使用Logstash + Elasticsearch作为大数据索引、分析工具

最新推荐文章于 2024-04-26 16:29:59 发布
最新推荐文章于 2024-04-26 16:29:59 发布
阅读量560 收藏
点赞数
分类专栏: ElasticSearch

logstash(1.4.0)是一个不错的日志监控与分析工具,数据通过logstash使用后端的ElasticSearch(1.1.1)集群完成数据索引,以供后续的查询、分析使用。


logstash提供了一个geoip的filter,如果发送的事件数据中有IP地址之类的数据,就可以通过这个过滤器将对应的国家、城市等信息添加到数据中,为以后的上卷或下钻操作提供数据基础。我们的应用场景是这样的:


Python Producer => Redis 消息队列(logstash input,默认支持)=> Filter(geoip,默认支持)=> ElasticSearch集群 => Kibana3


1. 搭建ES集群

其中,ES集群的搭建是非常简单的,装好JDK1.7之后(并设置好JAVA_HOME, PATH等环境变量),只需要下载官方软件包(elasticsearch-1.1.1.tar.gz)解压即可启动,具体启动命令:

[plain]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. bin/elasticsearch -d  

在默认配置下,在局域网中启动多个这样的实例,就可以自动组建一个ES集群了,这个集群是去中心化的,非常简单。


2. 安装Kibana3

这实际上就是ES集群的一个查询引擎,也可以说是一层皮,其默认的配置(安装路径/config.js )中,只需要关心: elasticsearch: "http://"+window.location.hostname+":9200", 即可,不过如果你是在ES集群中的一个节点上部署的kibana,那么默认的配置就可以完美工作。Kibana3实际上就是纯粹的Javascript和CSS代码,只需要在Nginx设置一下对应的虚拟主机,使之能够访通过web访问即可,以下是我的Nginx配置:

[plain]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. #  
  2. # The default server  
  3. #  
  4. server {  
  5.     listen       8080 default_server;  
  6.     server_name  _;  
  7.   
  8.     #charset koi8-r;  
  9.   
  10.     location / {  
  11.         root   /opt/kibana;  
  12.         index  index.html index.htm;  
  13.     }  
  14.   
  15.     error_page  404              /404.html;  
  16.     location = /404.html {  
  17.         root   /usr/share/nginx/html;  
  18.     }  
  19.   
  20.     # redirect server error pages to the static page /50x.html  
  21.     #  
  22.     error_page   500 502 503 504  /50x.html;  
  23.     location = /50x.html {  
  24.         root   /usr/share/nginx/html;  
  25.     }  
  26.   
  27. }  

这样,在重新加载Nginx配置之后,就可以通过访问服务器的8080端口来访问到kibana的页面了。


3。 配置logstash

logstash的配置主要分成以下几个部分: input, codec, filter, output(具体请参见:http://logstash.net/docs/1.4.1/)。

顾名思义,input就是logstash的输入端,这个端口可以是一个队列,一个文件,标准输出也可以;codec就是数据的编码格式,logstash自己实现了多种编码格式,不过我们比较常用的还是JSON格式;filter就是数据过滤器,在这里我们可以过滤掉我们不想要的数据,或者为数据添加某些字段,比如我们这里要geoip;output一般是到Elasticsearch,不过logstash也提供了多种输出。


在我们的应用场景下,我们使用如下的配置启动logstash即可:

[plain]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. input {  
  2.   redis {  
  3.     host => "a00"  
  4.     port => "6379"  
  5.     key => "events"  
  6.     data_type => "list"  
  7.     codec => "json"  
  8.     type => "logstash-redis-demo"  
  9.     tags => ["logstashdemo"]  
  10.   }  
  11. }  
  12.   
  13. filter {  
  14.   geoip {  
  15.     source => "[extra][ip]"  
  16.     add_tag => [ "geoip" ]  
  17.   }  
  18. }  
  19.   
  20.   
  21. output {  
  22.   elasticsearch {  
  23.     host => "a01"  
  24.     flush_size => 10240  
  25.   }  
  26. }  

我们从一个redis队列(a00:6379)中获取数据,通过geoip过滤器,从ip信息得到对应的地理位置信息之后,最后将数据导入到elasticsearch集群中,对数据做索引。其中需要注意的是,对于嵌套字段的引用方式是:[parent][child]的方式引用。


最后来张效果图:

