elk中filebeat的使用

原创 已于 2023-07-03 17:54:50 修改 · 878 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk

于 2023-07-03 17:16:09 首次发布
Filebeat是一个轻量级的日志收集工具,常用于实时监控和传输主机日志到Elasticsearch、Logstash等。在大规模日志处理中,它会结合消息队列如Kafka以防止日志丢失。文章详细介绍了如何配置Filebeat将日志发送到Elasticsearch,包括设置日志路径、索引模板和输出配置。此外,还展示了Filebeat向Logstash和Kafka输出日志的配置方法。

1.前言

Filebeat是一个轻量级的开源日志数据收集器,用于将日志和文件数据从不同的来源发送到各种目的地,如Elasticsearch、Logstash和Kafka等。它是Elastic Stack(之前称为ELK Stack)的一部分,用于实时数据传输和集中式日志管理,Filebeat的主要作用是实时监控指定的日志文件或位置,以及持续不断地将新数据发送到目标位置。它可以解析各种格式的日志数据,并将其转发到配置的输出目标

在标准架构中,filebeat通常用来部署在每个需要收集日志的主机上,收集主机中的日志,然后统一发送到logstash中但在日志量大的架构中,需要加入消息队列,可以有效避免日志的丢失和避免日志量的暴涨导致logstash崩溃

2.filebeat的使用

filebeat收集日志输出到elasticsearch

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:
- type: log    #定义类型为log
  enabled: true     #启用该配置
  paths:           #日志的路径配置
     - /var/log/nginx/access.log
  fields:
      log_type: nginx_access       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
  json.keys_under_root: true       #输入的日志为json格式时需要配置本项与下一项参数
  json.overwrite_keys: true        
# ======================= Elasticsearch template setting =======================
setup.template.settings:
  index.number_of_shards: 1         #配置elasticsearch主分片数量,但是配置了好像无效,还是默认的一个主分片
setup.template.name: "nginx"        #这个配置项用于设置 Elasticsearch index template(索引模板) 的名称,这里设置为nginx
setup.template.pattern: "nginx-*"    #这个配置项用于设置 Elasticsearch index pattern(索引模式),这里设置为 "nginx-*",表示所有以 "nginx-" 开头的 index 都会使用这个 template
setup.template.overwrite: false      #这个配置项用于设置是否覆盖已经存在的 template。这里设置为 false,表示如果已经存在同名的 template,则不会被覆盖
setup.template.json.enabled: true    #这个配置项用于设置是否启用 JSON 格式的 template。这里设置为 true,表示使用 JSON 格式的 template
setup.template.enabled: false        #这个配置项用于设置是否启用 Elasticsearch index template。这里设置为 false,表示不使用 Elasticsearch index template(索引模板)
setup.ilm.enabled: false            #这个配置项用于设置是否启用 Index Lifecycle Management(ILM)。这里设置为 false,表示不使用 ILM
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  hosts: ["10.1.60.114:9200","10.1.60.115:9200","10.1.60.118:9200"]  #配置elasticsearch地址
  index: "%{[fields.log_type]}-%{+yyyy.MM.dd}"    #配置elasticsearch索引名称,此处使用了自定义的名称变量和时间变量作为索引名称,这样就能实现再有多个不同日志的情况下,自动创建多个不同的索引,还能根据时间自动切割每日的日志,关于多个日志的配置,下面kafka配置会展示

filebeat收集日志输出到logstash

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:   #此处配置,收集了两个不同的日志
- type: log
  enabled: true
  paths:
     - /var/log/nginx/access.log
  fields:
      log_type: nginx-access-log       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
- type: log
  enabled: true
  paths:
     - /var/log/nginx/error.log
  fields:
      log_type: nginx-error-log      #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  hosts: ["10.1.60.115:5044"]    #配置logstash地址,此端口需要根据logstash配置的填写

 logstash配置可以参考:logstash收集日志到elasticsearch_Apex Predator的博客-优快云博客

filebeat收集日志输出到kafka

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
     - /var/log/nginx/access.log
  fields:
      log_type: nginx-access-log       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
- type: log
  enabled: true
  paths:
     - /var/log/nginx/error.log
  fields:
      log_type: nginx-error-log      #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true

