filebeat + ELK 数据生命周期日志数据拼接

最新推荐文章于 2025-08-15 16:19:47 发布
原创 最新推荐文章于 2025-08-15 16:19:47 发布 · 478 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #kafka

本文介绍了如何使用Filebeat、Kafka、Logstash和Elasticsearch搭建日志追踪系统,解决大规模接口日志分发、清洗与关联查询的问题。重点讲解了如何配置Filebeat按接口分发日志至不同Kafka topic,Logstash处理并转换为JSON格式,以及如何通过traceId查询完整业务生命周期。同时讨论了遇到的问题和解决策略,以提升性能并减轻数据库压力。

需求 -->>
同一个文件的不同接口日志存入es,通过traceId查询整个业务的生命周期;

解决方案–>>
log文件 <-- filebeat --> kafka --> logstash --> es <-- kabana 解决方案还是传统的ELK方案;

ps: 后续可以提供一个接口程序,传入指定关键字和时间,通过日志里的traceid进行关联,查询整个业务生命周期的数据;对于处理大批量(本次是100W条*4/天)的数据会比数据库快一些吧;也减轻数据库的压力,这是这次部署elk的初衷;

遇到的一些问题,以及解决方法 -->>
问题1、同一个文件的不同接口日志要首先存入到不通的topic中;
问题2、filebeat 去除无用数据,message里的信息原文存入kafka;
问题3、logstash 字符串格式转json格式存入elstaicsearch;

问题1:
– 启动多个filebeat指定不同的配置文件;测试了在同一个文件里配置几个input没有成功;

> ps -ef|grep filebeat
./filebeat -e -c 1.yaml
./filebeat -e -c 2.yaml
./filebeat -e -c 3.yaml

问题2:
– 见配置文件注解;

> cat 1.yaml
filebeat.prospectors:
- input_type: log
  paths:
    - "input logpath"
  include_lines: ['work key'] # 正则表达式,最好使用单引号(');转义用反斜杠(\)
  fields: 
    topic: {
   
