ELK入门(八)——Logstash多beat配置(以Filebeat、Metricbeat为例)

最新推荐文章于 2025-08-24 01:40:23 发布
原创 最新推荐文章于 2025-08-24 01:40:23 发布 · 4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ELK #beat #logstash #filebeat #metricbeat

本文介绍了使用ELK栈配置多种数据采集器的方法,包括通过多端口、添加tag及利用logstash.yml表达式实现不同beat的数据区分。适用于希望了解如何有效配置ELK收集多种类型日志数据的读者。

之前的文章中我们用Filebeat连接Logstash实现了到es的传输,但如果我们有多种采集器(beat)时,该如何配置呢。我尝试了几种方法

一、多端口(不推荐)

在之前文章中,我们的Filebeat和Logstash之间通过5044端口进行传输,如果想要不同的beat,可以开设不同的端口号,例如Filebeat为5044,Metricbeat为5043。

1.配置logstash

vim /etc/logstash/conf.d/logstash-sample.conf
input {
  beats {
    add_field => {"beatType" => "filebeat"}
    port => 5044
  }
  beats {
    add_field => {"beatType" => "metricbeat"}
    port => "5043"
  }
}

# 日志添加  remote_ip字段=>IP地址  来作为不同被监控服务器的标识
filter{
  mutate{
    add_field => {"remote_ip" => "%{[@metadata][ip_address]}"}
  }
}


output {
  if [beatType] == "filebeat" {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "filebeat-logstash-test"
    }
  }
  if [beatType] == "metricbeat" {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "metricbeat-logstash-test"
    }
  }
}

2.配置filebeat

vim /etc/filebeat/filebeat.yml

这个没有什么需要改变的,直接按原本的就好,如果没有配置过则回顾ELK入门(六)——Filebeat安装与启动(rpm包)+logstash(rpm包) 

3.配置metricbeat

在上一节中我们只尝试了metricbeat直接传到elasticsearch,所以这里要重新配置一下。

vim /etc/metricbeat/metricbeat.yml

以下只列出调整过的内容

reload.enabled: true
setup.dashboards.enabled: true

 ②output中注释elasticsearch,启用logstash

4.重启

重启logstash和beats

systemctl restart logstash
systemctl restart filebeat
systemctl restart metricbeat

发现在head上已经显示出这两个索引了

这里filebeat读取的内容很少,是因为已经有了采集过的记录,想要从头开始导入可参见博客ELK入门——解决:删除索引,重运行logstach后messages数据量变少

二、加入tag,输出判断(少量时推荐)

多端口配置这是一种方法,不过当采用多种采集器的时候,难道要给每个采集器都分配一个端口么,这显然是不太合理的,配置过程也非常麻烦,可移植性低。因此还有另外一种方法,就是给每种beat在配置文件中分配好tag,用if [tag]=="" 来区分不同的采集器。

我们先删除方法一中生成的索引,然后同样的,需要对logstash和beat进行相关配置。

1.配置filebeat

vim /etc/filebeat/filebeat.yml
reload.enabled: true

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression


tags: ["filebeat_messages"]

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

2.配置metricbeat

vim /etc/metricbeat/metricbeat.yml
reload.enabled: true

setup.template.settings:
  index.number_of_shards: 1
  index.codec: best_compression


tags:["metricbeat_system"]

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

3.配置logstash

vim /etc/logstash/conf.d/logstash-sample.conf
nput {
  beats {
    port => 5044
  }
}

output {
  if "filebeat_messages" in [tags] {
     elasticsearch {
        hosts => ["http://local:9200"]
        index => "filebeat_logstash_test"
     }
  }
  if "metricbeat_system" in [tags] {
       elasticsearch {
          hosts => ["http://localhost:9200"]
          index => "metricbeat_logstash_test"
       }
    }
  # elasticsearch {
  #   hosts => ["http://localhost:9200"]
  #   index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  # }
}

