER:response}\ %{NUMBER:bytes}"         
		}
}             
	geoip {     
	source => "clientip"     
	database => "/home/hadoop/GeoLite2-City.mmdb"
}
}
output{     
	elasticsearch {      
	 hosts => ["localhost:9200"]      
	 index => "logstash-logs-2022"    
}            
		stdout{            
			codec => rubydebug       
		 }   
 }
  • 启动Elasticsearch
cd /usr/local/elasticsearch-6.1.0/
./bin/elasticsearch   
#此窗口不要关闭,方便调试
  • 新建一个终端窗口,运行Logstash分析软件
cd /usr/local/logstash
logstash -f ./logstash-plain-map.conf
  • 启动Kibana,在任意终端输入
kibana
  • 然后访问[虚拟机IP地址]:5601, 点击Management,然后选择“Create index pattern", 在”Index pattern" 栏中输入“logstash-logs-2020",点击"Next step"
  • 设置时间过滤器字段名称,选择@timestamp 点击 “Create index pattern” .
    在这里插入图片描述

在这里插入图片描述

  • 绘制各时间段访问流量图。点击“Visualize”,选择加号,创建“Line”图,设置X轴的“Aggregation”为“terms”,“Field”为“timestamp.keyword”,“Size”为10,

在这里插入图片描述
在这里插入图片描述

  • 如果不能显示结果,请点击右上角的时间过滤器,选择this week
    在这里插入图片描述

  • 保存各时间段访问流量图。点击“Save”,将名称设置为“各时间段访问流量”
    在这里插入图片描述

  • 创建访问流量前10名图新建Vertical Bar 图,

X轴的 Aggregation设为 Terms,
filed设为geoip.country_code3.keyword
size 10

  • 制网站总访问流量图。创建Metric图,并保存。
  • 创建访问前10名访问量占比图新建Pie图

X轴Aggregation 为TermsField:geoip.country_code3.keyword
size:10

  • 创建世界访问分布图新建 Coordinate Map

X轴 Aggregation:geohash
Field: geoip.location

  • 创建仪表盘。

点击 Dashboard, 选择 “ Create a dashboard" 点击Add 单击显示的所有图表名称。

实训小结

  • 日志实时分析是 ELK 组件的核心业务场景之一,而核心中的核心是 Logstash 中间处理 filter 环节。
  • 掌握了 filter 环节,就掌握了 ELK 实时日志分析的精髓。
  • logstash-plain-map.conffilebeat.yml 两个文件容易出错,注意缩进
  • 有些窗口不可关闭!!!
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
書盡
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ELK日志分析系统
04-30
进行日志处理分析,一般需要经过一下几步: (1)将日志进行集中化管理 (2)将日志格式化(Logstash)并输出到Elasticsearch (3)对格式化后的数据进行索引和存储(Elasticsearch) (4)前端数据的展示(Kibana)
ELK Stack日志实时收集分析
mojolang
01-16 1229
ELK stack ELK stack是又Elasticsearch,lostash,kibana 三个开源软件的组合而成,形成一款强大的实时日志收集分析展示系统。 Logstash:日志收集工具,可以从本地磁盘,网络服务(自己监听端口,接受用户日志),消息队列中收集各种各样的日志,然后进行过滤分析,并将日志输入到Elasticsearch中。 Elasticsearch:日志分布式
ELK(ElasticSearch, Logstash, Kibana)实时日志分析平台部署
ejinxian的专栏
11-01 663
开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。官方网站:https://www.elastic.co/products l  Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 l 
手把手教你如何快速搭建 ELK 实时日志分析平台
代码界的扛把子
05-22 192
进入首页后会提示我们可以添加一些测试数据,ES 在 Kibana 开箱即用的版本中,已经为我们准备了三种样例数据,电商网站的订单,航空公司的飞行记录以及 WEB 网站的日志,我们可以点击 Add data,把他们添加进来,添加完成后,我们可以打开 Dashboards 界面,就可以看到系统已经为我们创建了数据的 Dashboard。到此为止,我们就下载并安装完成 Kibana,并对 Kibana 主要功能进行简单介绍,还介绍了 Dev Tools,大家可以自己在本地进行实践操作下。
ELK读取网络设备日志的方式
yuezhilangniao的博客
