filebeat + redis +ELK 日志集成笔记

最新推荐文章于 2022-04-19 10:56:24 发布
最新推荐文章于 2022-04-19 10:56:24 发布
阅读量634 收藏 1
点赞数
分类专栏: 后台 java后台 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuxuyang_7788/article/details/84331015
版权
java后台 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
后台
1 篇文章 0 订阅
订阅专栏
日志
1 篇文章 0 订阅
订阅专栏

filebeat + redis +ELK

好久没有写博客了,看了一下上一篇的博客还是2017年的,写的东西都是基础的教学,感觉网上一搜一大把,而且写的比我好的千千万。所以打算以后写不写教学类的东西(写一篇好的教学类的博客真的很难)
最近稍微的了空,而且项目上有程序对日志查询这块有需求,就搭建了一套ELK日志系统。
选型,介绍什么的就不说了。这篇文章是我自己的笔记,主要是记录一些命令和一些问题的解决方法,而不是搭建教程,可以当作一个问题排查的地方。

docker 安装 elk

  • 创建网络
docker network create --subnet=172.25.0.0/16 my-docker-net
  • 安装es
docker run -d -p 9200:9200 --name=es --network=my-docker-net --ip=172.25.0.2 elasticsearch:5.6.13
  • 修改
    /usr/share/elasticsearch/config/elasticsearch.yml 解决 es-head 容器连不上es
echo -e 'http.cors.enabled: true\nhttp.cors.allow-origin: "*"' >> elasticsearch.yml
  • 安装 es-head
docker run -d -p 9100:9100 --name=es --network=my-docker-net --ip=172.25.0.3 mobz/elasticsearch-head:5
  • 安装redis
docker run -d -p 6379:6379 --name=redis --network=my-docker-net --ip=172.25.0.4 redis:latest
  • 安装kibana
docker run -d -p 5601:5601 --name=kibana --network=my-docker-net --ip=172.25.0.5 kibana:6.5.0

修改配置文件 config/kibana.yml

server.host: "0.0.0.0"
#es 地址
elasticsearch.url: http://172.25.0.2:9200

logstash 和 filebeat 是直接运行在物理机上

grok 和filebeat 配置问题

  1. filebeat 配置多行日志合并,如java异常堆栈信息,在filebeat.yml上配置
    官方配置文档
filebeat.inputs:
- type: log
  # tags 可以和 logstash 配置匹配上
  tags: ["debug"]
  multiline:
   # 配置分割前缀
    pattern: '^\|\-'
    negate: true
    match: after
    timeout: 10s
 # 下面这个不需要复制
  fields:                               
    type: test1
    host: 161
  # 忽略多长时间内变化的文件
  ignore_older: 1h

redis配置

output.redis:
   hosts: ["127.0.0.1"]
   port: 6379
   key: "java-log"
   db: 1
  1. grok filter 配置 这块是难点
    校验正则的地址 (需要翻墙)
    一些别人写好的正则
  2. logstash配置文件
input {
    tcp {
    ##host:port就是上面appender中的 destination,这里其实把logstash作为服务,开启9300端口接收logback发出的消息
        host => "127.0.0.1"
        port => 9300
        mode => "server"
        tags => ["tags"]
        codec => json_lines
    }
    
    redis {
        data_type => "list"
        host => "127.0.0.1"
        db => "1"
        port => "6379"
        key => "java-log"
        #password => "123456"
    }

}
filter {
  grok {
    # 正则文件存放目录 文件名叫什么无所谓
    patterns_dir => "./patterns"
    match => { "message" => "%{JAVA_NORMAL_LOG}" }
    # 移除某些字段
    remove_field => "message"
  }
  mutate {
    rename => { "[host][name]" => "host" }
  }
}
output {
    # 控制台输出debug
    stdout { codec => rubydebug }
    #输出到es
    if "info" in [tags] {
	    elasticsearch {
          hosts => "127.0.0.1:9200"
          index => "java_info" 
        }
    } else if "debug" in [tags] {
	    elasticsearch {
          hosts => "127.0.0.1:9200"
          index => "java_debug" 
        }
    } else {
       elasticsearch {
          hosts => "127.0.0.1:9200"
          index => "java_normal" 
        }
    }