   topic name} # 添加topic字段,后面可以引用;作为kafka分队列使用
...
...
output.kafka:
    hosts: ["host1:port","host2:port","host3:port"] 
    topic: '%{[fields][topic]}' # 引用字段,数据按照字段存入不同kafka;*本文情景不符合,适用于不同文件,存入不同的kafka;
    codec.format:  # 只取message字段的数据,存入kafka;正常数据会有@version、@timestamp等没有用的数据,避免了logstash需要二次修正数据;
        string: '%{[message]}'
...
...
processors:
- drop_fields: # 这里是可以删除的数据字段
   fields: ["log_type", "input_type", "offset", "beat", "source", "type"</
最低0.47元/天 解锁文章
Java日志黑洞的“全息投影”:用ELK+SkyWalking+Kafka构建零延迟观测宇宙
墨夶的博客
04-06 602
优秀的日志系统不是‘记录过去’,而是构建‘观测未来的虫洞’——每个日志都是时空连续体的全息投影!
ELK安装配置学习笔记
glisten0317的博客
08-30 1481
ELKfilebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
使用ELK堆栈进行日志聚合
最佳 Java 编程
06-11 565
1.简介 随着微服务的使用,创建稳定的分布式应用程序和摆脱许多遗留问题变得很容易。 但是微服务的使用也带来了一些挑战, 分布式日志管理就是其中之一。 由于微服务是隔离的,因此它们不共享数据库和日志文件,因此实时搜索,分析和查看日志数据变得充满挑战。 这就是ELK堆栈的救援之处。 2. ELK 它是三个开源产品的集合: 弹性搜索是基于JSON的NoSQL数据库 Logstash一个日志管...
ELK-日志多行合并和字段解析以及时间处理
CodyGuo的博客
11-08 1902
文章目录readme1.1 19/10/30 23:59:591.2 2019/10/30 16:08:171.3 2019/10/30 02:00:00.0031.4 2019-10-30 10:59:441.5 2019-10-30 15:43:56.6521.6 2019-10-30 10:59:59 133.9981.7 2019-11-08T16:56:55.520+08001.8 [2...
filebeat日志收集至ES,索引生命周期为一个月
qq_33476283的博客
08-20 2012
/1、ES创建创建删除索引策略 PUT _ilm/policy/log_delete_policy { "policy": { "phases": { "delete": { "min_age": "30d", "actions": { "delete": {} } } } } } 2、创建索引模板关联删除 PUT _template/logs_template { "index_pat...
K8s 使用helm 安装 EFK和ELK分布式日志分析系统系列(es版本:6.7.0;)
weixin_30600197的博客
09-05 2246
安装EFK文档编写: 安装elasticsearch: 1.使用helm 查找安装包 前提准备 创建 命名空间 和 创建 5个pv(3个master和2个data: master PV申请不小于5Gi,data pv申请不小于30Gi) es镜像版本:docker.elastic.co/elasticsearch/elasticsearch:6.7.0 kubectl crea...
ELK应用之Filebeat 日志采集
Kason_iWiki
01-14 724
1. Filebeat基本介绍 Filebeat是用于“转发”和“集中日志数据”的“轻量型数据采集器”。Filebeat 监视您指定的日志文 件路径,收集日志事件并将数据转发到Elasticsearch或Logstash、Redis、 Kafka等。 2. Filebeat主要组件 Filebeat包含两个主要组件:输入和收割机,这些组件协同工作将文件尾部最新事件数据发送到指 定的输出 1.输入...
日志系统搭建之路:Logback+ELK实现操作可追溯的4阶段部署方案
# 可追溯日志系统架构设计与实践 在当今复杂的分布式系统中,当线上出现一个诡异的 `500` 错误时,你是否经历过这样的场景:团队围坐在会议室里,一边刷新着监控面板,一边逐个登录不同服务器,翻找分散在各个角落...
日志篡改与反取证攻防战:区块链在数据审计中应用的4大可行性场景与挑战
随着数字化系统日益复杂,日志篡改与反取证问题严重威胁数据审计的可信性。本文系统探讨区块链技术在数据审计中的应用机制与实践路径,重点分析其不可篡改性、可追溯性及智能合约自动化等核心特性如何增强日志完整性...
filebeat+ELK收集日志安装使用指南
xiao__wangzi的博客
02-24 1514
ELK应用简介 为什么要用ELK 工作中经常会遇到一些问题,我们可以通过日志排除,发现问题根源解决问题 如果1台或者几台服务器,我们可以通过 linux命令,tail、cat,通过grep、awk等过滤去查询定位日志查问题 但是如果几十台、甚至几百台。通过这种方式肯定不现实。 ELK简介 ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,由这三个软件及其相关的组件可以打造日志实时处理系统。 Elasticsearch 是一个基于 Lucene 的、支持全文
