Elasticsearch+Kibana+Logstash 搭建日志平台

最新推荐文章于 2024-12-02 10:33:54 发布
原创 最新推荐文章于 2024-12-02 10:33:54 发布 · 1.3w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #logstash #kibana

本文详细介绍了如何利用ELK堆栈(Elasticsearch、Logstash、Kibana)搭建高效日志系统,包括Java环境部署、Elasticsearch与Logstash的搭建、配置文件使用及Kibana配置使其读取ES数据展示,同时解释了logstash中config配置参数、多行日志处理、@message触发命令等功能,并提供了实例演示。
使用elk方式对日志系统的解析


Java 环境部署

网上很多教程,此处只做出测试

java -version
java version "1.7.0_45"
Java(TM) SE Runtime Environment (build 1.7.0_45-b18)
Java HotSpot(TM) 64-Bit Server VM (build 24.45-b08, mixed mode)

Elasticsearch 搭建

curl -O https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.5.1.tar.gz
tar zxvf elasticsearch-1.5.1.tar.gz
cd elasticsearch-1.5.1/
./bin/elasticsearch

es在此处不需要设置多少东西,基本上默认的就可以满足我们的要求了...

Logstash 搭建

初步搭建

curl -O http://download.elastic.co/logstash/logstash/logstash-1.5.1.tar.gz

现在你应该有了一个叫logstash-1.5.2.tar.gz的文件了。 我们把它解压一下

tar zxvf logstash-1.4.2.tar.gz
cd logstash-1.5.1

现在我们来运行一下:
bin/logstash -e 'input { stdin { } } output { stdout {} }'

我们现在可以在命令行下输入一些字符,然后我们将看到logstash的输出内容:
hello world
2015-06-17T01:22:14.405+1000 0.0.0.0 hello world

Ok,还挺有意思的吧... 以上例子我们在运行logstash中,定义了一个叫"stdin"的input还有一个"stdout"的output,无论我们输入什么字符,Logstash都会按照某种格式来返回我们输入的字符。这里注意我们在命令行中使用了-e参数,该参数允许Logstash直接通过命令行接受设置。这点尤其快速的帮助我们反复的测试配置是否正确而不用写配置文件。
让我们再试个更有意思的例子。首先我们在命令行下使用CTRL-C命令退出之前运行的Logstash。现在我们重新运行Logstash使用下面的命令:

bin/logstash -e 'input { stdin { } } output { stdout { codec => rubydebug } }'

我们再输入一些字符,这次我们输入"goodnight moon" 将出现:

goodnight moon
{
  "message" => "goodnight moon",
  "@timestamp" => "2013-11-20T23:48:05.335Z",
  "@version" => "1",
  "host" => "my-laptop"
}

以上示例通过重新设置了叫"stdout"的output(添加了"codec"参数),我们就可以改变Logstash的输出表现。类似的我们可以通过在你的配置文件中添加或者修改inputs、outputs、filters,就可以使随意的格式化日志数据成为可能,从而订制更合理的存储格式为查询提供便利。

集成Elasticsearch插入数据

以上的步骤已经成功的搭建了logstash,接下来增加logstash的配置文件,使其配置文件启动,将数据存入ES中,显示

1、在/root/config/目录下面增加logs.conf
input{
    file{
        type => "all"
        path => "/root/tomcat7/logs/catalina.out"
    }
    file{
        type => "access"
        path => "/root/tomcat7/logs/access.log"
    }
}filter {
    multiline {
      pattern => "^[^\[]"
      what => "previous"
    }
    if [type] == "access" {
      grok {
        pattern => "(?<request_info>{.*}$)"
      }
      json {
        source => request_info
      }
      geoip {
        source => "client_ip"
        fields => ["country_name", "region_name", "city_name", "real_region_name", "latitude", "longitude"]
        remove_field => [ "[geoip][longitude]", "[geoip][latitude]","location","region_name" ]
      }
      useragent {
          source => "user_agent"
          prefix => "useragent_"
          remove_field => [ "useragent_device", "useragent_major", "useragent_minor" ,"useragent_patch","useragent_os","useragent_o
s_major","useragent_os_minor"]
      }
    } else if [type] == 'all' {
      grok {
	pattern => "\[(?<level>\w*).*\] (?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})\s"
      }
    }
    mutate {
      remove_field => [ "request_info", "@version", "tags" ]
      remove_tag => [ "_grokparsefailure" ]
      replace => [ "host", "gd1_prd_yowoo_tomcat4" ]
    }
}
output {
  stdout { codec => rubydebug }
  elasticsearch {
    host => "localhost"
    index => "logstash-%{type}-%{+YYYY.MM.dd}"
    index_type => "%{type}"
  }
}

