filebeat + ELK 数据生命周期日志数据拼接

最新推荐文章于 2025-08-15 16:19:47 发布
原创 最新推荐文章于 2025-08-15 16:19:47 发布 · 478 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #kafka

本文介绍了如何使用Filebeat、Kafka、Logstash和Elasticsearch搭建日志追踪系统,解决大规模接口日志分发、清洗与关联查询的问题。重点讲解了如何配置Filebeat按接口分发日志至不同Kafka topic,Logstash处理并转换为JSON格式,以及如何通过traceId查询完整业务生命周期。同时讨论了遇到的问题和解决策略,以提升性能并减轻数据库压力。

需求 -->>
同一个文件的不同接口日志存入es,通过traceId查询整个业务的生命周期;

解决方案–>>
log文件 <-- filebeat --> kafka --> logstash --> es <-- kabana 解决方案还是传统的ELK方案;

ps: 后续可以提供一个接口程序,传入指定关键字和时间,通过日志里的traceid进行关联,查询整个业务生命周期的数据;对于处理大批量(本次是100W条*4/天)的数据会比数据库快一些吧;也减轻数据库的压力,这是这次部署elk的初衷;

遇到的一些问题,以及解决方法 -->>
问题1、同一个文件的不同接口日志要首先存入到不通的topic中;
问题2、filebeat 去除无用数据,message里的信息原文存入kafka;
问题3、logstash 字符串格式转json格式存入elstaicsearch;

问题1:
– 启动多个filebeat指定不同的配置文件;测试了在同一个文件里配置几个input没有成功;

> ps -ef|grep filebeat
./filebeat -e -c 1.yaml
./filebeat -e -c 2.yaml
./filebeat -e -c 3.yaml

问题2:
– 见配置文件注解;

> cat 1.yaml
filebeat.prospectors:
- input_type: log
  paths:
    - "input logpath"
  include_lines: ['work key'] # 正则表达式,最好使用单引号(');转义用反斜杠(\)
  fields: 
    topic: {
   
