ELK之Filebeat使用

最新推荐文章于 2024-04-11 18:40:07 发布
最新推荐文章于 2024-04-11 18:40:07 发布
阅读量1.1k 收藏
点赞数 2
文章标签: linux elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zc190692107/article/details/112323487
版权

ELK

Filebeat的使用

前言

Logstash功能虽然强大,但是它依赖java、在数据量大的时候,Logstash进程会消耗过多的系统资源,这将严重影响业务系统的性能,而filebeat就是一个完美的替代者,filebeat是Beat成员之一,基于Go语言,没有任何依赖,配置文件简单,格式明了,同时,filebeat比logstash更加轻量级,所以占用系统资源极少,非常适合安装在生产机器上。

一、Filebeat下载安装

1.Filebeat下载

直接从
https://www.elastic.co/downloads/beats/filebeat
下载即可
下载完成后上传到服务器上

[root@VM-0-2-centos usr]# tar -zxvf filebeat-6.2.4-linux-x86_64.tar.gz -C /usr/local/

重命名一下

[root@VM-0-2-centos local]# mv /usr/local/filebeat-6.2.4-linux-x86_64.tar.gz / /usr/local/filebeat/

2.修改配置文件

vim打开/usr/local/filebeat/filebeat.yml
会发现如下没有被注释的配置
配置的意义如下

#=========================== Filebeat prospectors =============================

#定义filebeat输入数据的原型信息
filebeat.prospectors:
#指定数据的输入类型,这里是log,即日志,是默认值,还可以指定为stdin,即标准输入。
- type: log
  #是否启用手工配置filebeat,而不是采用模块方式配置filebeat。
  #如果使用默认设置fasle,则配置不会生效 线上一般都是true
  enabled: false
  #用于指定要监控的日志文件,可以指定一个完整路径的文件,也可以是一个模糊匹配格式
  paths:
    - /var/log/*.log

#============================= Filebeat modules ===============================
#引入filebeat的module配置
filebeat.config.modules:
  # Glob pattern for configuration loading
  # 模块化配置导入配置文件的地址
  path: ${path.config}/modules.d/*.yml

  # Set to true to enable config reloading
  # 是否允许重新加载
  reload.enabled: false

#==================== Elasticsearch template setting ==========================
#es模板配置
setup.template.settings:
  #数据分片数
  index.number_of_shards: 3

#============================== Kibana =====================================
# Starting with Beats version 6.0.0, the dashboards are loaded via the Kibana API.
# This requires a Kibana endpoint configuration.
#kibana的相关配置 -- <用不到>
setup.kibana:

#-------------------------- Elasticsearch output ------------------------------
#输出到es
output.elasticsearch:
  # Array of hosts to connect to.
  #es地址 可以是多个
  hosts: ["localhost:9200"]

在本篇中,我们以输出到Logstash为例以上配置改为如下

filebeat.prospectors:
- type: log
  #打开手动配置
  enabled: true
  #日志文件这里写自己要监听的文件的即可
  paths:
    - /var/log/*.log

#此处模块化配置不改或者全部注释都可以
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  #这里注释或者默认false
  reload.enabled: false

#全部注释 或者不管
setup.template.settings:
  index.number_of_shards: 3

#注释或者不管
setup.kibana:

#注释掉es配置
#output.elasticsearch:
  #hosts: ["localhost:9200"]
  
#----------------------------- Logstash output --------------------------------
#打开logstash配置
output.logstash:
  #默认使用内网去访问即可
  hosts: ["172.19.xx.45:5044"]

启动

[root@VM-0-2-centos filebeat]# nohup ./filebeat -e -c filebeat.yml &

在nohup.out文件中查看日志是否启动成功

验证
进入/var/log文件夹下 新建一个aa.log
vim编辑该文件随便输入sdkjfsikjdhf
保存后
logstash标准输出模式下有如下展示信息即为成功

{
    "@timestamp" => 2021-01-08T03:43:16.373Z,
    "prospector" => {
        "type" => "log"
    },
          "host" => "VM-0-2-centos",
        "offset" => 14,
          "tags" => [
        [0] "beats_input_codec_plain_applied"
    ],
      "@version" => "1",
          "beat" => {
            "name" => "VM-0-2-centos",
        "hostname" => "VM-0-2-centos",
         "version" => "6.2.4"
    },
       "message" => "sdkjfsikjdhf:",
        "source" => "/var/log/aa.log"
}

重启
重启命令与启动命令一样

[root@VM-0-2-centos filebeat]# nohup ./filebeat -e -c filebeat.yml &

二、扩展

市面上有不少公司使用的Filebeat输出到kafka,然后被Logstash消费这种模式 可以有效地消峰。<这里给出一个正常的配置>

#这里是输入配置基本不变
filebeat.inputs:
- type: log
  enabled: true
  paths:
   - /var/*.log
  #这里是定义了topic名称 供下面引用 不定义也可以
  fields:
    log_topic: xxx
#设置filebeat收集的日志中对应主机的名字,如果配置为空,则使用该服务器的主机名。
#这里设置为IP,便于区分多台主机的日志信息。
name: "172.16.xx.xxx"

