打造高效日志分析链:从Filebeat采集到Kibana可视化——Redis+Logstash+Elasticsearch全链路解决方案

于 2024-07-30 18:23:48 发布
阅读量3.2k 收藏 29
点赞数 31
分类专栏: 云计算 文章标签: 大数据 搜索引擎 nginx 云计算 elk redis 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyyy060908/article/details/140802783
版权
  •  作者简介:我是团团儿,是一名专注于云计算领域的专业创作者,感谢大家的关注
  •  座右铭:云端筑梦,数据为翼,探索无限可能,引领云计算新纪元
  •  个人主页:团儿.-CSDN博客

目录

实验目标:构建filebeat+redis+logstash+es+kibana架构,实现elk访问

实验拓扑:es 192.168.8.5

                  Nginx 192.168.8.6

                  Logstash 192.168.8.7

         es主机:192.168.8.5

         nginx主机:192.168.8.6

        logstash主机192.168.8.7:

实验目标:构建filebeat+redis+logstash+es+kibana架构实现elk访问

实验拓扑:es 192.168.8.5

                  Nginx 192.168.8.6

                  Logstash 192.168.8.7

es主机:192.168.8.5

1.安装elasticsearch:

前提:jdk-1.8.0

复制elasticsearch-6.6.0.rpm到虚拟机

rpm -ivh elasticsearch-6.6.0.rpm

2.修改配置文件:

vim /etc/elasticsearch/elasticsearch.yml

node.name: node-1

path.data: /data/elasticsearch

path.logs: /var/log/elasticsearch

bootstrap.memory_lock: true

network.host: 192.168.8.10,127.0.0.1

http.port: 9200

3.创建数据目录,并修改权限

mkdir -p /data/elasticsearch

chown -R elasticsearch.elasticsearch /data/elasticsearch/

4.分配锁定内存:

vim /etc/elasticsearch/jvm.options

-Xms1g #分配最小内存

-Xmx1g #分配最大内存,官方推荐为物理内存的一半,但最大为32G

5.修改锁定内存后,无法重启,解决方法如下:

systemctl edit elasticsearch

添加:

[Service]

LimitMEMLOCK=infinity

F2保存退出

systemctl daemon-reload

systemctl restart elasticsearch

6.查看

7.安装kibana

rpm -ivh kibana-6.6.0-x86_64.rpm

8.修改配置文件

vim /etc/kibana/kibana.yml

修改:

server.port: 5601

server.host: "192.168.8.10"

server.name: "db01" #自己所在主机的主机名

elasticsearch.hosts: ["http://192.168.8.10:9200"]   #es服务器的ip,便于接收日志数据

保存退出

9.启动kibana

systemctl start kibana

10.配置yum源,安装 httpd-tools

yum -y install  httpd-tools

11.使用ab压力测试工具测试访问

ab -c 1000 -n 10000 http://192.168.8.6/

12.在es浏览器查看filebeat索引和数据

13.在kibana添加索引

management--create index

discover--右上角--选择today

nginx主机:192.168.8.6

1.安装filebeat

rpm -ivh filebeat-6.6.0-x86_64.rpm

2.修改配置文件

vim /etc/filebeat/filebeat.ym

修改:

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/access.log

output.elasticsearch:

  hosts: ["192.168.8.5:9200"]

保存退出

3.启动filebeat

systemctl start filebeat

4.安装nginx并启动服务

5.修改nginx的日志格式为json

vim /etc/nginx/nginx.conf

添加在http {}内:

 log_format log_json '{ "@timestamp": "$time_local", '

'"remote_addr": "$remote_addr", '

'"referer": "$http_referer", '

'"request": "$request", '

'"status": $status, '

'"bytes": $body_bytes_sent, '

'"agent": "$http_user_agent", '

'"x_forwarded": "$http_x_forwarded_for", '

'"up_addr": "$upstream_addr",'

'"up_host": "$upstream_http_host",'

'"up_resp_time": "$upstream_response_time",'

'"request_time": "$request_time"'

' }';

    access_log  /var/log/nginx/access.log  log_json;

保存退出

systemctl restart nginx

6.清空日志:vim /var/log/nginx/access.log

ab测试访问,生成json格式日志

7.配置access.log和error.log分开

vim /etc/filebeat/filebeat.yml

修改为:

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/access.log

  json.keys_under_root: true

  json.overwrite_keys: true

  tags: ["access"]

  

- type: log

  enabled: true

  paths:

    - /var/log/nginx/error.log

  tags: ["error"]



output.elasticsearch:

  hosts: ["192.168.8.5:9200"]

  indices:

    - index: "nginx-access-%{+yyyy.MM.dd}"

      when.contains:

        tags: "access"

    - index: "nginx-error-%{+yyyy.MM.dd}"

      when.contains:

        tags: "error"



setup.template.name: "nginx"

setup.template.patten: "nginx-*"

setup.template.enabled: false

setup.template.overwrite: true

保存退出

重启服务:systemctl restart filebeat

登录kibana:

