logStash+ES综合案例

最新推荐文章于 2024-02-29 23:28:05 发布
最新推荐文章于 2024-02-29 23:28:05 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhumengguang/article/details/113093856
版权

LK Stack全量日志查询

在实际工作当中,我们经常会对服务器当中产生的各种日志比较感兴趣,因为产生的日志可以很好的说明我们的服务器的工作状态是否正常,日志的也可以供我们排查各种错误等。所以很多时候我们都会收集各种日志进行汇总,方便我们统一的查看,有了ELK技术栈之后,我们就可以很轻松方便的使用logstash来进行收集我们的日志数据,然后将数据存储到ES当中,然后通过kibana的可视化工具来查看我们的日志数据了

 

  1. 采集服务器运行产生的日志

1.1、rsyslog的基本介绍

每台linux服务器运行的时候,系统都会产生一些日志出来,我们可以收集这些日志以便于我们查看linux服务器运行的状况等

Rsyslog 是CentOS6.X 自带的一款系统日志工具:

具有以下多种特性

1.支持多线程

2.支持TCP,SSL,TLS,RELP 等协议

3.支持将日志写入MySQL, PGSQL, Oracle 等多种关系型数据中

4.拥有强大的过滤器,可实现过滤系统信息中的任意部分

5.可以自定义日志输出格式

接下来我们来看如何通过rsyslog来收集我们的系统日志

Rsyslog 配置文件介绍:

/etc/rsyslog.conf 文件:

*.info;mail.none;authpriv.none;cron.none

/var/log/messages.

各类型日志存放位置

cron.*

/var/log/cron

具体日志存放的位置

authpriv.*

/var/log/secure

认证授权认证

mail.*

-/var/log/maillog

邮件日志

cron.*

/var/log/cron

任务计划相关日志

kern

 

内核相关日志

lpr

 

打印

mark(syslog)

 

rsyslog 服务内部的信

息,时间标识

news

 

新闻组

user

 

用户程序产生的相关信

uucp

 

协议

local 0~7

 

用户自定义日志级别

 

日志级别:

rsyslog 共有7 种日志级别,数字代号从 0~7。具体的意义如下所示:

0 debug –有调式信息的,日志信息最多

1 info 一般信息的日志,最常用

2 notice –最具有重要性的普通条件的信息

3 warning –警告级别

4 err –错误级别,阻止某个功能或者模块不能正常工作的信息

5 crit –严重级别,阻止整个系统或者整个软件不能正常工作的信息

6 alert –需要立刻修改的信息

7 emerg –内核崩溃等严重信息

本项目中,将日志级别调整成3,并将日志信息发送至node01服务器的6789这个端口

 

修改rsyslog的配置文件

我们修改node01服务器的rsyslog的配置,

sudo vim /etc/rsyslog.conf

添加以下三行配置

local3.* /var/log/boot.log

*.warning /var/log/warning_Log

*.* @@node01:6789

重启linux服务器的rsyslog服务

执行以下命令重启rsyslog服务

sudo /etc/init.d/rsyslog restart

开发logstash的配置文件,收集rsyslog日志

切换到logstash的配置文件目录下,开发logstash的配置文件

cd /export/servers/es/logstash-6.7.0/config

vim rsyslog.conf

input {
    tcp {
    port => "6789"   #监控6789端口
    type => "rsyslog"   #日志类型是rsyslog
   }
}
filter {
  if [type] == "rsyslog" {   # 做一次判断,只要从6789端口过来的rsyslog日志
    grok { # 通过正则表达式,取出想要的字段
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ] #将系统的日志格式化成标准国际化时间
    }
  }
}
output{   #将日志打入elasticsearch
    if [type] == "rsyslog"{
       stdout{codec=>rubydebug}
       elasticsearch {
       action => "index"
       hosts  => "node01:9200"
       index  => "logstash-%{type}-%{+yyyy.MM.dd}"
   }
 }
}

启动logstash服务

执行以下命令启动logstash服务

cd /export/servers/es/logstash-6.7.0

bin/logstash -f config/rsyslog.conf

采集服务器用户操作所有历史日志

用户在命令行环境下的操作日志都会被系统记录下来;比如我们输入history命令,都会展示出每一个用户输入过的命令;

.bash_history文件,这个日志格式我们可以定义成我们需要显示的内容,方便我们排查或者做入侵检查的时候;

自定义日志格式:

HISTFILESIZE=4000     #保存命令的记录总数

HISTSIZE=4000         #  history 命令输出的记录数

HISTTIMEFORMAT='%F %T'   #输出时间格式

export HISTTIMEFORMAT.  #自定义日志输出格式,也就是取出我们想要的字段,以json的形式

HISTTIMEFORMAT修改线上的相关格式

PROMPT_COMMAND实时记录历史命令(一般用在存储history命令道文件中)

