Elasticsearch及ELK使用(二):日志数据采集

已于 2023-09-27 14:42:04 修改
阅读量4.3k 收藏 10
点赞数 1
分类专栏: ELK_elastic 文章标签: elasticsearch
于 2020-06-26 02:09:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyplanke/article/details/106961825
版权

1 继续安装ELK

上文已经安装了ELK三大件中的两个软件elasticsearch和kibana。 在此基础上,在同一个机器上再安装logstash, 完成三大件的安装。

  1. (非root用户)登录linux,下载最新的logstash安装包 下载地址https://www.elastic.co/cn/downloads/elasticsearch 。然后解压即可

    cd /home/zyplanke/elk
curl -L -O https://artifacts.elastic.co/downloads/logstash/logstash-6.8.3.tar.gz
tar -xvf logstash-6.8.3.tar.gz

2 安装filebeat

filebeat通常与日志源服务器放同一台机器上。因此我们在另一台跑业务(有业务日志)的Linux机器上安装filebeat。

如果是收集业务系统的日志,确保filebeat对日志文件具有读权限。

  1. 登录业务系统(通常可使用业务系统的用户)载最新的filebeat安装包 下载地址https://www.elastic.co/cn/downloads/elasticsearch

    cd /home/zyplanke/elk
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.8.3-linux-x86_64.tar.gz
tar -xvf filebeat-6.8.3-linux-x86_64.tar.gz

3 配置日志文件采集

filebeat从日志源采集日志数据,通过网络发给logstash,logstash将数据进行处理后发给elasticsearch。

前面已经将elasticsearch和kibana,下面分别配置filebeat和logstash。

3.1 配置filebeat

编辑filebeat.yml, 内容如下

filebeat.inputs:
- type: log
  enabled: true
  paths: 
   - /var/log/*.log
  fields:
  	logcategory: oslog

#output.elasticsearch:        由于我们filebeat不直接发给elasticsearch,所有注释本配置。
#  hosts: ["localhost:9200"]


output.logstash:
  hosts: ["192.168.43.201:5044"]

上面的filebeat配置:

  • input表示,filebeat从指定的目录和文件作为采集的日志源(路径和文件名支持星号模糊匹配。 注意必须有被采集文件的读权限)。必须enabled为true,否则不生效。 可以配置多个input。
  • 而fields是自己定义的字段(并赋值),方便后续处理。
  • output表示,filebeat将采集的日志(加上fileds、tag及其他属性)后,将起传输到logstash

3.2 配置logstash

在config目录中,以复制logstash-sample.conf样例文件,得到文件logstash_file.conf。

编辑config/logstash_file.conf,内容如下

input {
  beats {
    port => 5044
  }
}

output {
  elasticsearch {
    hosts => ["http://192.168.43.201:9200"]
    index => "%{[fields][logcategory]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}

上面logstash_file.conf配置的:

  • input:logstash从filebeat接收数据的本地端口。
  • filter(可选):进行转换改变
  • output:logstash结果传输到哪里(这里定义为传输到elasticsearch,若elasticsearch集群有多个节点则hosts内容应多个)。同时配置了索引名。注意这里使用了filebeat自定义字段。

3.3 启动

  1. 启动logstash。
./logstash -f ../config/logstash_file.conf

启动需要多等一小会。

  1. 启动filebeat。 ./filebeat -e -c 配置文件名 -e输出到标准输出,默认输出到syslog和logs下 -c 指定配置文件
./filebeat -e -c filebeat.yml

默认filebeat会在当前目录创建data目录,里面存放了每个采集文件的名字和坐标(偏移量),这样可以在filebeat重启后支持断点续传。

如果希望filebeat全部重新传输,则可以把filebeat下整个data目录删除(可能在elasticsearch中也要删除。),让filebeat觉得从来都没有传输过。
附:为了便于filebeat的启停管理,写了一个名为:run_filebeat.sh的Shell脚本供使用

##################################################################################
# desc:    FileBeat运行管理脚本
###################################################################################
CURR_PWD=`pwd -P`

