elk日志收集

最新推荐文章于 2024-08-22 00:15:00 发布
最新推荐文章于 2024-08-22 00:15:00 发布
阅读量198 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobo5264063/article/details/116856851
版权
  • 安装elasticsearch
  1.  上传安装包
      
  2.   解压 
    tar -zxvf elasticsearch-7.9.3-linux-x86_64.tar.gz
tar -zxvf kibana-7.9.3-linux-x86_64.tar.gz
tar -zxvf logstash-7.9.3.tar.gz
tar -zxvf filebeat-7.9.3-linux-x86_64.tar.gz
tar -zxvf metricbeat-7.9.3-linux-x86_64.tar.gz
  3.   创建普通用户并设置参数 
    // 创建分组
groupadd basic
// 创建用户 密码123456
useradd elk -g basic -p 123456
// 授权
chown -R elk:basic  /usr/local/elk
      
    // 使用root用户配置
vim /etc/sysctl.conf
 
##############新增如下配置#####################
vm.max_map_count=655360
##############保存,退出#########################
 
// 执行下面命令
sysctl -p
    vim /etc/security/limits.conf
###########配置如下内容, '*'号也要#########################
* soft nofile 65536
* hard nofile 131072
* soft nproc 2048
* hard nproc 4096
##############保存、退出########################
  4.   配置elasticsearch 
    vim /usr/local/elk/elasticsearch-7.9.3/config/elasticsearch.yml
########################修改配置如下#################

cluster.name: es-cluster
node.name: node-1
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["192.168.2.122", "192.168.2.123","192.168.2.124"]
cluster.initial_master_nodes: ["node-1"]
  5.   配置kibana 
    vim /usr/local/elk/kibana-7.9.3-linux-x86_64/config/kibana.yml
########################编辑内容如下#######################
server.port: 5601
server.host: "0.0.0.0"
## 集群可配置多个es
elasticsearch.hosts: ["http://192.168.2.122:9200""]
i18n.locale: "zh-CN"
kibana.index: ".kibana"
## 日志路径  需要提前创建
logging.dest: /usr/local/elk/kibana-7.9.3-linux-x86_64/logs/kibana.log
  6.   配置logstash
      入门配置 
    cp logstash-sample.conf logstash-es.conf
vim logstash-es.conf
###########################配置内容如下##############################
input {
  file {
    path => "/var/log/messages"
  }
}
filter {

}
output {
   elasticsearch {
     hosts => ["192.168.2.123:9200"]
     index => "mytest-%{+YYYY.MM.dd}"
   }
}
    区分不同环境日志
      ​​ 
    input {
  file {
    path => "/usr/local/elk/test.log"
    add_field => {
      "log_type" => "test"
    }
  }
  file {
    path => "/usr/local/elk/prod.log"
    add_field => {
      "log_type" => "prod"
    }
  }
}
filter {
  if [log_type] in ["test","dev"] {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "test-%{+YYYY.MM}"
      }
    }
  } else if [log_type] == "prod" {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "prod-%{+YYYY.MM.dd}"
      }
    }
  } else {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "unknown-%{+YYYY}"
      }
    }
  }
}
output {
  elasticsearch {
    hosts => "192.168.2.122:9200"
    index => "%{[@metadata][target_index]}"
  }
}

    启动命令  
    // 启动
nohup bin/logstash -f config/logstash-sample.conf &
// 测试数据
echo 12345678911111111111 >> /var/log/messages

     查看kibana:  http://192.168.2.123:5601
                         索引管理-->索引模式-->创建mytest-*

  7.   配置filebeat
     1) 配置filebeat.yml 
    filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/local/elk/test.log
  tags: ["test"]
  fields_under_root: true
  fields:
    project: mytest
    app: mytest

- type: log
  enabled: true
  paths:
    - /usr/local/elk/prod.log
  tags: ["prod"]
  fields_under_root: true
  fields:
    project: myprod
    app: myprod


output.logstash:
  hosts: ["192.168.2.122:5044"]