日志加traceId
dandelion-xxx的博客
01-17 468
https://blog.youkuaiyun.com/justsomebody126/article/details/105716222 子线程无法获取traceId: isThreadContextMapInheritable=true
Filebeat 轻量级日志采集实践:安装、配置、多行合并、JSON 解析与字段处理
最新发布
m0_57194659的博客
08-15 1547
在现代分布式架构中,日志集中采集至关重要。Filebeat作为ELK轻量级采集器,广泛用于生产环境。本文基于8.2.2版本,系统讲解安装部署与核心配置,涵盖单行/多行日志采集、JSON解析、字段增强、日志过滤等实战场景,附完整示例,助力ELK新手与运维开发者高效构建日志体系。
如何利用ELK排查生产问题?
善守者
11-23 587
一、找到traceID 利用已知的一些关键字,找到请求日志,查看日志详情,找到traceID 二、利用traceID,跟踪请求过程 添加traceID过滤器,查找到整个过程的请求路径,然后排查出问题。
Logstash:为 Logstash 日志启动索引生命周期管理
Elastic 中国社区官方博客
12-07 7768
在 Elastic Stack 中,Logstash 作为一种 ETL 的摄入工具,它为大量摄入数据提供可能。Elastic Stack 提供索引生命周期管理可以帮我们管理被摄入的数据到不同的冷热节点中,并删除不需要保存的索引。在今天的文章中,我们将讲述如何为 Logstash 配置索引生命周期管理。在开始之前,建议你阅读如下的文档: Logstash:Logstash 入门教程 (一) Logstash:Logstash 入门教程 (二) Elasticsearch:Index 生命周期管理入门 .
记一次filebeat与logstash配合使用遇到的坑
hxm_Code的专栏
03-02 7778
背景 初学filebeat和logstash,于是根据官方文档,做了个最简单的filebeat采集日志,然后输出到logstash的最简配置。本以为可以愉快的输出“helloworld”的… 问题 启动配置好的filebeat和logstash,正想见证奇迹的时刻,没想到logstash启动完之后,紧接着给我来个当头棒喝,抛了下面一个很长的异常: io.netty.handler.codec.De...
logstash 将两个字段合并为一个字段的方法
QYHuiiQ
03-12 4604
https://blog.youkuaiyun.com/u011870280/article/details/80019976
Filebeat的高级配置详解
热门推荐
Jepson的博客
07-11 1万+
filebeat的配置文件在安装目录下,filebeat.yml文件 filebeat的部分主要定义prospector的列表,定义监控哪里的日志文件,关于如何定义的详细信息可以参考filebeat.yml中的注释,下面主要介绍一些需要注意的地方。 paths:指定要监...
空间日志代码_容器日志采集利器:filebeat深度剖析与实践
weixin_39688035的博客
11-30 497
在云原生时代和容器化浪潮中,容器的日志采集是一个看起来不起眼却又无法忽视的重要议题。对于容器日志采集我们常用的工具有filebeat和fluentd,两者对比各有优劣,相比基于ruby的fluentd,考虑到可定制性,我们一般默认选择golang技术栈的filbeat作为主力的日志采集agent。 相比较传统的日志采集方式,容器化下单节点会运行更多的服务,负载也会有更短的生命周期,而这些更容易对日...
Filebeat modules 你真正理解了吗?
叱咤少帅的博客
04-09 6565
需求 比如我们有这样一个需求,我们需要把 Nginx的 access 日志采集到ElasticSearch,并且能细粒度化的控制。换句话说 我们需要切分Nginx的日志,比如remote_addr,upstream_response_time 等需要切成JSON格式。 分析 对于这个需求,我们自然想到如下几个方案: (1)把 Access日志 定义成logstash_json,...
filebeat + elk
04-12
Filebeat是一个轻量级的日志数据收集器,用于将日志数据从各种来源(如文件、系统日志、网络等)发送到Elasticsearch或Logstash进行集中存储和分析。ELK则是指Elasticsearch、Logstash和Kibana的组合,用于实现日志的收集、存储和可视化分析。 具体来说,Filebeat通过监控指定的日志文件或位置,实时读取日志数据,并将其发送到Elasticsearch或Logstash进行处理。它可以根据配置文件中定义的规则,对日志数据进行解析和转换,以便更好地进行搜索和分析。 ELK中的Elasticsearch是一个分布式搜索和分析引擎,用于存储和索引大量的日志数据。它提供了强大的搜索和聚合功能,可以快速地检索和分析日志数据。 Logstash是一个用于数据收集、转换和传输的开源工具。它可以从各种来源(如Filebeat、Beats、JDBC等)接收数据,并对数据进行过滤、解析和转换,然后将其发送到Elasticsearch进行存储。 Kibana是一个用于可视化和分析日志数据的开源工具。它提供了丰富的图表、仪表盘和搜索功能,可以帮助用户更直观地理解和分析日志数据。 总结起来,Filebeat负责收集日志数据,Logstash负责对数据进行处理和转换,Elasticsearch负责存储和索引数据,Kibana则提供了可视化和分析的界面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值