# ------------------------------ kafka Output -------------------------------
#filebeat配置文件里默认是没有kafka的配置的,需要自己添加
output.kafka:
  enabled: true    #开启output到kafka
  hosts: ["10.1.60.112:9092","10.1.60.114:9092","10.1.60.115:9092"]  #配置kafka集群地址和端口
  topic: '%{[fields][topic]}'    #主题名称,通过以上自定义的字段变量分别自动写入对应的消息队列中,若是没有创建好的队列,则会自动创建,但是创建的队列只有一个分区且没有副本,建议提前根据名称在kafka创建好分区

后续的调用参考logstash:logstash收集日志到elasticsearch_Apex Predator的博客-优快云博客

ELK+filebeat
12-18
在"ELK+filebeat"中,Elasticsearch负责接收和索引来自Logstash或Filebeat的日志数据,提供高效的数据检索和聚合功能。 2. **Logstash**:Logstash是一个开源的数据收集引擎,它能够从各种来源获取数据,进行过滤、...
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
三阶段--elk日志分析(1)filebeat
qq_42944910的博客
07-13 395
新款的集中式的便捷的日志管理平台elk,通过web页面的形式,对大量日志做集中管理,划重点。 ELK架构 怎么部署的? 通过一系列工具进行信息搜集:filebeat和logstash 收集信息后,信息交到ElasticSearch(ES)集群上, 通过kibana平台来展示从ES集群中得到的信息。 Filebeat 用于收集日志的工具,根据要求发送到指定目标上。可以是机器、终端、屏幕。 需要配置,配置什么?告诉他要收集啥日志。 第一次会从每个文件的开头一直读到当前文件的最后一行。 每一行称为一个事件,格
filebeat 配置文件详解
无锋剑
10-21 2909
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
Filebeat 输出日志时添加客户端 IP 地址(引用变量)
杂货铺子
03-10 1万+
使用 filebeat 收集日志时,默认会添加一个 host.name 字段来标识主机,但是在主机名不是 IP 地址的情况下,这个字段不能很方便的针对 IP 地址进行筛选,所以需要在收集日志时,添加一个显示 IP 地址的字段。 添加字段可以使用 fields 模块,在这个模块下可以自定义字段,支持array ,数组等格式,也可以调用系统的环境变量: filebeat.inputs: - type: log paths: - /opt/test.log scan_frequency: 10s
filebeat7.7.0相关详细配置预览- Setup ILM
BigManing的博客
09-27 4196
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108836968 本文出自:【BigManing的博客】 Setup ILM 从7.0版开始,Filebeat在连接到支持生命周期管理的群集时默认使用索引生命周期管理。Filebeat自动加载默认策略并将其应用于Filebeat创建的任何索引。 index lifecycle management (ILM) 索引生命管理,如果它启用了,那么会忽略output.elasticsearch.
Filebeat注入环境变量方案
最新发布
干就完了!!!
06-16 371
本文针对 filebeat 8.11.0。
ELK+filebeat+kafka日志收集
qq_39239712的博客
03-27 1114
我们主要完成在Docker环境下部署 Filebeat 日志收集工具,他是搭建ELK日志非常重要的一部分,我们利用Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,目前我们已经完成了Fliebeat + Es +Kibana部分。
ELK + Filebeat + Spring Boot:日志分析入门与实践(二)
孟林洁的博客
10-29 1367
Filebeat高效地采集本地项目日志,随后通过Logstash进行深度解析与格式化处理,再将处理后的日志数据上传至Elasticsearch进行高效存储与索引。的权限中移除组(group)和其他用户(others)的写(write)权限,于提高文件的安全性,防止未经授权的修改。问题:这里我的Grok配置一直未生效,后面发现是项目中logback.xml配置了高亮。如果输出到es,注意配置具有写权限的用户,否则报错401,参考上篇文章。有些特殊字符用“\”进行转移,空格比较严谨,如果未匹配要检查空格。
Docker 搭建 ELK + filebeat
m0_37606574的博客
12-27 780
参考:https://www.linuxprobe.com/docker-deploy-elk-filebeat.html 1. 下载官方镜像 $ docker pull elasticsearch $ docker pull logstash $ docker pull kibana 2.
filebeat主配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
filebeat配置
wuli13141516的博客
08-27 609
如果文件正在被采集,却也falls under ignore_older,即由于设置ingored_older不合理,导致满足了ingored_older的条件,采集器也会先继续采集完,等close之后才会忽略此文件。注意:ignore_older需要大于close_inactive,确保一个正在采集的文件不会被忽略;harvester_buffer_size:单个采集器每次读取文件所占用的buffer大小,默认16kb(16384);include_lines优先于exclude_lines执行;
ELK中安装filebeat时遇到的问题
04-22 930