xujingzhong0077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(四)Logstash收集、解析日志方法
Spider_xiaoma的博客
11-22 1975
官网地址:https://www.elastic.co/guide/en/logstash-versioned-plugins/current/index.html Logstash的基础架构类型为pipeline流水线,如下图所示: INPUT:数据采集(常用插件:stdin、file、kafka、beat.http) FILTER:数据解析/转换(常用插件:Grok正则捕获、Date时间处理、Json编解码、Mutate数据修改等) OUTPUT:数据输出(常用插件:Elasticsearch) C.
ELK中Logstash的配置和用法
浮尘笔记
08-22 2145
Logstash的配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
Elasticsearch+Logstash+Kibana日志采集服务搭建并简单整合应用
最新发布
zhanglei500038的博客
04-26 420
ELK是Elasticsearch+Logstash+Kibana的简称Elasticsearch 是一个分布式的搜索和分析引擎,可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在是使用最广的开源搜索引擎之一。Logstash 简单来说就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端,与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供了很多功能强大的滤网以满足你的各种应用场景。
logstash配置不同类型日志写到不同索引
qq_41214487的博客
09-02 5082
前言 日志统一规范化方便开发人员查看日志和排查问题,在进行容器化部署时,例如k8s内的日志查询,通常是用于运维层面进行查看日志的,而开发人员需要一套属于自己的日志工具。 方案一:普罗米修斯那套,包括洛基(日志收集),Grafana可视化。比较轻量级而且与k8s兼容友好,在此不介绍,自行百度 方案二:有钱上收费,类似阿里的sls等 方案三:elk,这里介绍elk 一、项目开发日志规范 首先保证以下几点: 1、日志格式json,方便格式化 2、运维层面日志清洗阶段 3、logstash基于jv
Logstash:为 Logstash 日志启动索引生命周期管理
Elastic 中国社区官方博客
12-07 6649
在 Elastic Stack 中,Logstash 作为一种 ETL 的摄入工具,它为大量摄入数据提供可能。Elastic Stack 提供索引生命周期管理可以帮我们管理被摄入的数据到不同的冷热节点中,并删除不需要保存的索引。在今天的文章中,我们将讲述如何为 Logstash 配置索引生命周期管理。在开始之前,建议你阅读如下的文档: LogstashLogstash 入门教程 (一) LogstashLogstash 入门教程 (二) Elasticsearch:Index 生命周期管理入门 .
Spring Boot整合ElasticsearchLogstash实现MySQL数据同步及全文搜索
ikkkp的博客
08-11 1262
本篇文章使用Spring Boot整合ElasticsearchLogstash实现全文搜索,保姆级教学!
实战ElasticsearchLogstash、Kibana++分布式大数据搜索与日志挖掘及可视化解决方案
10-13
《实战ElasticsearchLogstash、Kibana++分布式大数据搜索与日志挖掘及可视化解决方案》这本书涵盖了在大数据环境中如何高效地实现数据搜索、处理、分析以及可视化的关键技术和工具。以下是该书所涉及的核心知识点...
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
总结起来,"elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)" 压缩包包含了一套完整的日志管理和分析工具链,适用于大数据环境,可以帮助企业实现高效的数据收集、处理、存储和可视化。通过使用这套工具,...
实战ElasticsearchLogstash、Kibana++分布式大数据搜索与日志挖掘及可视化解决方案.pdf
08-02
《实战ElasticsearchLogstash、Kibana++分布式大数据搜索与日志挖掘及可视化解决方案》这本书主要聚焦于使用ElasticsearchLogstash和Kibana构建高效的大数据处理和可视化平台。以下是对这些关键组件及其在实际...
ELK7.x通用教程(Elasticsearch集群+Logstash+Kibana+Beats)
06-16
Elasticsearch 是实时全文索引,不需要像 storm 那样预先编程才能使用; ? 配置简易上手。Elasticsearch 全部采用 JSON 接口,Logstash 是 Ruby DSL 设计,都是目前业界最通用的配置语法设计; ? 检索性能高效。虽然...
ELK(ElasticSearch+Logstash+Kibana)
04-23
**ELK(Elasticsearch + Logstash + Kibana)** 是一个强大的日志管理和分析解决方案,广泛应用于大数据场景,特别是对于实时日志收集、处理、存储和可视化。这个组合提供了从日志生成到可视化的全套流程,帮助企业更...
【精】Logstash+Filebeats+Elasticsearch实现数据抽取
【冯立雄】的博客
08-18 2583
文章参考:https://www.cnblogs.com/cjsblog/p/9459781.html Logstash介绍 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 集中、转换和存储你的数据 Logstash是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存储”。(当然,我们最喜欢的是Elasticsearch) 输入..
使用logstash将项目的日志存储到Elasticsearch中(详细!新手避坑点!)
m0_73761022的博客
01-10 2366
使用logstash将项目的日志存储到Elasticsearch中新手教程,以及避坑点,和详细的教程。
logstash将日志保存到elasticsearch
yangyangrenren的专栏
02-08 2740
使用logstash,可以将程序运行日志,索引elasticsearch中,然后使用kibana,可以方便查看日志。不再需要手工登陆到远程服务器上查看日志文件。而且kibana提供搜索功能,可以根据关键词,还有时间范围等,查看某时间范围内的日志。 logstash,不仅仅可以将文件数据,导入到elasticsearch中,还可以在elasticsearchelasticsearch之间同步数...
logStash收集日志并存储到Elasticsearch
weixin_34183910的博客
07-06 596
为什么80%的码农都做不了架构师?>>> ...
一组Logstashelasticsearch的压测数据[转]
java的平凡之路
03-24 1437
概述 组内的日志系统基于ELK搭建,本文中的数据在生产环境中进行测试得到,仅供参考。 系统构成 系统可以简要的分为: 日志接收机 日志数据队列 日志数据处理机 ES集群 在日志接收机上通过一个 Logstash 进程 parse 日志数据,将 parse 后的结构写入由 Redis List 实现的日志数据队列中,之后在ES集群前,再使用一个日志
logstash参数配置
快乐八哥的博客
03-04 543
input配置: file:读取文件 input { file{ path => ["/var/log/*.log","/var/log/message"] type => "system" start_position => "beginning" } } start_position:logstash从什么位置读取文件数据,默认是结束的位置,也就是说logstash会以类似t
ELK实战篇--logstash日志收集eslaticsearch和kibana
山东梅长苏
03-15 3661
前篇:ELK6.2.2日志分析监控系统搭建和配置ELK实战篇好,现在索引也可以创建了,现在可以来输出nginx、apache、message、secrue的日志到前台展示(Nginx有的话直接修改,没有自行安装)编辑nginx配置文件,修改以下内容(在http模块下添加) log_format json '{"@timestamp":"$time_iso8601",' ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值