Usage()
{
   
	echo "*******************************************************"
	echo " Usage: "
	echo "
最低0.47元/天 解锁文章
zyplanke
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用 ELK 收集日志
Huangjiazhen711的博客
09-13 1571
在当前分布式、微服务架构下,各个应用都部署在不同的服务器上,每个应用都在记录着自己重要或者不重要的日志信息。当我们要通过日志信息来排查错误时,可以根据出错应用在对应的机器上找报错相关的日志信息。但是,可能我们不具有相应服务器的访问权限,也可能相同的应用部署在多台服务器上,导致根本不知道在哪台服务器上找日志。遇到类似这样的尴尬,想要通过日志来排查错误就搞得很麻烦。在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。
Logstash日志数据采集ELK可视化分析实战
02-21
基于Logstash的日志数据采集ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例() 04 Kibana的介绍部署及功能模块讲解 05 ELK企业常见四种架构及应用 06 ELK综合案例-案例数据的导入 07 ELK综合案例-Logstash读取Mysql数据到ES 08 ELK综合案例-常见业务指标分析 09 ELK综合案例-Kibana生成报表展示
elk采集服务日志数据
03-23
springboot日志通过filebeat,logstash将日志内容采集到es中,kibana展示日志数据
elk收集容器日志n种方式
最新发布
nujnus9221的博客
05-17 430
哪种方式更好取决于具体的使用场景、资源限制、技术栈熟悉度以及对性能和可维护性的要求。例如,在大规模的 Kubernetes 部署中,使用 Filebeat 或 Fluentd 配合 DaemonSet 可能是一个较好的选择,因为它们轻量且易于扩展。而在资源受限或需要更复杂日志处理的环境中,直接使用 Logstash 可能更合适。ELKElasticsearch, Logstash, Kibana)堆栈可以以多种方式收集容器日志,每种方式都有其特定的使用场景和优缺点。
ELK日志收集和备份填坑实战 (滞后8个小时等时区问题)
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
04-15 953
数据写入时间不一致、数据滞后8小时等时区问题的本质是:各个处理端时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstash、Elasticsearch 是UTC时区。
ELK日志收集
u010864567的博客
04-16 5190
搭建ELK ELK是由elasticsearch、logstash、kibana三个开源软件组成的一个组合体,ELK是elastic公司公司研发的一套完整的日志收集、分析和展示的企业级解决方案,在这三个软件当中,每个软件用于完成不同的功能,官方域名为elastic.io,ELK stack的主要优点: 处理方式灵活:elasticsearch是实时全文索引,具有强大的搜索功能 配置相当简单:elasticsearch的API全部使用JSON接口,logstash使用模块配置,kibana的配置文件部分
Elasticsearch+Logstash+Kibana日志采集服务搭建并简单整合应用
zhanglei500038的博客
04-26 267
ELKElasticsearch+Logstash+Kibana的简称Elasticsearch 是一个分布式的搜索和分析引擎,可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在是使用最广的开源搜索引擎之一。Logstash 简单来说就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端,与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供了很多功能强大的滤网以满足你的各种应用场景。
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 1971
elk 的第组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
Elastic:监控 Elasticsearch 及 Kibana
Elastic 中国社区官方博客
03-22 7215
一个稳定的 Elastic Stack 集群对于数据的实时采集,处理及查询非常重要。我们可以使用一个专有的 Elasticsearch 集群来监视一个生产环境的 Elasticsearch 集群。在之前的文章 “Beats:通过 Metricbeat 实现外部对 Elastic Stack 的监控”,我已经讲述了如何对 Elasticsearch 进行监控。在今天及以后的几篇文章中,我将详细讲述如何来对 Elastic Stack 的各个软件栈进行监控。尽管我们可以使用Elasticsearch 自己的
java代码实现自动提取(ELK kibana日志平台)业务日志
junior77的专栏
12-24 3704
近期因进行项目全链路压测,需要对服务部分接口进行业务日志提取,用来做参数化测试数据。据了解,服务日志存储于elk日志平台中。于是为了避免每次手工提取费时费事,且每次不能批量提取大量日志,决定使用脚本实现自动提取,并保存至特定目录文件中。 前提: elk日志平台地址 查询索引名 查询条件 以下为具体java代码,供参考: ImSearchExtractData类 package com.Fulllink.imsearch; import com.Fulllink.utils...