Filebeat启动失败的问题ELK安装过程遇到的问题 ELK安装过程遇到的问题 在安装ELK的过程中用到了Filebeat,按照官网教程一路下来,(只是在写入es时,自定义了index)在最后启动服务的时候,启动失败。 通过查看日志找到了原因: journalctl -u filebeat.service 详解失败原因如下: 从日志中我们可以看出:在设置了index的时候,我们就必须要设置以下两项 setup.template.name: "demo" 109 setup.template.pat
ELKfilebeat
czjnoe的博客
01-23 1429
环境 window10 版本:filebeat-7.16.3 下载: filebeathttps://www.elastic.co/cn/downloads/past-releases#filebeat beatshttps://www.elastic.co/cn/beats/ 官网文档https://www.elastic.co/guide/en/beats/filebeat/6.5/filebeat-getting-started.html#filebeat-getting-starte..
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
热门推荐
yk20091201的专栏
06-03 1万+
使用Filebeat采集JSON格式日志入库到Elasticsearch中,Mark一下第一次配置时踩过的坑。 第1坑:每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows...
Filebeat配置之加载Elasticsearch索引模板
ailiu5970的博客
06-05 5025
加载Elasticsearch索引模板 配置文件的setup.template部分filebeat.yml指定用于在Elasticsearch中设置映射的索引模板,如果启用了模板加载(默认设置),则filebeat会在成功连接到Elasticsearch后自动加载索引模板。 note:加载索引模板需要连接到Elasticsearch,如果输出是Logstash,则必须手动加载模板。 ...
ELK使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4833
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了Filebeat 、Elasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
filebeat信息采集
moyuanbomo的博客
05-22 1439
在主配置文件做修改,添加一些信息,增加 自定义输出内容(codec.format) 参数配置。在主配置文件做修改,添加一些信息,使用Processors(处理器)过滤和增强(加)数据。二、对采集的信息做处理,对一些filebeat所携带的元数据进行删除。一、对采集的信息不做处理,就保持主配置文件和子配置文件不做修改。三、只要日志数据,对filebeat所携带的元数据一律不要。主配置文件,采集到的信息放到kafka。
docker elk + filebeat
08-27
Docker ELK是指使用Docker容器化技术搭建的ELK(Elasticsearch、Logstash和Kibana)日志分析平台。其中,FilebeatELK中的一个组件,用于收集和传输日志数据。 在使用Docker ELK搭建平台时,你可以通过执行命令"Docker run"来启动Filebeat容器。启动命令示例如下: ``` docker run -d -u root --name filebeat --net somenetwork -v /var/log/logapp:/var/log/logapp:rw -v /mydata/docker/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro elastic/filebeat:7.16.1 ``` 这个命令会在Docker中启动一个名为"filebeat"的容器,并将日志文件夹和配置文件夹挂载到容器中。 如果需要启动多个Filebeat容器,只需要指定不同的外挂地址即可,这样可以保持架构图的一致性。示例命令如下: ``` docker run -d --network elk-net --ip 172.22.1.5 --name=filebeat -v /mydata/filebeat/log/:/usr/share/filebeat/logs -v /mydata/filebeat/config/filebeat.yml:/usr/share/filebeat/filebeat.yml docker.elastic.co/beats/filebeat:7.4.2 ``` 这个命令会在Docker中启动一个名为"filebeat"的容器,并将日志文件夹和配置文件夹挂载到容器中。 要导入日志进行测试,你可以创建一个Filebeat配置文件filebeat.yml。可以使用以下命令创建配置文件: ``` touch /mydata/filebeat/config/filebeat.yml ``` 这个命令会在指定路径下创建一个名为filebeat.yml的配置文件。然后,你可以根据需要进行相应的配置,包括指定日志路径、过滤条件等。 综上所述,Docker ELK中的Filebeat是用于收集和传输日志数据的组件,在搭建平台时需要执行相应的启动命令,并可以通过创建配置文件来进行必要的配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [docker安装elk + filebeat(版本:7.16.1)](https://blog.csdn.net/paidaxinga_/article/details/122210062)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [docker搭建elk+filebeat](https://blog.csdn.net/qq_31745863/article/details/129986232)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值