     2) 配置logstash-beat.conf 
    input {
  beats {
    port => 5044
  }
}
filter {
  if [app] == "mytest" {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "mytest-%{+YYYY.MM}"
      }
    }
  } else if [app] == "myprod" {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "myprod-%{+YYYY.MM.dd}"
      }
    }
  } else {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "unknown-%{+YYYY}"
      }
    }
  }
}
output {
  elasticsearch {
    hosts => "192.168.2.122:9200"
    index => "%{[@metadata][target_index]}"
  }
}

     3) 启动logstash和filebeats  
    // 启动filebeat
./filebeat &
// 查看filebeat日志
journalctl -u filebeat
// 启动logstash
bin/logstash -f config/logstash-beat.conf
    4) 测试 
    echo aaaa >> test.log
echo bbbb >> prod.log

  8.   采集nginx日志
     1)配置filebeat.yml
     
    %{IPV4:remote_addr} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:time_local}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:http_protocol}\" %{NUMBER:http_status} %{NUMBER:body_bytes_sent} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\"

     2)  配置logstash-beat.conf

       
       
    grok {
    match => {
      "message" => "%{IPV4:remote_addr} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:time_local}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:http_protocol}\" %{NUMBER:http_status} %{NUMBER:body_bytes_sent} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\""
    }
  }

    3) 启动
        
    // 启动filebeat
./filebeat &
// 查看filebeat日志
journalctl -u filebeat
// 启动logstash
bin/logstash -f config/logstash-beat.conf

     
  9.  采集java日志
      
    filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /home/aaa/logs/agent/agent.log
  tags: ["java"]
  fields_under_root: true
  fields:
    project: java
    app_server: 127.0.0.1
  multiline.pattern: '^\s'
  multiline.negate: false
  multiline.match: after
 

- type: log
  enabled: true
  paths:
    - /home/aaa/server/nginx/logs/access.log
  tags: ["nginx"]
  fields_under_root: true
  fields:
    project: nginx
    app_server: 127.0.0.1

 
output.logstash:
  hosts: ["127.0.0.1:5044"]

     
      
