ELK入门(四)——logstash上传messages至ES,在Kibana检索

最新推荐文章于 2025-05-08 13:43:42 发布
最新推荐文章于 2025-05-08 13:43:42 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ELK入门 文章标签: logstash ELK Kibana messages
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Netceor/article/details/112982455
本文详细指导如何修改Logstash配置,从messages日志中提取数据,并通过Kibana展示。涉及权限调整、索引创建、Index Pattern设置以及解决重启问题和时间戳处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、修改system.conf

1.修改内容

找到logstash-sample配置文件,在/etc/logstash/文件夹下,将其复制到/etc/logstash/conf.d/文件夹下

# 转到目录
# cd /etc/logstash/

# 查看
# ls

 

# 复制
cp /etc/logstash/logstash-sample.conf  /etc/logstash/conf.d/logstash-sample.conf

接着修改conf文件的内容。我们要上传的是messages系统日志,在path中填入目录, start_position表示从开头处读取

# 内容
input {
  file {
    path => "/var/log/messages"  # 日志路径
    type => "systemlog"    # 类型
    start_position => "beginning"   # 从何处开始
    stat_interval => "2"    #监听间隔时间
    # sincedb_path => "/dev/null"
  }
}
output {
  elasticsearch {
    hosts => ["localhost:9200"]   # 修改
    index => "logstash-systemlog-%{+YYYY.MM.dd}"  # 命名索引为logstash-systemlog-年-月-日
  }
}

2.权限调整

但修改好后还不能直接运行,因为一般来说messages有权限限制,因此要重新调整权限,不然就会什么都没有发生,运行权限调整代码,然后再启动

# 修改权限
chmod 644 /var/log/messages*

# 运行
systemctl restart logstash

此时应该在elasticsearch-head生成了相应的索引

二、Kibana查看

创建Index pattern

这里的pattern name不一定要全名,也可以logstash-systemlog*,就可以将所有前缀为logstash-systemlog的一起加载,适合后续多个日期的显示

下一步的Time field选择@timestamp,也就是时间戳

如果数据成功导入,就可以显示出来了

三、其他问题

1.Logstash重启记录变少

logstash在第一次导入数据时将自动创建一个文件监控记录(sincedb),导致若是删除索引重新运行logstash会发现记录量非常少,这有两种解决办法,参见博客ELK入门——解决:删除索引,重运行logstach后messages数据量变少

2.时间戳为导入时间

在Kibana上,我们可以发现,时间戳的信息为导入的时间结点,然而我们想要时间戳匹配的是日志生成时间,这就需要用到grok+data,匹配信息中的时间,并将时间戳修改,参见博客ELK入门(五)——messages日志生成时间替换时间戳(grok+data)

3.Logstash重启报错

Address already in use

错误信息很明显告诉我们是该端口已经被占用了,这可能是因为ctrl+C,因此我们结束此进程,重新启动

# 结束进程
systemctl stop logstash

# 查看
# ps -ef |grep logstash

# 结束
# kill -9 XXXX

 

参考博客:

ELK实战之Kibana部署及message日志收集

使用logstash传输处理日志输出到ES,再通过Kibana做分析
shichengcheng_scc的博客
12-16 1208
目前发现网上找到了大部分kibana操作都是旧版本,已不适用于新版本的kibana操作和使用 (且发现部分数据处理过程中跟现有部分日志内容脱节) 本文重点是传输日志+处理数据+kibana操作 (对于ES+kibana搭建以及logstash原理不多做介绍) 重点内容 传输日志=logstash使用以及基本的操作规范,sincedb_path意义和常见问题。 数据处理=logstash导入输出的过程中有2个要点必须明确 1、filter grok正则,把数据导入过程中分不同的类,用于kibana数据分类处理
ELK【elasticsearch+logstash+kibana】企业级日志分析系统
shanjun12的博客
04-09 1025
ELK【elasticsearch+logstash+kibana】企业级日志分析系统
logstash-messages.conf
05-09
ELK logstash 通用配置。add_field => {"beatType" => "metricbeat"} add_field => {"beatType" => "filebeat"} match => ["logtime2","yyyyMMdd HH:mm:ss,SSS","yyyy-MM-dd HH:mm:ss.SSS","ISO8601"]
logstash7.15.1 导入ngnix日志在kibana根据ip在地图进行统计展示
liaomingwu的专栏
03-05 775
logstash7.15.1 导入ngnix日志在kibana根据ip在地图进行统计展示
[排查] “Address already in use“ / 端口已被占用?快速定位并解决 Linux 端口冲突问题
最新发布
L18637178596的博客
05-08 1417
在深入排查之前,我们先花一分钟快速回顾一下“端口”是个啥。想象一下你的服务器是一栋巨大的办公楼,里面有很多部门(各种应用程序和服务)。当外界(比如用户的浏览器)想找某个特定部门(比如 Web 服务部门)办事时,它不能只知道大楼的地址(服务器 IP 地址),还得知道这个部门具体的“分机号码”或“房间号”,才能准确地找到它。这个“分机号码”或“房间号”,就是**网络端口 (Port)**。端口号是一个 16 位的数字,范围从 0 到 65535。
ELK kibana查询与过滤
热门推荐
yzx3105的博客
06-07 1万+
Kibana拆分字段的时候,可能是根据空格拆分的。 例如:nested exception is java.net.SocketTimeoutException: Read timed out , 单独搜索 nested ,exception 都可以,但单独搜索 SocketTimeoutException 是搜不到的。 但是java.net.SocketTimeoutException可以搜索到。 1. 使用双引号包起来作为一个短语搜索: “like Gecko” 2. ? 匹配单个字符; * 匹配0到
使用logstash把mysql同步到esKibana可视化查看
justleavel的博客
02-09 1971
Logstash下载地址:https://www.elastic.co/cn/downloads/logstash
ELK 圣经:Elasticsearch、LogstashKibana入门到精通
架构师尼恩
11-21 984
ELK指的是Elastic公司下面Elasticsearch、LogstashKibana三大开源框架首字母大写简称。Elasticsearch、LogstashKibana三大开源框架首字母大写简称。是一个用于将 Java 应用程序的日志输出转换为 Logstash 可解析的 JSON 格式的库。
企业级日志分析系统ELK(Elasticsearch , Logstash, Kibana
Z__Cheng的博客
07-04 1715
企业级日志分析系统ELK(Elasticsearch , Logstash, Kibana
最新ELK(Elasticsearch、KibanaLogstash )账号密码版(及各种踩坑)
weixin_44666439的博客
11-11 2622
ELK是Elasticsearch、LogstashKibana的简称,是近乎完美的开源实时日志分析平台。
ELK(ElasticSearch, Logstash, Kibana)
weixin_44717560的博客
03-29 2818
ELK一、ELK介绍1.ELK简介2.elasticsearch安装与配置 一、ELK介绍 1.ELK简介 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布
ELK安装,logstash发送日志到ES并自动创建索引,自动读取日志文件发送到es
qq_40310480的博客
03-10 5933
我自己买的云服务器运存是2G,运行完ES之后就跑不起来Kibana了,所以我的ES在linux跑的,然后Kibanalogstash是在windows上面跑的,这个没有关系,修改一下Kibana的配置文件就行了,稍后会提到 1:下载所需组件,ES,Kibanalogstash 2:配置启动ES,这块的过程可以参考这篇,安装完之后启动 linux安装部署Elasticsearch 3:启动Kib...
2种方式将日志同步ES中并且用kibana展示
点点的博客
10-26 3928
零、前提 0.1 配置es 解压文件 tar zxvf elasticsearch-6.2.2.tar.gz 由于es不能用root账户启动,所以需要添加一个非root账户 useradd es 修改es文件夹的权限 chown -R es:es elasticsearch-6.2.2 修改配置文件 vi /usr/local/elasticsearch-6.2.2/config/elas...
ELK整合实战,filebeat和logstash采集SpringBoot项目日志发送至ES
qq_44027353的博客
08-16 2663
