使用 Filebeat 推送消息到 ELK 或 MongoDB

最新推荐文章于 2025-03-21 17:06:17 发布
最新推荐文章于 2025-03-21 17:06:17 发布
阅读量759 收藏 14
点赞数 22
CC 4.0 BY-SA版权
文章标签: 运维 elk mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_83821000/article/details/145548827

目录

  1. 简介
  2. 系统架构
  3. 环境准备
  4. 配置 Filebeat
  5. 运行与监控
  6. 常见问题与解决方案
  7. 总结

1. 简介

Filebeat 是 Elastic Stack 的一部分,用于轻量级地收集和转发日志数据。本文档将介绍如何配置 Filebeat 来推送消息到 ELK(Elasticsearch, Logstash, Kibana)或 MongoDB。

2. 系统架构

2.1 推送到 ELK

在标准的 ELK 架构中,Filebeat 收集日志并将其发送到 Logstash 进行处理,然后由 Elasticsearch 存储,并通过 Kibana 进行可视化展示。

2.2 推送到 MongoDB

在某些情况下,您可能希望直接将日志数据存储到 MongoDB 中。这需要通过 Logstash 作为中间层来实现,因为 Filebeat 本身并不支持直接输出到 MongoDB。

3. 环境准备

3.1 安装依赖组件

确保以下组件已经安装并正常运行:

  • Filebeat: 负责收集日志数据。
  • Logstash: 用于处理和转换日志数据。
  • Elasticsearch: 用于存储和索引日志数据。
  • Kibana: 用于可视化和分析日志数据。
  • MongoDB: 如果选择推送数据到 MongoDB,则需要安装 MongoDB。

3.2 配置文件路径

  • Filebeat 配置文件: /etc/filebeat/filebeat.yml
  • Logstash 配置文件: /etc/logstash/conf.d/01-logstash.conf (根据实际情况调整路径)

4. 配置 Filebeat

4.1 推送消息到 ELK

4.1.1 修改 filebeat.yml

编辑 Filebeat 配置文件 /etc/filebeat/filebeat.yml,设置输出为 Logstash 或 Elasticsearch。

输出到 Logstash:
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

output.logstash:
  hosts: ["localhost:5044"]
输出到 Elasticsearch:
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

output.elasticsearch:
  hosts: ["localhost:9200"]
4.1.2 启动 Filebeat
sudo service filebeat start

4.2 推送消息到 MongoDB

由于 Filebeat 不能直接输出到 MongoDB,因此需要通过 Logstash 来实现这一目标。

4.2.1 安装 MongoDB 输出插件

首先,确保 Logstash 已经安装了 MongoDB 输出插件:

bin/logstash-plugin install logstash-output-mongodb
4.2.2 配置 Logstash

创建一个新的 Logstash 配置文件 /etc/logstash/conf.d/01-logstash-mongodb.conf

input {
  beats {
    port => 5044
  }
}

filter {
  # 根据需求添加过滤器
}

output {
  mongodb {
    collection => "your_collection_name"
    database => "your_database_name"
    uri => "mongodb://username:password@localhost:27017"
  }
}
4.2.3 修改 filebeat.yml

编辑 Filebeat 配置文件,设置输出为 Logstash:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

output.logstash:
  hosts: ["localhost:5044"]
4.2.4 启动服务

启动 Logstash 和 Filebeat:

sudo service logstash start
sudo service filebeat start

5. 运行与监控

5.1 检查日志

检查 Filebeat 和 Logstash 的日志文件以确认它们是否正常运行:

  • Filebeat 日志: /var/log/filebeat/filebeat
  • Logstash 日志: /var/log/logstash/logstash-plain.log

