elk中filebeat的使用

已于 2023-07-03 17:54:50 修改
阅读量809 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: elk 文章标签: elk
于 2023-07-03 17:16:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ApexPredator/article/details/131497060
Filebeat是一个轻量级的日志收集工具,常用于实时监控和传输主机日志到Elasticsearch、Logstash等。在大规模日志处理中,它会结合消息队列如Kafka以防止日志丢失。文章详细介绍了如何配置Filebeat将日志发送到Elasticsearch,包括设置日志路径、索引模板和输出配置。此外,还展示了Filebeat向Logstash和Kafka输出日志的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.前言

Filebeat是一个轻量级的开源日志数据收集器,用于将日志和文件数据从不同的来源发送到各种目的地,如Elasticsearch、Logstash和Kafka等。它是Elastic Stack(之前称为ELK Stack)的一部分,用于实时数据传输和集中式日志管理,Filebeat的主要作用是实时监控指定的日志文件或位置,以及持续不断地将新数据发送到目标位置。它可以解析各种格式的日志数据,并将其转发到配置的输出目标

在标准架构中,filebeat通常用来部署在每个需要收集日志的主机上,收集主机中的日志,然后统一发送到logstash中但在日志量大的架构中,需要加入消息队列,可以有效避免日志的丢失和避免日志量的暴涨导致logstash崩溃

2.filebeat的使用

filebeat收集日志输出到elasticsearch

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:
- type: log    #定义类型为log
  enabled: true     #启用该配置
  paths:           #日志的路径配置
     - /var/log/nginx/access.log
  fields:
      log_type: nginx_access       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
  json.keys_under_root: true       #输入的日志为json格式时需要配置本项与下一项参数
  json.overwrite_keys: true        
# ======================= Elasticsearch template setting =======================
setup.template.settings:
  index.number_of_shards: 1         #配置elasticsearch主分片数量,但是配置了好像无效,还是默认的一个主分片
setup.template.name: "nginx"        #这个配置项用于设置 Elasticsearch index template(索引模板) 的名称,这里设置为nginx
setup.template.pattern: "nginx-*"    #这个配置项用于设置 Elasticsearch index pattern(索引模式),这里设置为 "nginx-*",表示所有以 "nginx-" 开头的 index 都会使用这个 template
setup.template.overwrite: false      #这个配置项用于设置是否覆盖已经存在的 template。这里设置为 false,表示如果已经存在同名的 template,则不会被覆盖
setup.template.json.enabled: true    #这个配置项用于设置是否启用 JSON 格式的 template。这里设置为 true,表示使用 JSON 格式的 template
setup.template.enabled: false        #这个配置项用于设置是否启用 Elasticsearch index template。这里设置为 false,表示不使用 Elasticsearch index template(索引模板)
setup.ilm.enabled: false            #这个配置项用于设置是否启用 Index Lifecycle Management(ILM)。这里设置为 false,表示不使用 ILM
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  hosts: ["10.1.60.114:9200","10.1.60.115:9200","10.1.60.118:9200"]  #配置elasticsearch地址
  index: "%{[fields.log_type]}-%{+yyyy.MM.dd}"    #配置elasticsearch索引名称,此处使用了自定义的名称变量和时间变量作为索引名称,这样就能实现再有多个不同日志的情况下,自动创建多个不同的索引,还能根据时间自动切割每日的日志,关于多个日志的配置,下面kafka配置会展示

filebeat收集日志输出到logstash

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:   #此处配置,收集了两个不同的日志
- type: log
  enabled: true
  paths:
     - /var/log/nginx/access.log
  fields:
      log_type: nginx-access-log       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
- type: log
  enabled: true
  paths:
     - /var/log/nginx/error.log
  fields:
      log_type: nginx-error-log      #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  hosts: ["10.1.60.115:5044"]    #配置logstash地址,此端口需要根据logstash配置的填写

 logstash配置可以参考:logstash收集日志到elasticsearch_Apex Predator的博客-优快云博客

filebeat收集日志输出到kafka

vi /opt/filebeat/filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
     - /var/log/nginx/access.log
  fields:
      log_type: nginx-access-log       #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true
- type: log
  enabled: true
  paths:
     - /var/log/nginx/error.log
  fields:
      log_type: nginx-error-log      #自定义名称,在有多个日志路径的情况下,可以将日志通过自定义的名称字段区分开来,分别输入不同的elasticsearch索引中,后面kafka也会用到
  tail_files: true