1.访问

2.登录--左侧面板选择visualize--点击“+”号--选择图表类型--选择索引--Buckets--x-Axis--Aggregation(选择Terms)--

Field(remote_addr.keyword)--size(5)--点击上方三角标志

kibana监控(x-pack):

登录--左侧面板选择--Monitoring--启用监控

8.Redis配置完成后修改filebeat配置文件,output给redis

vim /etc/filebeat/filebeat.yml

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/access.log

  json.keys_under_root: true

  json.overwrite_keys: true

  tags: ["access"]



- type: log

  enabled: true

  paths:

    - /var/log/nginx/error.log

  tags: ["error"]



setup.template.settings:

  index.number_of_shards: 3



setup.kibana:



output.redis:

  hosts: ["192.168.8.7"]

  key: "filebeat"

  db: 0

  timeout: 5

保存退出

重启服务:systemctl restart filebeat

logstash主机192.168.8.7

1.安装redis,并启动

准备安装和数据目录

mkdir -p /data/soft

mkdir -p /opt/redis_cluster/redis_6379/{conf,logs,pid}

下载redis安装包

cd /data/soft

wget http://download.redis.io/releases/redis-5.0.7.tar.gz

2.解压redis到/opt/redis_cluster/

tar xf redis-5.0.7.tar.gz -C /opt/redis_cluster/

ln -s /opt/redis_cluster/redis-5.0.7  /opt/redis_cluster/redis

3.切换目录安装redis

cd /opt/redis_cluster/redis

make && make install

4.编写配置文件

vim /opt/redis_cluster/redis_6379/conf/6379.conf

添加:

bind 127.0.0.1 192.168.8.7

port 6379

daemonize yes

pidfile /opt/redis_cluster/redis_6379/pid/redis_6379.pid

logfile /opt/redis_cluster/redis_6379/logs/redis_6379.log

databases 16

dbfilename redis.rdb

dir /opt/redis_cluster/redis_6379

保存退出

5.启动当前redis服务

redis-server /opt/redis_cluster/redis_6379/conf/6379.conf

6.修改filebeat配置后登录redis

Es01上测试访问,redis查看

redis-cli #登录

keys * #列出所有键

type filebeat   #filebeat为键值名

LLEN filebeat #查看list长度

LRANGE filebeat 0 -1 #查看list所有内容

7.安装logstash(安装包提前放在了/data/soft下)

cd /data/soft/

rpm -ivh logstash-6.6.0.rpm

8.修改logstash配置文件,实现access和error日志分离

注:mutate和grok是filter过滤选项,grok负责match正则过滤匹配,

    mutate负责convert数据类型转换。

vim /etc/logstash/conf.d/redis.conf

添加:

input {

  redis {

    host => "192.168.8.7"

    port => "6379"

    db => "0"

    key => "filebeat"

    data_type => "list"

  }

}



filter {

  mutate {

    convert => ["upstream_time","float"]

    convert => ["request_time","float"]

  }

}



output {

  stdout {}

   if "access" in [tags] {

    elasticsearch {

      hosts => ["http://192.168.8.5:9200"]

      index => "nginx_access-%{+YYYY.MM.dd}"

      manage_template => false

    }

   }

   if "error" in [tags] {

    elasticsearch {

      hosts => ["http://192.168.8.5:9200"]

      index => "nginx_error-%{+YYYY.MM.dd}"

      manage_template => false

    }

   }

}

保存退出

重启logstash:

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/redis.conf

 

 