}
  1. 匹配日志匹配 logback 配置
|- %-12(%d{yyyy-MM-dd HH:mm:ss}) %-5level [%thread] %c : %L %msg%n

正则表达式 grok 支持将正则定义在一个目录中,文件名什么无所谓。将如下正则表达式贴到对应文件中

MYSELFTIMESTAMP 20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})
JAVACLASS (?:[a-zA-Z$_][a-zA-Z$_0-9]*\.)*[a-zA-Z$_][a-zA-Z$_0-9]*
MATCH_ANY [\s\S]*
JAVA_LOG \|\- %{MYSELFTIMESTAMP:timestamp}(\s*)%{LOGLEVEL:level}(\s*)\[%{MATCH_ANY:thread}\](\s*)%{JAVACLASS:class}([\s\S]*)\: %{NUMBER:line} %{MATCH_ANY:logmessage}

tips

  • 多tag配置 将不同类型的日志存放到不同的地方
    设置tag(tag的作用是可以根据判断条件给不同类型的日志分配不同的索引,或者推送到不同的地方)
    logstash
filter { 
    if "json" in [tags] { 
        grok { match => ["message", %{COMBINEDAPACHELOG}] }
    } 
    
} 
output { 
    if "json" in [tags] { 
        nagios_nsca { nagios_status => "1" } 
    } else { 
        elasticsearch { } 
    } 
}

filebeat

filebeat.inputs:
- type: log
  . . .
  tags: ["json"]

elasticsearch-head 基本操作

  • 删除数据
POST {index}/_delete_by_query
{
 "query": { 
    "match": { "message": "some message" } 
 }
}
  • 查询数据
GET {index}/_search
{
 "query": { 
    "match": { "message": "some message" } 
 }
}