# ------------------------------ kafka Output -------------------------------
#filebeat配置文件里默认是没有kafka的配置的,需要自己添加
output.kafka:
  enabled: true    #开启output到kafka
  hosts: ["10.1.60.112:9092","10.1.60.114:9092","10.1.60.115:9092"]  #配置kafka集群地址和端口
  topic: '%{[fields][topic]}'    #主题名称,通过以上自定义的字段变量分别自动写入对应的消息队列中,若是没有创建好的队列,则会自动创建,但是创建的队列只有一个分区且没有副本,建议提前根据名称在kafka创建好分区

后续的调用参考logstash:logstash收集日志到elasticsearch_Apex Predator的博客-优快云博客

ELK中安装filebeat时遇到的问题
04-22 865
Filebeat启动失败的问题ELK安装过程遇到的问题 ELK安装过程遇到的问题 在安装ELK的过程中用到了Filebeat,按照官网教程一路下来,(只是在写入es时,自定义了index)在最后启动服务的时候,启动失败。 通过查看日志找到了原因: journalctl -u filebeat.service 详解失败原因如下: 从日志中我们可以看出:在设置了index的时候,我们就必须要设置以下两项 setup.template.name: "demo" 109 setup.template.pat
filebeat 配置文件详解
无锋剑
10-21 2867
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
Filebeat 输出日志时添加客户端 IP 地址(引用变量)
杂货铺子
03-10 1万+
使用 filebeat 收集日志时,默认会添加一个 host.name 字段来标识主机,但是在主机名不是 IP 地址的情况下,这个字段不能很方便的针对 IP 地址进行筛选,所以需要在收集日志时,添加一个显示 IP 地址的字段。 添加字段可以使用 fields 模块,在这个模块下可以自定义字段,支持array ,数组等格式,也可以调用系统的环境变量: filebeat.inputs: - type: log paths: - /opt/test.log scan_frequency: 10s
filebeat7.7.0相关详细配置预览- Setup ILM
BigManing的博客
09-27 4072
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108836968 本文出自:【BigManing的博客】 Setup ILM 从7.0版开始,Filebeat在连接到支持生命周期管理的群集时默认使用索引生命周期管理。Filebeat自动加载默认策略并将其应用于Filebeat创建的任何索引。 index lifecycle management (ILM) 索引生命管理,如果它启用了,那么会忽略output.elasticsearch.
filebeat配置
wuli13141516的博客
08-27 549
如果文件正在被采集,却也falls under ignore_older,即由于设置ingored_older不合理,导致满足了ingored_older的条件,采集器也会先继续采集完,等close之后才会忽略此文件。注意:ignore_older需要大于close_inactive,确保一个正在采集的文件不会被忽略;harvester_buffer_size:单个采集器每次读取文件所占用的buffer大小,默认16kb(16384);include_lines优先于exclude_lines执行;
ELK+filebeat
12-18
在"ELK+filebeat"中,Elasticsearch负责接收和索引来自Logstash或Filebeat的日志数据,提供高效的数据检索和聚合功能。 2. **Logstash**:Logstash是一个开源的数据收集引擎,它能够从各种来源获取数据,进行过滤、...
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台
01-23
ELK+Filebeat+Kafka+ZooKeeper构建日志分析平台,架构图解
【Beats04】企业级日志分析系统ELKFilebeat 收集日志及案例三
最新发布
运维&陈同学的博客
01-03 1194
作为服务器上的代理安装,Filebeat监视您指定 的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或Logstash进行索引。filebeat 支持从日志文件,Syslog,Redis,Docker,TCP,UDP,标准输入等读取数据,对数据做简单处理,再输 出至Elasticsearch,logstash,Redis,Kafka等。启动Filebeat时,它将启动一个或多个输入源,这些输入将在为日志数据指定的位置中查找。Run Options(可选)Logging(可选)
ELK+filebeat+kafka日志收集
qq_39239712的博客
03-27 984