第一步:定义日志格式

修改/etc/bashrc配置文件,然后添加以下配置

sudo  vim /etc/bashrc

HISTDIR='/var/log/command.log'

if [ ! -f $HISTDIR ];then

touch $HISTDIR

chmod 666 $HISTDIR

fi

export HISTTIMEFORMAT="{\"TIME\":\"%F%T\",\"HOSTNAME\":\"$HOSTNAME\",\"LI\":\"$(who am i 2>/dev/null| awk '{print $NF}'|sed -e's/[()]//g')\",\"LOGIN_USER\":\"$(who am i|awk '{print$1}')\",\"CHECK_USER\":\"${USER}\",\"CMD\":\""

 

export PROMPT_COMMAND='history 1|tail -1|sed "s/^[ ]\+[0-9]\+  //"|sed "s/$/\"}/">>/var/log/command.log'

使配置修改立即生效

这个命令必须使用root用户来执行

export PROMPT_COMMAND='history >> /var/log/command.log'

source /etc/bashrc

第二步:开发logstash的配置文件

继续开发我们logstash的配置文件

cd /export/servers/es/logstash-6.7.0/config

vim history.conf

input {
    file {
        path => ["/var/log/command.log"]
        type => "command"
        codec => "json"
    }
  }
output{
    if [type] == "command"{
       stdout{codec=>rubydebug}
       elasticsearch {
       hosts  => "node01:9200"
       index  => "history-%{+yyyy.MM.dd}"
   }
 }
}

第三步:启动logstash

启动logstash:

cd /export/servers/es/logstash-6.7.0

bin/logstash -f config/history.conf

执行source,让环境变量立即生效

source /etc/bashrc

node01服务器任意目录执行任意命令,然后去9100页面,查看是否已经把history日志灌入elasticsearch

 

采集nginx日志到es当中

 

第一步:上传日志文件

node01机器创建文件夹,将我们的nginx的日志都上传到

/export/servers/es/esdatas

mkdir -p  /export/servers/es/esdatas

第二步:开发logstash的配置文件
cd /export/servers/es/logstash-6.7.0/config
vim nginxlog.conf
input{
  file {
	path =>  "/export/servers/es/esdatas/access.log"
        type => "access.log"
 	start_position => "beginning"
	}
}
filter {  
    grok {
            match => {
           	   "message" => "%{IPORHOST:clientip} \- \- \[%{HTTPDATE:time_local}\] \"(?:%{WORD:method} %{NOTSPACE:request}(?:HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:status} %{NUMBER:body_bytes_sent} %{QS:http_referer}"
		 }
        }
}
output {
       stdout{codec=>rubydebug}
       elasticsearch {
                action => "index"
                hosts =>"node01:9200"
                index => "nginxes"
     }
}

第三步:启动logstash并查看es当中的数据

执行以下命令启动logstash

cd /export/servers/es/logstash-6.7.0

bin/logstash -f /export/servers/es/logstash-6.7.0/config/nginxlog.conf

 

 

 

 

 

 

 

 

 