但此时,我们并没有开启并配置Logstash,所以FileBeat是无法连接到Logstash的。默认字段经过date插件处理后,会输出到@timestamp字段,所以,我们可以通过修改target属性来重新定义输出字段。例如:时间、日志级别、哪个类打印的日志、日志具体内容。在Logstash中可以配置过滤器Filter对采集到的数据进行过滤处理,Logstash中有大量的插件可以供我们使用。但注意,要在index中使用时间格式化,filter的输出必须包含 @timestamp字段,否则将无法解析日期。
logstash收集日志到es
weixin_39318540的博客
08-24 1057
配置文件地址:/home/elk/work/logstash-6.2.3/config vim nginx.conf input { file { # 指定一个文件作为输入源 path => "/usr/local/nginx/logs/access.log" # 指定文件的路径 start_position => "beginning" # 指定何时开始收集 type => "nginx-access" # 定义日志类型,可自定义 } file { # 指定一个文件.
五分钟带你玩转Elasticsearch(十七)企业实战——logstash拆分message
小鲍侃java
01-20 5736
楼主这有一个需求:搜索日志跟分为:接口名,入参,请求类型等字段返回 这里使用了grok /logstash/bin下的配置文件 DATA:为文字类型 不包含_,:等特殊符号 GREEDYDATA:为文字类型 可以包含_,:等符号 注意:如果时间类型 如2021-01-19 17:28:41匹配不到 ,需要更改为GREEDYDATA grok { match => {"message" => "\|%{DATA:userName}\|%{GREEDYDATA
logstash收集日志输出到es通过kibana做日志分析
Learn From The Masters
03-31 1906
一、安装logstash, es, kibana 二、配置应用 1. 配置pom.xml,增加 <dependency> <groupId>net.logstash.logback</groupId> <artifactId>logstash-logback-encoder</artifactId> <version>7.0.1</versio
elk-logstash 读取日志(2): messages和log日志生成时间替换时间戳
qq_33834493的博客
05-20 1328
目前日志: 2021-05-20 14:26:34.817 [http-nio-9031-exec-9] INFO com.abutment.producer.RocketMqHelper.sendMessage - >>>>生产者发送topic为: dispatch_topic msgId: AC1188CD08496B884D5764F234ACDB4E tag: GID_91610000786990367Y 2021-05-20 14:26:34.817 [http-n...
elasticsearch logstash kibann配置
csdn_key的博客
04-06 312
@elasticSearch、logstashKibana 全文搜索三大件 elasticEearch:分布式式搜索引擎 logstash:是一个具有实时管道功能的开源数据收集引擎,负责从第三方数据源爬取数据 kibana:是为 Elasticsearch设计的开源分析和可视化平台 注:三大件下载版本要一致,官网上统一提供下载(但是卡卡) 环境要求 1.三大件是有java环境开发出来的,需要安装...
elk日志
04-19
### ELK 日志处理、配置与使用 #### 1. ELK 的基本概念 ELK 是 Elastic Stack 的缩写,由 Elasticsearch、LogstashKibana 组成。Elasticsearch 负责存储和检索数据;Logstash 提供强大的日志收集、解析功能;Kibana 则用于可视化展示数据分析结果。 #### 2. 系统日志路径及其分类 系统日志通常位于 `/var/log` 目录下[^1],其中包括但不限于 `messages` 文件(记录系统运行状态)、`secure` 文件(安全事件)。程序和服务应用日志则可能分布在不同的目录中,例如 Nginx 日志默认存放在 `/var/log/nginx/access.log` 或 `/var/log/nginx/error.log` 中[^1]。 #### 3. Logstash 安装与基础命令 安装 Logstash 可通过 RPM 包完成,具体操作如下: ```bash rpm -ivh logstash-5.5.1.rpm ``` 启动 Logstash 使用 systemd 命令: ```bash systemctl start logstash ``` 为了便于管理,可以创建软链接以便快速访问 Logstash 工具: ```bash ln -s /usr/share/logstash/bin/logstash /usr/local/bin ``` 测试环境是否正常工作可以通过简单的输入输出管道验证其功能[^2]。 #### 4. 配置文件编写 Logstash 的核心在于配置文件的设计。以下是一个典型的配置文件结构示例: ```plaintext input { file { path => "/var/log/*.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{HOSTNAME:host} %{DATA:message}" } } } output { elasticsearch { hosts => ["http://localhost:9200"] } } ``` 此配置定义了一个从指定路径读取日志文件的流程,并利用 Grok 插件提取有用字段后发送至本地运行的 Elasticsearch 实例[^3]。 #### 5. 数据流概述 整个过程大致分为三步:首先是 **Input** 阶段获取原始数据源;接着进入 **Filter** 层面清洗转换这些信息;最后到达 **Output** 将最终成果推送到目标位置如数据库或者搜索引擎索引里去[^3]。 #### 6. 排查问题技巧 当遇到无法预期的行为时,应优先检查以下几个方面: - 是否正确指定了要监控的日志文件; - Filter 规则是否匹配实际格式; - Output 设置的目标地址可达性和权限设置情况。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值