4.启动

systemctl restart logstash
systemctl restart filebeat
systemctl restart metricbeat

查看head,有索引成功生成

这两种方法掌握后更多的beat其实也是相类似的配置方法

三、logstash.yml表达式区分(推荐)

还有一种方法及其简单,我在后面的博客进行了应用,可以参见ELK入门(十)——Beats的多服务器/系统部署(以Metricbeat为例)并Kibana查看

只修改logstash.yml即可

input {
  beats {
    port => 5044
  }
}

output {
  elasticsearch  {
    hosts => ["172.31.131.224:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-test"
  }
}

通过这段语句,可以区分开不同beat的不同版本 

重运行logstash后会发现head生成索引了,因为此时我有三种采集器在采集,所以也生成了三个采集器的索引。

 

参考博客

安装部署ELK教程 (Elasticsearch+Kibana+Logstash+Filebeat+Metricbeat) 基于7.9.3版本

Logstash多beat数据源配置

单个logstash文件收集filebeat日志
渐行渐远的博客
04-26 334
一 背景说明 我现在安装了logstash,只配置了一个文件,想同时收集nginx和java的日志,nginx要显示ip,国家城市,状态码,等,java要显示日志的具体内容。 二 nginx filebeat设置 filebeat.inputs: # 收集 nginx 日志 - type: log enabled: true paths: - /var/log/nginx/*....
ElasticStack技术栈(一):FilebeatMetricbeat
菜鸡也有大佬梦
11-16 1698
一.安装Kibana windows环境 安装node环境(kibana要有node环境) 下载node的msi安装文件(https://nodejs.org/en/) 链接:https://pan.baidu.com/s/1l6UVjO_70rXVXGSDy1kWOA 提取码:xofu 复制这段内容后打开百度网盘手机App,操作更方便哦 下载nvm-noinstall 链接:h...
ELKB Logstash+Filebeats配置文件
01-14
Logstash配置文件包括grok,字段分隔,字段移除,日志中日期替换@timestamp,动态索引根据日志日期生成等等...... Filebeat日志行合并,日志分类索引等等...... 注意修改配置文件中关于Logstash及Elasticsearch的IP地址的配置
Logstashbeat数据源配置
qq_27548447的博客
08-06 4668
Logstash配置不同服务器beat 环境配置: 被监控服务器OS:windows7 centos logstash版本      :6.2.4 logstash Doc       : https://www.elastic.co/guide/en/logstash/current/index.html 配置input 配置了metric和packetbeat两种b...
ELK日志分析平台()----metricbeatfilebeat
weixin_62615875的博客
12-25 1975
目录 1.metricbeat的健康检测 安装 使用内部收集​​​ 最终效果 (禁用掉内部收集)​​ 2.结合filebeat 安装filebeat 1.metricbeat的健康检测 安装 metricbeat-7.6.1-x86_64.rpm ##三台主机每一台都必须有metricbeat rpm -ivh metricbeat-7.6.1-x86_64.rpm #三台主机全部安装metricbeat [root@server1 metricbeat]# vim /etc/.
ELK入门(十)——Beats的服务器/系统部署(以Metricbeat)并Kibana查看
Netceor的博客
01-27 805
一、机器安装Metricbeat 这个前面已经练习过很次了,就不重复了 二、logstash.yml配置 input { beats { port => 5044 } } output { elasticsearch { hosts => ["172.31.131.224:9200"] index => "%{[@metadata][beat]}-%{[@metadata][version]}-test" } } 通过这段语句,
ELK入门(七)——Metricbeat安装与启动(rpm包)
Netceor的博客
01-26 2676
a https://blog.youkuaiyun.com/u014773389/article/details/81207017