   topic name} # 添加topic字段,后面可以引用;作为kafka分队列使用
...
...
output.kafka:
    hosts: ["host1:port","host2:port","host3:port"] 
    topic: '%{[fields][topic]}' # 引用字段,数据按照字段存入不同kafka;*本文情景不符合,适用于不同文件,存入不同的kafka;
    codec.format:  # 只取message字段的数据,存入kafka;正常数据会有@version、@timestamp等没有用的数据,避免了logstash需要二次修正数据;
        string: '%{[message]}'
...
...
processors:
- drop_fields: # 这里是可以删除的数据字段
   fields: ["log_type", "input_type", "offset", "beat", "source", "type"</
最低0.47元/天 解锁文章
Java日志黑洞的“全息投影”:用ELK+SkyWalking+Kafka构建零延迟观测宇宙
墨夶的博客
04-06 602
优秀的日志系统不是‘记录过去’,而是构建‘观测未来的虫洞’——每个日志都是时空连续体的全息投影!
ELK安装配置学习笔记
glisten0317的博客
08-30 1481
ELKfilebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
K8s 使用helm 安装 EFK和ELK分布式日志分析系统系列(es版本:6.7.0;)
weixin_30600197的博客
09-05 2246
安装EFK文档编写: 安装elasticsearch: 1.使用helm 查找安装包 前提准备 创建 命名空间 和 创建 5个pv(3个master和2个data: master PV申请不小于5Gi,data pv申请不小于30Gi) es镜像版本:docker.elastic.co/elasticsearch/elasticsearch:6.7.0 kubectl crea...
使用ELK堆栈进行日志聚合
最佳 Java 编程
06-11 565
1.简介 随着微服务的使用,创建稳定的分布式应用程序和摆脱许多遗留问题变得很容易。 但是微服务的使用也带来了一些挑战, 分布式日志管理就是其中之一。 由于微服务是隔离的,因此它们不共享数据库和日志文件,因此实时搜索,分析和查看日志数据变得充满挑战。 这就是ELK堆栈的救援之处。 2. ELK 它是三个开源产品的集合: 弹性搜索是基于JSON的NoSQL数据库 Logstash一个日志管...
ELK-日志多行合并和字段解析以及时间处理
CodyGuo的博客
11-08 1902
文章目录readme1.1 19/10/30 23:59:591.2 2019/10/30 16:08:171.3 2019/10/30 02:00:00.0031.4 2019-10-30 10:59:441.5 2019-10-30 15:43:56.6521.6 2019-10-30 10:59:59 133.9981.7 2019-11-08T16:56:55.520+08001.8 [2...
filebeat日志收集至ES,索引生命周期为一个月
qq_33476283的博客
08-20 2011
/1、ES创建创建删除索引策略 PUT _ilm/policy/log_delete_policy { "policy": { "phases": { "delete": { "min_age": "30d", "actions": { "delete": {} } } } } } 2、创建索引模板关联删除 PUT _template/logs_template { "index_pat...
ELK应用之Filebeat 日志采集
Kason_iWiki
01-14 724
1. Filebeat基本介绍 Filebeat是用于“转发”和“集中日志数据”的“轻量型数据采集器”。Filebeat 监视您指定的日志文 件路径,收集日志事件并将数据转发到Elasticsearch或Logstash、Redis、 Kafka等。 2. Filebeat主要组件 Filebeat包含两个主要组件:输入和收割机,这些组件协同工作将文件尾部最新事件数据发送到指 定的输出 1.输入...
日志系统搭建之路:Logback+ELK实现操作可追溯的4阶段部署方案
# 可追溯日志系统架构设计与实践 在当今复杂的分布式系统中,当线上出现一个诡异的 `500` 错误时,你是否经历过这样的场景:团队围坐在会议室里,一边刷新着监控面板,一边逐个登录不同服务器,翻找分散在各个角落...
日志篡改与反取证攻防战:区块链在数据审计中应用的4大可行性场景与挑战
随着数字化系统日益复杂,日志篡改与反取证问题严重威胁数据审计的可信性。本文系统探讨区块链技术在数据审计中的应用机制与实践路径,重点分析其不可篡改性、可追溯性及智能合约自动化等核心特性如何增强日志完整性...
filebeat+ELK收集日志安装使用指南
xiao__wangzi的博客
02-24 1514
ELK应用简介 为什么要用ELK 工作中经常会遇到一些问题,我们可以通过日志排除,发现问题根源解决问题 如果1台或者几台服务器,我们可以通过 linux命令,tail、cat,通过grep、awk等过滤去查询定位日志查问题 但是如果几十台、甚至几百台。通过这种方式肯定不现实。 ELK简介 ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,由这三个软件及其相关的组件可以打造日志实时处理系统。 Elasticsearch 是一个基于 Lucene 的、支持全文
日志加traceId
dandelion-xxx的博客
01-17 468
https://blog.youkuaiyun.com/justsomebody126/article/details/105716222 子线程无法获取traceId: isThreadContextMapInheritable=true