#输出到kafka
output.kafka:
  enabled: true
  #指定输出数据到kafka集群上,地址为kafka集群IP加端口号。
  hosts: ["172.16.xx.xx:9092", "172.16.xx.xx:9092", "172.16.xx.xx:9092"]
  #kafka版本
  version: "0.10"
  #指定发送到集群上哪个topic 如果没有重新创建
  topic: '%{[fields][log_topic]}'
  #partition哈希取模轮询发送开启
  partition.round_robin:
    reachable_only: true
  #并发负载均衡Kafka输出工作线程的数量
  worker: 2
  #ACK的可靠等级.0=无响应,1=等待本地消息,-1=等待所有副本提交.默认1.
  #PS: 如果设为0,kafka无应答返回时,消息将丢失
  required_acks: 1
  #设置输出压缩编解码器
  # 必须是 none, snappy 和 gzip 中的一个
  # 默认是 gzip
  compression: gzip
  # json编码消息的最大允许大小, 更大的消息将被删除。默认值是 1000000 ( 字节 ) 。这个值应该等于 r,小于 broker 的 message.max.bytes
  max_message_bytes: 10000000
#定义filebeat的日志输出级别 调试用debug
logging.level: debug

总结

filebeat 是一个轻量级框架,相比Logstash 更适合做日志的采集,使用Logstash做数据过滤即可
zc190692107
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ELK+Filebeat日志分析系统
m0_74781555的博客
04-11 1093
2.1 ELK组件介绍2.2 ELFK组件介绍上述组件中添加提供了一个分布式多用户能力的全文搜索引擎Elasticsearch的核心:1、接近实时(NRT)Elasticsearch是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟(通常是1秒)2、集群(cluster)一个集群就是由一个或者多个节点组织在一起,它们共同持有你整个的数据,并一起提供索引和搜索功能。
ELK-日志服务【filebeat-安装使用
L596462013的博客
07-12 1623
如果挨个配置会变得很麻烦,我们可以将这些日志进行统一几种管理,使用rsyslog将本地所有类型的日志都写入到/var/log/all.log文件中,然后使用filebeat对该文件进行收集。方式一、修改nginx的日志格式 json 方式二、filebeat —> logstash。系统日志包含messages、secure、cron、dmesg、ssh、boot等。
ELK 使用指南 1】ELK + Filebeat 分布式日志管理平台部署
这是博客的简介的简介
10-14 4999
ELK详解(组件和工作原理);ELK部署;ELFK部署
elkfilebeat使用
ApexPredator的博客
07-03 656
elkfilebeat使用
ELK详解(十六)——filebeat安装与使用_filebeat配置文件详解
最新发布
2301_76225520的博客
04-11 636
filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。。
elk笔记10--filebeat使用
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
07-12 508
elk笔记10--filebeat使用1 filebeat 介绍2 filebeat 使用案例2.1 软件安装2.2 采集数据到 kafka2.3 采集数据到 es3 使用技巧3.1 filebeat将日志按照类别发送到不同kafka3.2 filebeat将日志按照类别发送到不同es index4 说明 1 filebeat 介绍 Filebeat 是一个用于转发和集中化日志数据的轻量级工具,它一般作为agent安装在服务器上。它监控日志文件和文件夹,收集日志事件,并转发到logstash、ES或者Kaf
ELK+Filebeat 部署安装
zyy247796143的博客
05-23 5124
ELK+Filebeat介绍 ELK是Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称(但是后期出现的filebeat(beats中的一种)可以用来替代logstash的数据收集功能,比较轻量级)。市面上也被成为Elastic Stack。 Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。Filebeat的工作方式如下:启动Filebe
ELK · Filebeat使用
一个到老才知道分享的人的博客
11-04 906
一、ElasticStack的组成 二、FileBeat 1、简介 beats 是一个免费且开放的平台,集合了多种单一用途数据采集器。它们从成百上千或成千上万台机器和系统向 Logstash 或 Elasticsearch 发送数据。 这边我们使用beat下面的FileBeat日志采集工具 FileBeat轻量型日志采集器 当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂
一篇文章搞懂filebeatELK
荷塘月色
10-21 294
本文使用filebeat是7.7.0的版本 本文从如下几个方面说明: filebeat是什么,可以用来干嘛 filebeat的原理是怎样的,怎么构成的 filebeat应该怎么玩
ELK日志分析--Filebeat
qq_47800859的博客
02-22 1000
ELK架构 Filebeat简介 Filebeat安装 Filebeat简单使用 专用日志搜集模块 案例模块-Nginx 模块 重读日志文件 使用Processors(处理器)过滤和增强数据
ELK+filebeat
12-18
elasticsearch logstash kibana filebeat
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
ELK+FileBeat+Kafka分布式系统搭建图文教程.docx
06-06
ELK+FileBeat+Kafka分布式系统搭建图文教程,详细地记录了完整搭建的流程与步骤,可以帮助大家快速上手!
Centos7搭建ELK+filebeat.docx
08-24
Centos7搭建ELK+filebeat,公司现用体系架构,解决了开发没有权限查看线上日志的情况,
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
Centos7 docker-compose安装ELK+Filebeat.zip 存放这里,让大家下载快捷一点
ELK日志系统:Filebeat使用及Kibana如何设置登录认证
weixin_33709219的博客
02-19 365
根据elastic上的说法: Filebeat is a lightweight, open source shipper for log file data. As the next-generation Logstash Forwarder, Filebeat tails logs and quickly sends this information to Logstash for furt...
ELK+Filebeat+Kafka日志采集
bright的博客
02-24 1644
我的开源微服务前后端分离博客项目地址,欢迎各位star 博主技术博客地址 欢迎大家进群,一起讨论学习 1.ELK2. ELFK3. 架构演进ELK缺点:ELK架构,并且Spring Boot应用使用 logstash-logback-encoder 直接发送给 Logstash,缺点就是Logstash是重量级日志收集server,占用cpu资源高且内存占用比较高ELFK缺点:一定程度上解决了ELK中Logstash的不足,但是由于Beats 收集的每秒数据量越来越大,Logstash 可能无法承载这么大
docker elk + filebeat
08-27
使用Docker ELK搭建平台时,你可以通过执行命令"Docker run"来启动Filebeat容器。启动命令示例如下: ``` docker run -d -u root --name filebeat --...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值