02-21 2322
原文:https://www.opscaff.com/2018/05/08/elk-%E4%BA%A4%E6%8D%A2%E6%9C%BA%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90/ 步骤:1 搭建ELK filebeat收集日志,logstash做正则解析,标准数据存入es,符合规则的调用python脚本告警。 2 交换机配置发送日志 给目标ip:端口,ELK那边做好监听收集即可。 例子, 思科交换机: logging host 10.100.18.18 tr..
ELK实时日志分析平台 --(1)
weixin_47252600的博客
01-14 265
ELK实时日志分析平台介绍
ELK详解(十一)——Logstash收集日志不显示问题解决
永远是少年
04-06 4878
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash能够收集日志,过程不报错,但是在收集日志后没有在Elasticsearch上显示问题的解决。 一、错误描述 二、错误原因 三、解决方案
Kafka实现应用日志实时上报统计分析
长沙老码农
03-04 2782
目录 1、Flume插件 1.1 简介 1.2 安装 1.3 配置 1.4 测试 2、Flume集成Kafka 2.1 配置kafka信息 2.2 启动zookeeper,kafka,flume 2.3 测试 3、Flume生产日志收集 3.1 日志收集配置 3.2 测试 4、Fink安装和简单实用 4.1 概述 4.2 安装配置 4.3 启动测试 4.4 体验Flink 5、Flink集成Kafka 5.1 引入pom依赖 5.2 创建一个Flink任务执行类.
使用flink实现《实时监控和日志分析》的案例 java版
qq_37480069的博客
06-06 1325
本文介绍了使用Java和Flink实现实时监控和日志分析的案例。该案例可以帮助我们提高系统的可靠性和性能。
ELK可视化系统日志以及日志显示
qq_45268814的博客
10-26 2263
实现远程监控指定设备的nginx日志
Elastic Stack 概述
weixin_45880055的博客
04-24 2835
文章目录一、Elastic Stack简介三、elasticsearch四、logstash二、Beats五、kibana六、常见架构 一、Elastic Stack简介 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用
ELK日志分析系统搭建
05-01
ELK(Elasticsearch、Logstash和Kibana) 日志分析 系统搭建
快速搭建ELK日志分析系统
01-27
Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可扩展的分布式系统。它构建于ApacheLucene搜索引擎库之上。Logstash是一个用来搜集...
ELK大数据日志分析平台全套兼容工具包
11-13
ELK实时日志分析平台,windows环境部署所需要工具(全套兼容),包含:elasticsearch-5.6.4,elasticsearch-analysis-ik-5.6.4,elasticsearch-head,kibana-5.6.4,logstash-5.6.4.用于智能搜索,系统日志,Java日志,报错日志,...
采用ELK搭建日志分析系统.docx
10-13
采用ELK搭建日志分析系统
kubernetes中使用ELK进行日志收集
weixin_39941298的博客
04-29 736
我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的“/var/log”目录下。
ElasticSearch教程入门到精通——第一部分(基于ELK技术栈elasticsearch 8.x新特性)
最新发布
这里有一只小马吖
04-29 1266
ElasticSearch教程入门到精通——第一部分(基于ELK技术栈elasticsearch 8.x新特性)
01.Kafka简介与基本概念介绍
支支吾吾说不上来的博客
04-28 309
Kafka 是最初由 Linkedin公司开发,是一个分布式、支持分区(partition)的、多副本(replica)的,基于 Zookeeper 协调的分布式消息系统,它的最大的特性就是可以实时的处理大量数据以满足各种需求场景:比如基于 hadoop 的批处理系统、低延迟的实时系统、Storm/Spark流式处理引擎,web/nginx日志、访问日志,消息服务等等,Kafka 使用 scala 语言编写,Linkedin 于2010年贡献给了 Apache 基金会并成为顶级开源项目。
Kafka 3.x.x 入门到精通(08)——对标尚硅谷Kafka教程
这里有一只小马吖
04-27 1215
Kafka是一个由Scala和Java语言开发的,经典高吞吐量的分布式消息发布和订阅系统,也是大数据技术领域中用作数据交换的核心组件之一。以高吞吐,低延迟,高伸缩,高可靠性,高并发,且社区活跃度高等特性,从而备受广大技术组织的喜爱。
ELK日志分析系统的工作原理
02-28
ELK日志分析系统是由三个主要组件组成的:Elasticsearch、Logstash 和 Kibana。 1. Elasticsearch 是一个开源搜索引擎,它能够存储和查询大量的日志数据。 2. Logstash 是一个数据收集和处理工具,它能够从多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

書盡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值