ELK入门(九)——Heartbeat安装与配置
Netceor的博客
01-27 2622
a
基于Java的Elasticsearch入门学习与ELK技术实践
Beats”是一系列轻量级的数据发送器(如FilebeatMetricbeat等),用于从不同来源采集日志或指标并发送至Logstash或直接输入Elasticsearch。“Spring配置”表明项目采用了Spring框架进行Bean管理,特别是通过`@...
AI故障预测系统的日志分析:架构设计如何结合ELK+ML?实战指南
最新发布
AI 算法实战派
08-24 485
被动响应:故障发生后才通过告警发现,已造成损失;规则滞后:新故障模式无法被旧规则覆盖(如新型软件漏洞、硬件老化前兆);规模瓶颈:日均PB级日志下,人工定义规则成本高、覆盖率低(某金融机构曾投入5人团队维护2000+规则,仍漏报30%关键故障)。此时,AI/机器学习(ML)成为破局关键:通过对历史日志的学习,ML模型能自动识别故障前兆模式,实现“事前预测”;而ELK栈(Elasticsearch+Logstash+Kibana)作为日志处理的事实标准,提供了从采集、存储、分析到可视化的全链路能力。
filebeat+metricbeat.zip
05-12
包里有filebeat的rpm包和tar包,以及metricbeat的rpm包。资源下载太慢,自己下载打包。这里分享给需要的朋友。都是7.5.1版本
日志检测-filebeat+logstash-整理.docx
07-24
filebeat收集日志,转发给logstash过滤整理成json.再转发给socket server处理业务逻辑
ELK日志分析平台()----metricbeatfilebeat
qwerty1372431588的博客
03-15 714
补充1. metricbeat2. 1. metricbeat [root@server2 ~]# vim /etc/elasticsearch/elasticsearch.yml ##编辑配置文件,紧接这xpack实验做 [root@server2 ~]# systemctl start elasticsearch.service ##启动es服务,每个集群都要启动 [root@server2 ~]# cat /var/log/elasticsearch/my-es.log ##查看日志信息
filebeat+logstash配置
Baron_ND的博客
10-29 7504
Logstash依赖于JVM,在启动的时候大家也很容易就能发现它的启动速度很慢很慢,但logstash的好处是支持很类型的插件,支持对数据做预处理。而filebeat很轻量,前身叫logstash-forward,是使用Golang开发的,所以不需要有java依赖,也很轻量,占用资源很小,但功能也很少,不支持对数据做预处理。因此一般都是将filebeat+logstash组合使用,在每个节点部署filbeat,然后将监控的日志推送到数据缓冲层或直接推送到logstash集群内,配合redis或kafka做
Filebeat + Logstash 配置
m0_60491538的博客
02-16 1908
使用Filebeat配置Logstash
danpob13624的博客
04-06 1480
配置ELK堆栈以分析Apache Tomcat日志的文章中,我们配置Logstash从目录中提取数据,而在本文中,我们将配置Filebeat将数据推送到Logstash。 在配置之前,让我们简要介绍为什么需要Filebeat。 为什么要使用FilebeatFilebeat有助于分散服务器的位置,从而从处理日志的位置生成日志,从而分担一台计算机的负载。 现在,让我们从配置开始,...
logstash5.x 配置beats 后 telnet连接一次后中断。
问道至简
04-23 829
项目中logstash , input 选用 beats 做消息收集器, 然后通过 telnet 测试下通不通。 发现连接上,输入消息,回车立刻被踢出 telnet 终端。 原因: 坑1 beat 采用了一定协议方式。telnet 直连不满足协议,所以被中断。 解决办法改用tcp方式测试。然后再换回 beat坑2 beats 与 tcp 方式有几处配置不太相同,如果 beats
Elastic Stack之Logstash & Beats
Rainbow
07-04 294
一文快速上手Logstash
分享ELK监控工具FilebeatMetricbeat 7.5.1版
ELK栈指的是Elasticsearch、Logstash和Kibana的组合,而FilebeatMetricbeat是Elastic Stack(之前称为ELK Stack)的一部分,它们在日志数据和指标数据的收集过程中起着至关重要的作用。 首先,Filebeat是专为轻量...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值