散_步
关注
专栏目录
ES + Logstash 优化
Beckham的博客
07-21 1224
Logstash优化 Logstash 优化点 filebeat-> logstash tcp连接 (目前 非瓶颈) 单台logstash 节点至少可以支撑上100台filebeat节点的tcp连连接请求 网络带宽: 1000Mb logstash-> es tcp连接 (目前 非瓶颈) 仅单节点传输 内网带宽不是瓶颈 logstash input (目前 非瓶颈) 接收filebeat推送日志,接收量由filter,output协同决定。 logstash filter &
LogStash安装及综合案例
Imflash的博客
09-22 1628
文章目录14、LogStash介绍及安装1、介绍2 、node01机器安装LogStash3、Input插件1、stdin标准输入和stdout标准输出2、监控日志文件变化3、jdbc插件第一步:编写脚本第二步:上传mysql连接驱动包到指定路劲第三步:检查配置文件是否可用第四步:启动服务第五步:数据库当中添加数据4 systlog插件4、filter插件1、grok正则表达式1、收集控制台输入数...
【SpringBoot】五、日志配置(Log4j2、Logback)
winrh的博客
09-02 1345
目录 一、介绍 二、Logback 1. 生成日志对象 2. 日志级别 3. 输出日志文件 (1)默认输出 (2)自定义输出 (3)设置文件属性 4. 输出格式设置 5. 指定日志配置文件 三、Log4j2 1. 配置依赖 2. 配置默认文件log4j2.yml (1)resources下创建log4j2.yml (2)在application.yml中配置读取该yml文件 (3)编辑log4j2.yml (4)如果颜色显示不了 一、介绍 常见的日志框架有下面这...
Spring Boot日志-3 ------>SLF4J与别的框架整合
cui1004的博客
11-10 214
Spring Boot日志-3 ------>SLF4J与别的框架整合 存在的问题: 在系统A中使用的日志是(slf4j+logback),但是 Spring框架底层使用的是(commons-logging)、Hibernate的日志使用的是(jboss-logging)、MyBatis、xxxx等等。 我们需要做的: 统一日志记录,即使是别的框架和我一起统一使用slf4j进行输出。 如何让系统中所有的日志都统一到slf4j: 1、将系统中其他日志框架先排除出去; 2、用中间包来替换原有的日志框架;
Mybatis——6.日志
weixin_45686473的博客
09-30 210
6.日志 6.1 日志工厂 如果一个数据库操作,出现了异常,我们需要排错。 日志就是最好的助手! 曾经:sout、debug 现在:日志工厂 SLF4J LOG4J 【掌握】 LOG4J2 JDK_LOGGING COMMONS_LOGGING STDOUT_LOGGING 【掌握】 NO_LOGGING 在Mybatis中,具体使用哪个日志实现,在设置中设定! STDOUT_LOGGING标准日志输出 在Mybatis核心配置文件中,配置我们的日志! <settings>
springboot日志按照天自动输出_SpringBoot 按日期输出日志文件
weixin_39600837的博客
12-20 2903
警告:该以下操作,只适合单点服务,不适合集群环境。建议:集群环境下,请使用ELK等日志分析系统。配置 logback在 SpringBoot 环境下,应该尽量避免使用 xml 配置文件的,但是 logback 不支持代码配置,所以还是需要用 xml 配置的。${LOG_HOME}/%d{yyyy-MM-dd}/%i.logtrue3010MB%d{yyyy-MM-dd HH:mm:ss.SSS} ...
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1653
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
elasticsearch数据库使用案例.docx
最新发布
07-12
### Elasticsearch在各领域中的应用案例 #### 一、日志和事件数据分析 **案例背景**: 随着业务规模的不断扩大和技术架构的复杂化,对于企业来说,有效地管理和分析大量的日志数据变得至关重要。Elasticsearch ...
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),...07 ELK综合案例-Logstash读取Mysql数据到ES 08 ELK综合案例-常见业务指标分析 09 ELK综合案例-Kibana生成报表展示
ELK技术栈-Logstash实战案例
wolfcode_cn的博客
09-29 614
本文作者:罗海鹏,叩丁狼高级讲师。原创文章,转载请注明出处。  案例一:收集Nginx访问日志数据 Nginx是企业中常用的http服务器,也有人称它为反向代理服务器和负债均衡服务器,凭借着性能强大和功能完善在整个互联网行业中大量使用,所以收集Nginx服务器的访问日志数据,并且转存到elasticsearch中,就是一个很常见的需求了,然后再根据elasticsearch强大的搜索和聚合能力...
django中配置log
s_daqing的博客
10-19 337
import os DEBUG = False #线上环境时要关闭debug ALLOWED_HOSTS = ['*'] #线上环境时要允许所有ip访问,或有自己的规则 LOG_DIR = "" #下面就是logging的配置 LOGGING = { 'version': 1, # 指明dictConnfig的版本,目前就只有一个版本,保留字 'disable_existing_loggers': False, # 表示是否禁用所有的已经存在的日志配置 # 日志文件的
spring-boot推送实时日志到前端页面显示
weixin_34001430的博客
10-08 2326
简单的spring-boot工程这里就不做过多的讲解了,只叙述核心部分首先导入依赖<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId></de...
springboot按天分割日志
不懂就问
02-21 939
springboot打印日志
springBoot以及mybatis配置logback日志输出策略,按每天及大小滚动
to_study的博客
12-13 4311
配置如下: 将该文件名设置为:logback-spring.xml,放在resources下自动生效 <?xml version="1.0" encoding="UTF-8"?> <configuration debug="false"> <!--日志存放目录--> <property name="LOG_HOME" value="F...
ES系列之Logstash实战入门
lonelymanontheway的博客
02-29 1919
概述:原理、安装、目录;配置:logstash.yml、jvm.options、pipelines.yml;组件:input、filter、output;实战:采集Nginx日志、增量抽取表数据、加密敏感配置;进阶:条件语法、插件管理、codec、自定义插件;
Springboot按天生成日志文件
weixin_47798667的博客
07-21 1864
此时日志文件会保存错误打印的日志了。
javaweb 常用jar包_Springboot入门之二-ThymeLeaf常用属性及表达式使用
weixin_39530437的博客
11-25 149
Springboot是当前市场上最流行的javaWeb框架,它可以满足将Java工程直接打成jar包就进行运行而不必打成war包,而随之而来的问题便是不同与之前别的框架使用的jsp页面,由于jsp本质是一个Servlet实例只有在软件是以war包方式打包的情况下才能进行解析,所以Springboot使用jsp页面需要特殊配置,于是Springboot推荐了使用Thymeleaf模板引擎进行设计前端...
Springboot日志框架logback与log4j2
weixin_47268883的博客
01-18 1110
Springboot日志框架logback与log4j2
SpringBoot整合logback设置按天生成日志文件
一个双子座的Java攻城狮
02-28 4967
项目启动运行后,会产生一个日志文件夹根据日期分类,分别记录了error、info、warn级别的日志。
ELK Stack搭建教程:Filebeat+Logstash+Elasticsearch+kibana
ELK栈,即Elasticsearch、Logstash、Kibana的组合,是一个流行的开源日志分析解决方案,它提供了从收集到展示日志信息的全套流程。这个系统允许开发人员和运维人员实时监控和分析服务器、应用程序和服务的日志数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值