搭建es+kibana+logstash+filebeat 日志收集分析

最新推荐文章于 2025-03-17 21:33:53 发布
最新推荐文章于 2025-03-17 21:33:53 发布
阅读量2.2k 收藏 8
点赞数 1
分类专栏: 数据分析 服务搭建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011932355/article/details/88794976
版权
本文详细介绍如何使用Elasticsearch、Kibana、Logstash和Filebeat构建日志收集、处理和展示系统。涵盖组件安装配置、日志切割规则、多实例部署等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实现目标:

使用elasticsearch+kibana+logstash+filebeat搭建服务,以支持(日志收集切分展示查找)

架构:

10.6.14.77 es,kibana,logstash  (三项默认的配置均为localhost,起在同一台服务器不再需要修改)

logstash 在单服务器上起多个实例,分别收集每个服务的日志,以隔离各个服务的日志收集

filebeat (起在各个需要收集日志的服务器上)

通过supervisor控制各个服务器上的响应服务

版本:

es 6.2.3 (基础日志数据存储)

kibana 6.2.3 (可视化web端服务)

logstash 6.2.3 (日志切分及归类)

filebeat 6.3.2 (各服务器日志收集)

 

前置:

需要安装java8

elastic stack 官网:https://www.elastic.co/products/

 

elasticsearch:

1.unzip elasticsearch-6.2.3.zip

2.启动  ./bin/elasticsearch  

   后台启动  ./bin/elasticsearch -d

   检测是否启动成功:curl localhost:9200

3.若报错:can not run elasticsearch as root 

   原因:这是出于系统安全考虑设置的条件。由于ElasticSearch可以接收用户输入的脚本并且执行,为了系统安全考虑, 建议创建一个单独的用户用来运行ElasticSearch

   解决方案:创建elsearch用户组及elsearch用户

   groupadd elsearch

   useradd elsearch -g elsearch -p elasticsearch

   chown -R elsearch:elsearch elasticsearch

4.若报错:max virtual memory areas vm.maxmapcount [65530] is too low

   sudo sysctl -w vm.max_map_count=262144

   在本机查看启动信息:curl localhost:9200

5. 配置外网访问:

config/elasticsearch.yml

修改为:network.host: 0.0.0.0

    

filebeat:

下载地址:https://www.elastic.co/cn/downloads/beats/filebeat

1.修改filebeat.yml配置

hint: filebeat.yml的默认配置是将数据output至elasticsearch,需要将其注释掉,并启用logstash output

filebeat.inputs: # 设置输入源
  # Change to true to enable this input configuration.
  enabled: true 
  paths:
        - /data/log/* # 读取日志路径
output.logstash: # 设置输出至logstash
  hosts: ["10.6.14.77:5044"]

tail_files: true #从文件末尾开始读取,否则在启动时会读取全文件

# hint: 将es的output注释掉

2.命令行测试启动:

./filebeat -e -c filebeat.yml

 

logstash:

下载地址:https://www.elastic.co/cn/downloads/logstash

1.unzip logstash-6.2.3.zip

2.命令行测试启动:

./bin/logstash -e "input {stdin{}} output {stdout{}}"

可在命令行输入,并输出至命令行

3.配置文件测试启动:

-e:指定logstash的配置信息,可以用于快速测试;
-f :指定logstash的配置文件;可以用于生产环境;

配置文件样例:

input { stdin { } }

filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
  stdout { codec => rubydebug }
}
.bin/logstash -f test.conf