5.2 使用 Kibana 查看数据

如果选择了推送数据到 ELK,可以通过 Kibana 查看和分析日志数据。导航到 Kibana 的 Discover 页面,选择相应的索引模式查看日志。

TimeShine1
关注
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4465
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
filebeat 倒入 mysql_Filebeat使用内置的mysql模块收集日志存储到ES集群并使用kibana存储...
weixin_29800917的博客
01-21 419
Filebeat内置了不少的模块,可以直接使用他们对日志进行收集,支持的模块如下:[root@ELK-chaofeng07 logstash]# filebeat modules listEnabled:mysqlDisabled:apache2auditdelasticsearchhaproxyicingaiiskafkakibanalogstashmongodbnginxosquerypost...
ELK 5.0.1+Filebeat5.0.1实时监控MongoDB日志并使用正则解析mongodb日志
clm20482的博客
02-16 381
关于ELK5.0.1的安装部署,请参考博文(ELK 5.0.1+Filebeat5.0.1 for LINUX RHEL6.6 监控MongoDB日志), 本文重点说明如何适用filebeat实时监控mongodb数...
Logstash+FileBeat+MongoDB+Flask打造的日志系统(一)
weixin_33892359的博客
09-29 490
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstash+FileBeat+MongoDB+Flask打造的日志系统(二)
weixin_34221112的博客
09-29 371
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstash+FileBeat+MongoDB+Flask打造的日志系统(三)
weixin_34194379的博客
09-29 179
2019独角兽企业重金招聘Python工程师标准>>> ...
ELK 5.0.1+Filebeat5.0.1 for LINUX RHEL6.6 监控MongoDB日志
www_xue_xi的博客
02-14 1239
ELK5.0.1for linux rhel6.6监控mongodb日志简单应用……
k8s集群日志收集ELK和Graylog
dz45693的专栏
03-21 3781
使用ELK+Filebeat架构,还需要明确Filebeat采集K8S集群日志的方式。 方式1:Node级日志代理 在每个节点(即宿主机)上可以独立运行一个Node级日志代理,通常的实现方式为DaemonSet。用户应用只需要将日志写到标准输出,Docker 的日志驱动会将每个容器的标准输出收集并写入到主机文件系统,这样Node级日志代理就可以将日志统一收集并上传。另外,可以使用K8S的logrotateDocker 的log-opt 选项负责日志的轮转。 Docker默认的日志驱动(LogDri
日志管理 GrayLog VS ELK
QFann的博客
06-07 1929
日志管理GrayLog
K8S学习之基础四十二:日志收集系统简介
最新发布
云上艺旅的博客
03-21 1154
k8s日志收集系统
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule。
Elasticsearch+Logstash+Kibana + Filebeat部署流程
li371490890的博客
01-10 447
Elasticsearch+Logstash+Kibana + Filebeat部署流程
【kafka】通过filebeat将nginx的日志数据推送到logstash,再由Logstash将数据推送到Kafka消息队列
weixin_43346403的博客
07-01 416
filebeat将nginx的数据抽取到推送到logstash的beats插件;--zookeeper安装。zookeeper是kafka安装包自带的,伪集群。7.配置filebeat抽取nginx的数据到logstash;logstash将filebeat的输入推送到kafka。5.配置nginx-to-kafka。2.检查Logstash 插件。8.启动filebeat;10.nginx写入数据。11.kafka查看数据。1.kafka环境准备。
网络安全开源组件
2401_88751384的博客
12-04 1487
本文只是针对开源项目进行收集,如果后期在工作中碰到其他开源项目将进行更新。欢迎大家在评论区留言,您在工作碰到的开源项目。祝您工作顺利,鹏程万里!
快速搭建 ELK + OpenWAF 环境
chouqiong6839的博客
07-06 496
OpenWAF简介 OpenWAF是第一个全方位开源的Web应用防护系统(WAF),他基于nginx_lua API分析HTTP请求信息。OpenWAF由行为分析引擎和规则引擎两大功能引擎构成。其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。 规则引擎的启发来自mods...
ELK:对于docker使用logstash收集nginx日志到elasticsearch的步骤小结
qq_40673345的博客
12-19 2777
基于CentOs7 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使...
waf可以查看post请求吗_开源WAF的建设架构说明与应急预案
weixin_39760389的博客
11-27 278
之前有在体系建设中写到开源WAF的利用,本次就继续这个话题给出使用手册+应急预案来做生产级开源WAF的支撑。一.ModSecurity——WAF简介ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。ModSecurity是实时web应用程序工具包监控、日志记录和访问控制。防御内容:(OWASP TOP 10漏洞可防御)SQL注...
【无标题】wazuh
weixin_64623293的博客
09-01 349
总体分析:通过 LD_PRELOAD 劫持了函数,劫持后启动了一个新进程,若不在新进程启动前取消 LD_PRELOAD,则将陷入无限循环,所以必须得删除环境变量 LD_PRELOAD,最直接的就是调用。对于 Wazuh Elastic Stack 的每个新版本,Wazuh 的开发团队都会彻底测试每个组件的兼容性,并在发布新的 Wazuh Kibana 插件之前进行必要的调整。告警信息查看,在alerts.js中,里面可以看到促发的规则,登录IP,登录端口,登录时间以及登录成功失败等。
使用VictoriaLogs+filebeat实现日志可视化
zhangjinfei49的博客
02-11 922
应用VictoriaLogs+filebeat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值