ES(Elasticsearch)日志类型
m0_54849806的博客
03-25 2714
每个软件应用为了方便排查运行时出现的问题或者一些做一些数据记录,都会提供相应的日志记录,Elasticsearch也不例外,Elasticsearch日志记录通过3类日志类型进行记录: **(1)主要日志(cluster-name.log)😗*记录了Elasticsearch运行时所发生一切的综合信息,例如,某个查询失败或一个新的节点加入集群 **(2)慢搜索日志(cluster-name_index_search_slowlog.log)😗*当某个查询运行得很慢时,Elasticsearch会在这里进行记
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
ELK日志归集 - 搭建及使用说明文档V1.0 Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源、任何格式的数据。其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产生协同作用,而且。 logstash比...
ELK日志收集系统完全实现
01-27
在本案例中,我们将基于VMware搭建一个完整的ELK日志管理系统,其中包括Elasticsearch集群、Logstash集群、Kibana以及Kafka集群,以及用于日志采集的Filebeat。 首先,搭建环境需要准备VMware Workstation 15 Pro...
ELK高级搜索_ElasticStack技术栈视频教程
04-18
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,...
日志收集分析器(ELK
m0_52165864的博客
07-27 1357
由于我的项目中使用的是Filebeat作为一个日志数据采集器,那有没有其他的更好的日志收集分析采集器呢?ELK与我之前的项目的异同之处。
强大的ELK日志分析系统!
guguai7的博客
08-16 3512
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
ELK日志收集安装部署
qq_45429357的博客
07-14 1148
收集日志
ELK日志管理系统图示全过程详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-09 8295
概要 我们常说的ELK日志收集系统,完整的应该称为:ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,它们都是开源软件,目前称为:Elastic Stack,其是ELK Stack 在 5.0 版本加入 Beats 套件后的新称呼。新增得FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集..................
elk如何远程采集日志
05-24
要远程采集日志,需要在目标服务器上安装一个日志采集代理,如Logstash或Filebeat。然后,将代理配置为将日志发送到Elasticsearch集群中的一个或多个节点。 以下是大致步骤: 1. 在目标服务器上安装Logstash或Filebeat 2. 配置代理以获取要采集的日志 3. 配置代理以将日志发送到Elasticsearch集群中的节点 4. 在Elasticsearch中创建适当的索引模板和搜索查询以检索日志 具体来说,可以按照以下步骤进行操作: 1. 安装Logstash或Filebeat 对于Logstash,可以按照官方文档中的指南进行操作。对于Filebeat,也可以按照官方文档中的指南进行操作。 2. 配置代理 在Logstash或Filebeat中,需要配置输入和输出。输入是指要采集的日志文件或数据源,输出是指将日志发送到Elasticsearch集群中的节点。 例如,在Filebeat中,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/myapp/*.log output.elasticsearch: hosts: ["http://es-node1:9200", "http://es-node2:9200"] ``` 这将采集`/var/log/myapp/*.log`中的日志,并将其发送到`es-node1`和`es-node2`节点上的Elasticsearch。 3. 创建索引模板和搜索查询 在Elasticsearch中,需要创建一个适当的索引模板以确保日志正确地解析和存储。还可以创建搜索查询以检索和过滤日志。 例如,可以使用以下示例索引模板: ``` PUT _template/myapp_logs { "index_patterns": ["myapp-*"], "settings": { "number_of_shards": 1 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "message": { "type": "text" }, "tags": { "type": "keyword" } } } } ``` 此模板指定了一个索引模式,即`myapp-*`,并定义了索引中的字段。还可以创建搜索查询以检索和过滤日志。 总之,远程采集日志需要配置日志采集代理,并将其配置为将日志发送到Elasticsearch集群中的节点。然后,在Elasticsearch中创建索引模板和搜索查询以检索日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值