4.配置启动

input {
    beats {
        port => "5044"
    }
} # 配置输入源为5044端口,filebeat默认打到5044端口

input {
	beats {
		add_field => {"log_type" => "pisces"} # 对于不同服务的filebeat打来的log,添加不同的log_type
		port => 5044
	}
	beats {
		add_field => {"log_type" => "aries"}
		port => 5043
	}
	beats {
		add_field => {"log_type" => "aquarius"}
		port => 5045
	}
}
filter {
	if "pisces" in [tags]{
		grok {
			match => { "message" => "\[%{WORD:info_level} %{DATESTAMP:timestamp} %{WORD:temp}:%{NUMBER:temp}\] %{NUMBER:status} %{WORD:method} %{URIPATHPARAM:request} \(%{IP:ip}\) %{GREEDYDATA:C}"
			}
		} # 切分规则,grok中大写字母为grok规则中的匹配关键字
		mutate {
			split => ["request", "?"] # 将grok中
最低0.47元/天 解锁文章
1、ELK部署(filebeatlogstash、elasticsearch、kibana
baidu_41614347的博客
10-26 716
1、 概述 性能测试为了分析日志,统计性能指标需要安装ELK作为性能分析filebeat :轻量级日志采集器; logstash收集日志、解析过滤日志logstash也可以收集日志但是其使用jvm资源消耗比较大) elasticsearch:存贮数据 kibana:开源的分析与可视化平(kibana搜索、查看、分析存放在Elasticsearch中的数据) 为了学习filebeatlogstash、elasticsearch、kibana部署到了一台服务器。(租了一台腾讯云的轻量...
Filebeat+Logstash+Es+Kibana 搭建记录
weixin_42545702的博客
06-15 733
整体结构图 : 1服务器2台: 1.1 (121.40.165.59): Filebeat-6.3.2 Logstash-6.3.2 Kibana-6.3.2 1.2 (47.99.139.182): ES -6.3.2 2搭建: 2.1 Filebeat: 官网下载压缩包,解压在 /usr/local/filebeat 目录下, 编辑目录下 filebeat.yml 文件: filebeat.inputs: - type: tcp enabled: true max_message_size:
【微服务日志收集①】使用FileBeat+Logstash+ES搭建ELK日志系统
最新发布
1 Byte 的博客
03-17 1084
注意:默认打开的是output.elasticsearch,输入到es,这部分配置要注释掉!我们需要现将日志收集Logstash对数据进行过滤、分析和统一格式等。当然也可以用Logstash直接收集,但是Logstash服务过重,如果在每个应用上都部署一个Logstash,会给应用服务器增加很大的负担。因此,通常会在应用服务器上,部署轻量级的Filebeat组件。Filebeat可以持续稳定的收集简单数据,比如log日志,统一发给logstash进行收集后,再经过处理存到ES
centOS7 运用filebeat+logstash+es+kibana
码农的专栏
10-24 2446
一、配置:logstash server 的配置文件 nano /etc/logstash/logstash.conf ################################## # Sample Logstash configuration for creating a simple # Beats -> Logstash -> Elasticsearch pipeline. input { beats { port => 5044 } } filter
日志收集分析系统ELK---rsyslog+filebeat+logstash+es+kibana
遥襟的博客
09-13 2507
rsyslog+filebeat+logstash+es+kibana rsyslog服务端收集客户端的系统日志filebeat收集rsyslog服务端上所有机器的系统日志,发送给logstashlogstash收集filebeat收集日志并存储到es集群中,kibana图形化显示es中的数据 实验准备四台机器 192.168.200.130 es集群+kibana 192.168.200.131 rsyslog服务端+filebeat 192.168.200.131 logstash
K8s容器日志实时收集FileBeat+ES+Kibana
i4t abcdocker的博客
04-04 6350
K8s容器日志实时收集FileBeat+ES+Kibana www.i4t.com 标签(空格分隔): ELK 文章目录K8s容器日志实时收集FileBeat+ES+Kibana@[toc]一、FileBeat1.1 FileBeat工作原理harvesterprospectorFilebeat 保持文件状态二、环境配置2.1 Tomcat镜像制作2.2 Filebeat 制作镜像2.3 Elas...
Elasticsearch+filebeat+logstash+kibana集群
ai418348851的博客
01-19 736