xiaobo5264063
关注
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1196
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
ELK日志收集
Stephencurr的博客
01-09 5610
目录前言一、ELK 日志分析系统1. ELK 简介2. 组件说明2.1 ElasticSearch2.2 Logstash2.3 Kibana2.4 Filebeat3. 完整日志系统的基本特征4. ELK的工作原理二、部署 ELK 日志分析系统1. 服务器配置2. 关闭防火墙3. ElasticSearch集群部署(node1、node2)3.1 环境准备3.2 部署 ElasticSearch 软件3.2.1 安装 elasticsearch-rpm 包3.2.2 加载系统服务3.2.3 修改 elas
部署 Elastic
weixin_42555971的博客
09-29 533
部署
搭建ELK日志采集与分析系统
最新发布
Linux运维老纪的博客
08-22 1198
ELK是Elasticsearch(ES) , Logstash, Kibana的结合,是一个开源日志收集软件。 Elasticsearch:开源分布式搜索引擎,提供搜集、分析、存储数据功能。 Logstash:日志搜集、分析、过滤,支持大量数据获取。其自带输入(input)、过滤语法(grok)、输出(output)三部分。其输入有两种方式:①由各beat采集器输入,经过滤后输出到ES ②本机数据输入,经过滤后输出到ES。Kibana:提供日志分析友好的 Web 界面。本章详细介绍如何搭建elk日志分析系
企业级日志分析系统 ELK 详解
shenyuanhaojie的博客
11-19 2167
文章目录前言一、ELK 日志分析系统1. ELK 简介2. 组件说明2.1 ElasticSearch2.2 Logstash2.3 Kibana2.4 Filebeat3. 完整日志系统的基本特征4. ELK的工作原理二、部署 ELK 日志分析系统1. 服务器配置2. 关闭防火墙3. ElasticSearch集群部署(node1、node2)3.1 环境准备3.2 部署 ElasticSearch 软件3.2.1 安装 elasticsearch-rpm 包3.2.2 加载系统服务3.2.3 修改 el
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册 ELK(日志收集系统)是三个开源软件的缩写,分别表示Elasticsearch、Logstash、Kibana,它们都是开源软件。下面是对ELK日志收集系统操作手册的详细介绍: 一、ELK简介 Elasticsearch是开源...
ELK日志收集系统.docx
01-16
总结来说,ELK日志收集系统是一个强大的日志管理和分析工具,它提供了从收集、传输、存储到分析的全套解决方案,帮助企业或组织有效地管理和理解其系统的日志数据。通过优化配置和合理选择架构,可以应对大规模数据...
elk日志收集系统
2301_78534660的博客
08-29 1271
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
ELK日志收集(Logstash)
manongwangziqi的博客
05-03 2221
ELK常用案例
ELK日志收集系统
2301_78534682的博客
09-03 1219
ELK(Elasticsearch、Logstash、Kibana)是一套用于实时日志数据处理和可视化的开源工具组合。本文摘要将介绍ELK的主要功能和优势。
ELK
m493096871的博客
03-05 309
一.elk是什么? ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据...
Linux——ELK日志收集(Apache)
weixin_45191791的博客
08-03 670
简介(Elasticsearch) ​ Elasticsearch是开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful 风格接口,多数据源,自动搜索负载等! 官方网站: https://www.elastic.co 官方参考文档:https://www.elastic.co/guide/en/elasticsearch/reference/6.6/setup-configuration-memory.html 下载地址: https://mirrors
使用 ELK 收集日志
码农UP2U
09-15 4238
在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。创建完成后,返回 Kibana 的首页,选择 Discover 选项,切换到我们新建的 logstash-* 选项下,然后选择时间段,就可以看到相应的日志信息了。在上图中应用日志框架直接将日志发送给 Logstash,然后 Logstash 将接收的日志写入 ElasticSearch 中,开发人员通过可视化的 Kibana 可以进行日志的查询和分析。
ELK---日志收集系统
dingshun129的博客
01-03 3416
ELK日志收集系统 1.要收集哪些日志? ①系统日志–为监控做准备 ②服务日志–数据库–MySQL–慢查询日志、错误日志、普通日志 ③业务日志–log4j(必须要收集的是业务日志) 注:log4j—Java类的数据业务日志 (1)要有针对性的去收集 (2)调整日志级别 2.日志收集后,如何展示?(可视化) ①kibana ②grafana 3.日志收集展示出来后,怎么使用? ①用于给大数据进行分析,作为立体化展示的数据源 ②给研发使用(排障、解决bug等等) ③统计数据流量、作为分析报告的数据源 ELK
kubernetes中使用ELK进行日志收集
weixin_39941298的博客
04-29 2023
我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的“/var/log”目录下。
linux————ELK日志收集系统集群)
a872182042的博客
08-30 2384
日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。如果管理的服务器或者程序比较少的情况我们还可以逐一登录到各个服务器去查看、分析。但如果服务器或者程序的数量比较多了之后这种方法就显得力不从心。基于此,一些集中式的日志系统也就应用而生。目前比较有名成熟的有,Splunk(商业)、FaceBook 的Scribe、Apache的Chukwa Cloudera的Fluentd、还有ELK等等。
"ELK日志收集系统操作手册:详解ELK组件使用方式,实现高性能日志抽取和分析
ELK日志收集系统操作手册详细讲解了ELK组件的使用方式。ELK是三个开源软件的缩写,分别代表Elasticsearch、Logstash和Kibana,它们都是开源软件。Elasticsearch是一个开源的分布式搜索引擎,提供搜集、分析和存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值