我们主要完成在Docker环境下部署 Filebeat 日志收集工具,他是搭建ELK日志非常重要的一部分,我们利用Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,目前我们已经完成了Fliebeat + Es +Kibana部分。
三阶段--elk日志分析(1)filebeat
qq_42944910的博客
07-13 365
新款的集中式的便捷的日志管理平台elk,通过web页面的形式,对大量日志做集中管理,划重点。 ELK架构 怎么部署的? 通过一系列工具进行信息搜集:filebeat和logstash 收集信息后,信息交到ElasticSearch(ES)集群上, 通过kibana平台来展示从ES集群中得到的信息。 Filebeat 用于收集日志的工具,根据要求发送到指定目标上。可以是机器、终端、屏幕。 需要配置,配置什么?告诉他要收集啥日志。 第一次会从每个文件的开头一直读到当前文件的最后一行。 每一行称为一个事件,格
filebeat主配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
【面试必备】图文详解:ElasticSearch实战(1)
08-05 226
exclude_lines: 排除匹配列表中的正则表达式。 include_lines:包含匹配列表中的正则表达式。 exclude_files: 排除的文件,匹配正则表达式的列表。 fields: 可选的附加字段。这些字段可以自由选择,添加附加信息到抓取的日志文件进行过滤。 multiline.pattern: 多行合并匹配规则,匹配正则表达式。 multiline.match:匹配可以设置为“after”或“before”。它用于定义是否应该将行追加到模式中在之前或之后匹配的,或者只要模式没有基于ne.
ELKfilebeat
czjnoe的博客
01-23 1383
环境 window10 版本:filebeat-7.16.3 下载: filebeathttps://www.elastic.co/cn/downloads/past-releases#filebeat beatshttps://www.elastic.co/cn/beats/ 官网文档https://www.elastic.co/guide/en/beats/filebeat/6.5/filebeat-getting-started.html#filebeat-getting-starte..
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
热门推荐
yk20091201的专栏
06-03 1万+
使用Filebeat采集JSON格式日志入库到Elasticsearch中,Mark一下第一次配置时踩过的坑。 第1坑:每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows...
ELK使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4687
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了Filebeat 、Elasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
filebeat信息采集
moyuanbomo的博客
05-22 1374
在主配置文件做修改,添加一些信息,增加 自定义输出内容(codec.format) 参数配置。在主配置文件做修改,添加一些信息,使用Processors(处理器)过滤和增强(加)数据。二、对采集的信息做处理,对一些filebeat所携带的元数据进行删除。一、对采集的信息不做处理,就保持主配置文件和子配置文件不做修改。三、只要日志数据,对filebeat所携带的元数据一律不要。主配置文件,采集到的信息放到kafka。
filebeat修改索引名称
随风飘雁
07-02 4587
需要连接到Elasticsearch才能加载索引模板。 如果输出不是Elasticsearch,则必须手动加载模板。 在Elasticsearch中,索引模板用于定义确定应如何分析字段的设置和映射。 Filebeat软件包安装了推荐的Filebeat索引模板文件。 如果您在filebeat.yml配置文件中接受默认配置,则Filebeat成功连接到Elasticsearch后将自动加载模板。 配置模板加载 默认情况下,如果启用了Elasticsearch输出,Filebeat将自动加载建议的模板文件fi.
Filebeat配置(ELK
qq_1801743621的博客
12-12 1252
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、Filebeat简介1.Filebeat是什么2.工作流程二、使用步骤1.logback配置2.Filebeat配置总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了
docker elk + filebeat
08-27
其中,FilebeatELK中的一个组件,用于收集和传输日志数据。 在使用Docker ELK搭建平台时,你可以通过执行命令"Docker run"来启动Filebeat容器。启动命令示例如下: ``` docker run -d -u root --name filebeat --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值