一、Elasticsearch+kibana部署server 注:此文档为傻瓜式安装,以避过所有坑,简单安装方便使用,如遇以外问题请度娘 环境部署&&版本需求 CentOS7 Elasticsearch-7.30 kibana-7.30 logstash-7.30 服务器需求两台 200.200.100.51 node1 200.200.100.52 node2 200.200.100.53 node3 1.关闭防火墙&&selinux systemctl stop fire
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
ELK安装(Elasticsearch+Logstash+Kibana+Filebeat)
snail_youth的博客
07-26 1329
ELK其实是Elasticsearch,LogstashKibana三个产品的首字母缩写,这三款都是开源产品。Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产环境变得更有价值。
ELK(Filebeat+Logstash+Elasticsearch+Kibana)日志收集系统
weixin_44130953的博客
01-01 1337
本次ELF日志收集系统,使用Filebeat收集所需要的日志推送给LogstashLogstash配置过滤信息再将信息发送给Elasticsearch再由Kibana呈现。
Linux教程:Elk(Elasticsearch+LogStash+Kibana日志收集系统+Kafka+Filebeat)入门与部署搭建(二)
wfeil211的博客
11-23 671
Logstash 支持各种输入选择 ,可以在同一时间从众多常用来源捕捉事件。Logstash 提供众多输出选择,您可以将数据发送到您要指定的地方,并且能够灵活地解锁众多下游用例。数据从源传输到存储库的过程中,Logstash 过滤器能够解析各个事件,识别已命名的字段以构建结构,并将它们转换成通用格式,以便更轻松、更快速地分析和实现商业价值。Logstash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中(如Elasticsearch)。
2021最新版7.X => filebeat+logstash+ES集群+kibana实战.txt
08-21
filebeat+logstash+ES集群+kibana实战.txt
docker efk(filebeat+logstash+es+kibana)
zhangdaweisuo的博客
10-08 349
1.系统架构 通常我们说的elastic stack,也就是elk,通过es 收集日志数据,存到elasticsearch,最后通过kibana进行统计分析,但是elastic公司后续又推出了新的日志收集产品beats,这里更推荐使用beats,性能更高 2.搭建es 2.1 创建docker 网络,用于不同容器间通信 之前常用--link container_name,因后面--link会被官方舍弃,故改用network方式 docker network creat efknetwo...
es+kibana+logstash快速安装上手
DoloresOOO的博客
06-18 596
Elasticsearch 安装上手 Elasticsearch安装与简单配置 目录结构 bin 脚本文件,启动脚本,安装插件,运行统计数据等 config 集群配置文件 JDK java运行环境 data 数据文件 lib java类库 logs 日志文件 modules 包含所有的ES模块 plugins 包含所有已安装的插件 JVM配置 修改jvm - config/jvm.options 7.1下载的默认是1GB 配置的建议
filebeat+redis+logstash+es+kibana日志收集
qq_36270681的博客
07-13 268
同时收集本地系统日志和docker 日志 [root@k8-node2-dc ~]#cat /etc/filebeat/filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log - /var/log/messages tags: ["system-log-239"] exclude_lines: ['^DBG','^$'] - type: log ena.
【有手就行】filebeat+es+kibana收集Nginx日志
wxd5617的博客
12-04 4130
使用filebeat收集Nginx到es,在kibana进行查询~
修改info-center的channel把日志发送到日志服务器_Elastic Stack 实现日志的自动采集、搜索和分析
weixin_39646405的博客
11-30 297
Elastic Stack 包括 Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎Kibana 是一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化...
全网最全-ELK搭建教程(Filebeat+redis+Logstash+ES+Kibana)
troshin的博客
02-01 2457
"一定要按照顺序安装,否则会出现一些无法理解的错误。" 架构: 一、安装java 1、查看是否有自带的java java -version 如果有则卸载,个人是另外自行安装的。然后安装,具体安装JDK可参考我的另外一篇文章: https://blog.youkuaiyun.com/qq_33877149/article/details/73437749 二、安装ElasticSearch...
日志系统一(elasticsearch+filebeat+logstash+kibana
个人成长的轨迹记录
01-06 2403
背景:因业务需求需要将nginx、java、ingress日志进行收集
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值