Filebeat 轻量级日志采集实践:安装、配置、多行合并、JSON 解析与字段处理
最新发布
m0_57194659的博客
08-15 1545
在现代分布式架构中,日志集中采集至关重要。Filebeat作为ELK轻量级采集器,广泛用于生产环境。本文基于8.2.2版本,系统讲解安装部署与核心配置,涵盖单行/多行日志采集、JSON解析、字段增强、日志过滤等实战场景,附完整示例,助力ELK新手与运维开发者高效构建日志体系。
空间日志代码_容器日志采集利器:filebeat深度剖析与实践
weixin_39688035的博客
11-30 497
在云原生时代和容器化浪潮中,容器的日志采集是一个看起来不起眼却又无法忽视的重要议题。对于容器日志采集我们常用的工具有filebeat和fluentd,两者对比各有优劣,相比基于ruby的fluentd,考虑到可定制性,我们一般默认选择golang技术栈的filbeat作为主力的日志采集agent。 相比较传统的日志采集方式,容器化下单节点会运行更多的服务,负载也会有更短的生命周期,而这些更容易对日...
Filebeat modules 你真正理解了吗?
叱咤少帅的博客
04-09 6564
需求 比如我们有这样一个需求,我们需要把 Nginx的 access 日志采集到ElasticSearch,并且能细粒度化的控制。换句话说 我们需要切分Nginx的日志,比如remote_addr,upstream_response_time 等需要切成JSON格式。 分析 对于这个需求,我们自然想到如下几个方案: (1)把 Access日志 定义成logstash_json,...
初识ELK日志系统)
天秤-white的博客
04-11 2668
1、ELK是Elasticsearch、Logstash、 Kibana三大开源框架首字母大写简称。在市面上也被称之为Elastic Stack。 其中Elasticsearch是一个基于Lucene架构、通过Restful风格方式进行交互的数据的,实时性很强的搜索平台框架之一。 2、像我们平时访问的百度、谷歌等等这种数据量非常大的场景就可以使用Elasticsearch作为搜索引擎框架。 Logstash是ELK的中央数据流引擎,用于从不同目标(文件/数据存储/MQ )收集的不同格式数据,经过过滤后
ELK日志分析、索引、切片、生命周期等
砚墨
08-17 1467
1.elk的背景介绍与应用场景 在项目应用运行的过程中,往往会产生大量的日志,我们往往需要根据日志来定位分析我们的服务器项目运行情况与BUG产生位置。一般情况下直接在日志文件中tailf、 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量过大、文本搜索太慢、如何多维度查询。这就需要对服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统往往是一种分布式部署的架构,不同的服务模块部署在不同的服务器
elasticsearch 实现只保留固定时间的数据
热门推荐
夏冬丶王阳旭
01-02 1万+
    elk为常见的日志分析平台,在很多公司都用使用,但是日志数据是一个不断海量增加的东西,如果没有太大的存储来存储这些日志历史数据,就会需要删除时间过长的历史数据,以保证数据量可控。还不知道elk的,可以参考我另外的elk安装博文: 《Centos7.2 搭建ELK-5.6.4日志分析平台(一)》 《Centos7.2 搭建ELK-5.6.4日志分析平台(二)》 《centos7 Sup...
elk】网络设备syslog日志收集
机智的埃努
11-15 8057
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
Filebeat 采集历史日志
IChen.的博客
09-03 1195
1.可以采集当前日志文件的历史日志 2.可以添加新的日志路径,如采集其它的历史日志文件 - type: log ignore_older: 2h ##这个可以采集当前日志文件2小时内的日志,(2h/2m时分) enabled: true paths: - /data/jvmapp/dt-server-auto-dealer/logs/info.log - /data/jvmapp/dt-server-auto-dealer/logs/2021-01/info-2021-0
filebeat + elk
04-12
Filebeat是一个轻量级的日志数据收集器,用于将日志数据从各种来源(如文件、系统日志、网络等)发送到Elasticsearch或Logstash进行集中存储和分析。ELK则是指Elasticsearch、Logstash和Kibana的组合,用于实现日志的收集、存储和可视化分析。 具体来说,Filebeat通过监控指定的日志文件或位置,实时读取日志数据,并将其发送到Elasticsearch或Logstash进行处理。它可以根据配置文件中定义的规则,对日志数据进行解析和转换,以便更好地进行搜索和分析。 ELK中的Elasticsearch是一个分布式搜索和分析引擎,用于存储和索引大量的日志数据。它提供了强大的搜索和聚合功能,可以快速地检索和分析日志数据。 Logstash是一个用于数据收集、转换和传输的开源工具。它可以从各种来源(如Filebeat、Beats、JDBC等)接收数据,并对数据进行过滤、解析和转换,然后将其发送到Elasticsearch进行存储。 Kibana是一个用于可视化和分析日志数据的开源工具。它提供了丰富的图表、仪表盘和搜索功能,可以帮助用户更直观地理解和分析日志数据。 总结起来,Filebeat负责收集日志数据,Logstash负责对数据进行处理和转换,Elasticsearch负责存储和索引数据,Kibana则提供了可视化和分析的界面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值