团儿.
关注
  • 31
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
elasticsearch + filebeat+kibana
maying0124的博客
05-25 799
准备工作 elasticsearch-7.XX需要更高版本的java(11),而提高es的版本也需要提高filebeat的版本!我这里使用的是jdk8,所以下载的elasticsearch-5.6.0 下载地址:https://www.elastic.co/cn/downloads/elasticsearch地址 一、安装elasticearch 下载完成elasticsearch之后时行解压缩; Linux解压命令: tar -zxvf 压缩文件名.tar.gz 创建用户组和用户 由于ela
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 1873
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
日志可视化ELKF--filebeat
implements的专栏
04-20 331
filebeatelasticsearchlogstashkibana此为日志可视化的基础设施。不过根据业务系统的体量不同,这些组件不是都必须的。这里介绍EKF的部署方式,即elasticksearch、kibanafilebeatfilebeat 这里不再具体介绍,filebeat可以把应用产生的日志文件发送到logstash或者elasticsearch中去。这里主要介绍一些...
ELK之使用filebeat收集系统数据及其他程序并生成可视化图表
abtmh02622的专栏
03-30 229
  当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。   1,安装filebeat rpm -ivh /nas/nas/softs/elk/6.5.4/filebeat-6.5.4-x86_64.rpm   查看模块 [root@pr...
基于Elasticsearch+Logstash+Kibana+Filebeat的日志收集分析及可视化
最新发布
qq_61529681的博客
01-20 1473
海量的业务应用,也带来了海量的日志数据,给业务应用的运维带来了新的挑战。例如,我们常用的网约车应用,单个平台的日订单数量可以达到上亿条,产生各种类型的日志数据,像用户业务方面会产生交易日志、评价日志、投诉日志等;运营业务方面会产生工单日志、账单日志、用户操作日志等;支撑业务运行方面会产生系统日志、安日志等等。当系统发生故障,或者业务出现异常时,运维工程师需要登录到日志所在的服务器上,使用vim、sed、grep等工具进入日志文件中查找故障原因。
容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana
非著名运维的博客
12-29 3394
容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana
Elasticsearch, Kibana, Logstash, Filebeat 实现日志的自动采集、搜索和分析
回忆中的明天
06-16 311
Elastic Stack 包括 ElasticsearchKibana、Beats 和 Logstash(也称为 ELK Stack)。能够安可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化 Elasticsearch是一个分布式、RESTful 风格的搜索和数据分析引擎 Kibana是一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化管理和展示 Logstash是一个免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1565
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
ELK系列(八)、使用Filebeat+Redis+Logstash收集日志数据
王义凯 的博客
05-25 4350
前面提到过,logstash占资源很大,filebeat更加轻量,一般都是组合使用,难免会有logstash宕掉的时候,这时候filebeat再往logstash里写数据就写不了了,这期间的日志信息可能就无法采集到了,因此一般都会采用redis或kafka作为一个消息缓冲层,本篇就介绍如何使用Redis作为数据缓冲层,将filebeat的数据落地到Redis中然后由Logstash消费并写入至ES。 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.
filebeat+elasticSearch+kibana 学习体会
07-31
就是学习这三个的一些心得体会,适合初学者,适合给他人讲解使用!
ELKelasticsearch+logstash+kibana】企业级日志分析系统
shanjun12的博客
04-09 733
ELKelasticsearch+logstash+kibana】企业级日志分析系统
Centos7搭建Elasticsearch + Logstash + filebeat + Kibana
GGGoodLuck的博客
08-24 631
一、什么是ELK ELKElasticsearch + Logstash + Kibana 这种架构的简写。这是一种日志分平台析的架构。 二、ELK常见的几种架构 1 Elasticsearch + Logstash + Kibana 这是一种最简单的架构。这种架构,通过logstash收集日志,Elasticsearch分析日志,然后在Kibana(web界面)中展示。 2Elasticsearch + Logstash + filebeat + Kibana 与上一种架构相比,这种架构增.
Elastic日志系统-filebeat-redis-logstash-elasticsearch-kibana-6.8.0搭建流程
zhangpfly的博客
11-04 1120
Elastic日志系统-filebeat-redis-logstash-elasticsearch-kibana-6.8.0搭建流程搭建步骤1. 需要准备的环境系统环境软件版本软件安装2.功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注...
filebeat->redis->logstash->elasticsearch->kibana
weixin_30381793的博客
08-28 275
整体流程 filebeat收集openresty应用日志传输到Redis集群中 LogstashRedis集群中拉取数据,并传输到Elasticsearch集群 使用Kibana可视化索引 使用Elasticsearch-head管理lasticsearch集群 注:Logstash不支持集群模式 环境 均为CentOS 7.4 x64系统 openresty 192.168.0....
Filebeat+Redis+Logstash+Elasticsearch+Kibana搭建日志采集分析系统
殷长庆的博客
05-14 985
环境说明 LogstashElasticsearchKibana我放到一台机器上了,用Docker搭建的环境 Redis单独一台机器 Filebeat跟需要采集日志的项目在同一台机器 安装Docker参考 docker安装笔记 安装Redis wget http://download.redis.io/releases/redis-6.0.8.tar.gz tar xzf redis-6.0.8.tar.gz cd redis-6.0.8 make # 默认方式启动redis cd .
搭建filebeat+redis+logstash+elasticsearch+kibana日志监控
qq_45511656的博客
03-16 1096
目录首先安装elasticsearch安装kibana安装filebeat安装nginx安装redis安装logstash EFK日志收集 可参考官方文档https://www.elastic.co/guide/en/beats/filebeat/current/index.html Elasticsearch: 数据库,存储数据 //java环境 logstash: 日志收集,过滤数据 //java环境 kibana: 分析,过滤,展示 //java环境 filebeat: 收集日志,
日志服务搭建-ES-FileBeat-Kibana
6个日的博客
03-08 2505
日志系统的搭建使用
filebeat+redis+logstash+elasticsearch+kibana
03-11
这是一个关于日志收集和分析的技术栈,其中filebeat用于收集日志,redis用于缓存,logstash用于处理和转换日志,elasticsearch用于存储和索引日志,kibana用于展示和分析日志。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值