命令大全

  • logstash 启动 --config.reload.automatic 动态刷新配置 可选参数
./lagstash -f configfile.conf --config.reload.automatic
  • filebeat 启动
./filebeat -e -c filebeat.yml
wuxuyang_7788
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第四章:项目:ELK+Filebeat+Redis部署海量日志分析平台1
08-08
在这个项目中,我们将构建一个基于ELK (Elasticsearch, Logstash, Kibana)的海量日志分析平台,并结合FilebeatRedis来处理和存储大量服务器日志。以下是各个组件的功能和部署步骤的详细说明: 1. **Filebeat**: ...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
FileBeat+Redis+ELK构建企业级日志分析平台
Richardlygo的博客
11-25 341
需求背景: 业务发展越来越庞大,服务器越来越多 各种访问日志、应用日志、错误日志量越来越多,导致运维人员无法很好的去管理日志 开发人员排查问题,需要运维到服务器上查日志,不方便 运营人员需要一些数据,需要我们运维到服务器上分析日志 ELK环境部署 之前做的ELK的环境,只用了logstash作为收集日志的agent,而logstash消耗系统资源很大,在生产环境下将logstash作为a...
ELK详解(十七)——filebeat输出到Redis和Elasticsearch实战
永远是少年
04-08 3586
今天继续给大家介绍Linux运维相关知识,本文主要内容是使用filebeat日志输出到Redis和Elasticsearch的实战配置。 一、filebeat输出到Redis (一)FIlebeat配置 (二)效果检验 二、Filebeat输出到Elasticsearch (一)FIlebeat配置 (二)效果检验
Filebeat收集日志数据传输到Redis,通过Logstash来根据日志字段创建不同的ES索引
非著名运维的博客
04-19 6022
Filebeat收集日志数据传输到Redis,通过Logstash来根据日志字段创建不同的ES索引
关于elkfilebeat定义好日志输出,但是redis里面却没有输出内容的问题
weixin_33755557的博客
01-15 674
这两天在搞elk的时候,filebeat中指定输出日志至Broker(此处Broker采用redis作为缓存),但是redis中却没有内容,所以就开始排查来 filebeat采用RPM安装的方式来的。 1、首先是检查filebeat的配置文件是否有问题: 注意:这个配置文件的这个红色方框中的内容是我自己定义的,是在网上搜的一个例子来编写的。不过事实上我们可以在/etc/filebeat这...
Springboot+redis+mybatisplus实例
03-07
Redis的数据持久化机制包括RDB(快照)和AOF(追加日志),确保了数据在断电后的安全。 **MyBatis-Plus** MyBatis-Plus是MyBatis的扩展工具,它在MyBatis的基础上做了增强,简化了大量 CRUD 操作。MyBatis-Plus提供...
ELK日志收集系统.docx
01-16
ELK(Elasticsearch, Logstash, Kibana)日志收集系统是一种广泛使用的日志管理和分析解决方案。它由三个核心组件组成,分别是Elasticsearch(一个强大的分布式搜索引擎),Logstash(一个数据处理管道),以及...
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供大家学习。 主要实现SSO、后台RBAC角色认证管理。 下载后需要自行修改配置,项目包内...
详解利用ELK搭建Docker容器化应用日志中心
09-30
主要介绍了详解利用ELK搭建Docker容器化应用日志中心,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ELK+Redis 收集tomcat日志文件
09-07
centos6.7 成功搭建并运行elk+redis 按照文档来基本都能成功。
基于ELK自动化收集Docker容器日志的分析系统
01-27
针对Docker容器集群中日志的收集和集中处理的问题。本文采用Docker Swarm和Etcd实现容器的管理、服务发现以及调度,并为分布式系统提供支撑。使用主流的开源日志收集系统ELK,并结合分布式消息队列redis部署实时消息自动化系统,能够快速、实时地收集应用日志,提高运维人员的工作效率。详细介绍了Docker、ELK、Docker Swarm和Etcd的功能及原理,最后通过使用容器编排工具docker-compose,一键式构建基于Docker容器的ELK日志收集系统的实验环境,证明了本系统收集Docker容器日志的实时性、稳定性和高可用性。
filebeat+redis+elk
wltsysterm的博客
02-14 2067
组合形式:redis里面的日志信息以队列(list)的形式存储,那么每次redis里面存储多少,有人消费就会减少多少filebeat采集(log-->filebeat-->redis-->logstash-->es)## 采用stdin进行测试- input_type: stdin#-------------- Redis output --------------outp...
filebeat 多行日志的处理
lai0yuan的博客
06-19 7089
vim /usr/local/filebeat/filebeat.yml multiline: pattern: '^[0-2][0-9]:[0-5][0-9]:[0-5][0-9]' negate: true match: after 上面配置的意思是:不以时间格式开头的行都合并到上一行的末尾(正则写的不好,忽略忽略) pattern:正则表达式 negate...
ELK+redis+filebeat搭建
运维小菜鸡的学习笔记
04-04 4406
ELK+redis+filebeat搭建 ELK+redis+filebeat搭建 环境准备 软件包 修改内核配置 部署ELK平台 部署redis 部署ELK 配置logstash 配置elasticsearch 安装支持filebeat modules的插件 写入免费license 补充内容:试用x-pack完整功能的配置 部署filebeat采集日志 调用modules做简单日志...
ELK+Filebeat+redis整合
qq_29860591的博客
12-03 687
前面的博客,有具体的ELK安装配置步骤,此处在其基础上修改 修改配置文件并启动 [root@topcheer filebeat-6.2.3-linux-x86_64]# vim filebeat.yml [root@topcheer filebeat-6.2.3-linux-x86_64]# ll 总用量 50772 drwxr-x---. 2 root root 39 ...
ELK系列(八)、使用Filebeat+Redis+Logstash收集日志数据
王义凯 的博客
05-25 4312
前面提到过,logstash占资源很大,filebeat更加轻量,一般都是组合使用,难免会有logstash宕掉的时候,这时候filebeat再往logstash里写数据就写不了了,这期间的日志信息可能就无法采集到了,因此一般都会采用redis或kafka作为一个消息缓冲层,本篇就介绍如何使用Redis作为数据缓冲层,将filebeat的数据落地到Redis中然后由Logstash消费并写入至ES。 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.
FilebeatRedisELK6.x集中式日志解决方案
Ghost_02的博客
01-22 6049
简介            ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。而redis作为一款性能优良的消息队列。更是适合用在此场景中。          下面是针对每个技术我的博客详解。      
部署ELK+Filebeat+Redis日志分析平台:Redis缓存与海量日志处理
本章节主要介绍了如何部署一个基于ELK(Elasticsearch、Logstash、Kibana)架构加上FilebeatRedis日志分析平台,用于处理海量日志。这个项目的关键组件包括: 1. **Filebeat**:作为新一代的轻量级日志收集器,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值