2、启动logstash(配置文件启动)

sh logstash -f /root/config/logs.conf

3、在上述的配置文件中,有指定了tomcat的日志,all是tomcat的日志,access是我们自己在程序中写的的日志,在log4j.xml中有:

<?xml version="1.0" encoding="UTF-8" ?>  
<!DOCTYPE log4j:configuration SYSTEM "log4j.dtd">
<log4j:configuration xmlns:log4j="http://jakarta.apache.org/log4j/">
	<!-- all log for console -->
	<appender name="console" class="org.apache.log4j.ConsoleAppender">
		<layout class="org.apache.log4j.PatternLayout">
			<param name="ConversionPattern" value="[%-5p] %d{yyyy-MM-dd HH:mm:ss,SSS} %l %M - %m%n" />
		</layout>
	</appender>

	<!-- access log -->
	<appender name="access" class="org.apache.log4j.DailyRollingFileAppender">
		<layout class="org.apache.log4j.PatternLayout">
			<param name="ConversionPattern" value="[%-5p] %d{yyyy-MM-dd HH:mm:ss,SSS} - %m%n" />
		</layout>
		<param name="Append" value="true" />
		<param name="File" value="/root/tomcat7/logs/access.log"<span style="font-family: Arial, Helvetica, sans-serif;"> /></span>
		<param name="DatePattern" value="'.'yyyy-MM-dd'.'" />
		<filter class="com.lives.platform.common.log.AccessLogFilter" />
	</appender>


	<root>
		<priority value="debug" />
		<appender-ref ref="console" />
		<appender-ref ref="access" />
	</root>

</log4j:configuration>

在log4j.xml中配置的是日滚的日志文件,logstash指向了生成日志文件的地址,进行监听,日志不会的,我在博客中有一个分类叫日志,进去看哇...

Kibana 搭建

下载Kibana

wget https://download.elastic.co/kibana/kibana/kibana-4.1.0-linux-x64.tar.gz

解压出来就行了...

配置使其读取ES的数据展示

进入Kibana目录/config中,修改kibana.yml文件,指定ES访问地址(ps:以前的版本是修改conf.js,不要让被人误导你...)
# Kibana is served by a back end server. This controls which port to use.
port: 5601

# The host to bind the server to.
host: "0.0.0.0"

# The Elasticsearch instance to use for all your queries.
elasticsearch_url: "http://localhost:9200"

最后进入web页面中查看 




下面我们讲解一下logstash中config配置参数

首先我们能看到的是三个input,filter和output,分别是读取日志,过滤分割和输出日志,重点在filter上:

1
2
3
4
5
6
7
8
9
10
11
[03-Jun-2013 13:15:29] PHP Fatal error:  Uncaught exception 'Leb_Exception' in /data1/www/bbs.xman.com/htdocs/framework/xbox/ufo.php:68
Stack trace:
#0 /data/www/bbs.xman.com/htdocs/framework/dao/abstract.php(299): Leb_Dao_Pdo->connect(Array, 'read')
#1 /data/www/bbs.xman.com/htdocs/framework/dao/pdo.php(108): Leb_Dao_Abstract->initConnect(false)
#2 /data/www/bbs.xman.com/htdocs/framework/dao/abstract.php(1123): Leb_Dao_Pdo->query('SELECT * FROM `...')
#3 /data/www/bbs.xman.com/htdocs/framework/dao/abstract.php(1217): Leb_Dao_Abstract->select(Array)
#4 /data/www/bbs.xman.com/htdocs/framework/model.php(735): Leb_Dao_Abstract->daoSelect(Array, false)
#5 /data/www/bbs.xman.com/htdocs/app/configure/model/configure.php(40): Leb_Model->find()
#6 /data/www/bbs.xman.com/htdocs/app/search/default.php(131): Configure->get_configure_by_type('news')
#7 /data/www/bbs.xman.com/htdocs/framework/dispatcher.php(291): defaultController->indexAction()
#8 /data/www/bbs.xman.com/htdocs/framework/dispatcher.php(222): Leb_Di in /data1/www/bbs.xman.com/htdocs/framework/dao/pdo.php on line 68

 这个时候 logstash一般会只记录上面一行,所以这类的日志就看不全了。怎么办呢?logstash提供了一个功能解决了这个问题就是"multiline"
这个filter的功能顾名思义就是对多行的日志进行处理 这个是官网上的说明
multiline filter
This filter will collapse multiline messages into a single event.
The multiline filter is for combining multiple events from a single source into the same event. 
下面看下格式

1
2
3
4
5
6
7
8
filter {
  multiline {
    type => "type"   #类型,不多说
    pattern => "pattern, a regexp" #参数,也可以认为是字符,有点像grep ,如果符合什么字符就交给下面的 what 去处理
    negate => boolean
    what => "previous" or "next" #这个是符合上面 pattern 的要求后具体怎么处理,处理方法有两种,合并到上面一条日志或者下面的日志
  }
}

The 'negate' can be "true" or "false" (defaults false). If true, a message not matching the pattern will constitute a match of the multiline filter and the what will be applied. (vice-versa is also true)
这个 negate 有两种 true 或者 false,默认是 true,如果选了false 的话估计就是取反的意思。
看看例子

1
2
3
4
5
6
filter {
  multiline {
    pattern => "^[^\[]"
    what => "previous"
  }
  }

这个例子是针对我上面的php日志写的,意思就是 如果不是以 "["开头的日志 都跟上一个日志合并在一起。以此类推遇到其他的多行日志也可以按照这个方法来做合并。

2、logstash 根据@message内容来触发命令"exec"
 我当初的想法是这样的,如果php日志文件中出现 "PHP Fatal error"的时候将相关的错误日志发给相关开发的负责人。一开始想到了 output 的 email 功能,但我尝试
了很多次这个email功能不太稳定,有时候能发出来邮件有的时候却发不出来。不知道是邮件服务器的问题还是 logstash本身的问题,具体配置如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
output {
email {
   match => [ "@message""aaaaa" ]
   to => "storyskya@gmail.com"
   from => "monitor@mib.com.cn"
   options => [ "smtpIporHost""smtp.mibnet.com",
                "port""25",
                "userName""monitor@mib.com.cn",
                "starttls""true",
                "password""opmonitor",
                "authenticationType""login"
              ]
   subject => "123"
   body => '123'
   via => smtp
}
}

下面我们介绍grop插件,对日志文件的解析,

grok {
	pattern => "\[(?<level>\w*).*\] (?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})\s"
}
上面的这个配置,就是将日志文件进行了解析,其中的level/datetime等字段会被抽取出来作为es的搜索键存在,但是整个日志信息是存在于message这个字段中的,其余的键都是为了找寻这条message,但是如果我们想要改变这个message的信息,怎么办呢?这时候就需要用到match这个参数,他可以对匹配成功的正则日志,进行相应的处理,例如

日志文件信息:  55.3.244.1 GET /index.html 15824 0.043

grok {
match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]
}

对其日志进行匹配成功后呢,message信息就变成了这样的,也就是说,对其日志进行了match后呢,只要是满足正则的,那么都会被存在于message中

client: 55.3.244.1
method: GET
request: /index.html
bytes: 15824
duration: 0.043

在上面的正则中我们看到了有IP,WORD这样的字段,这些是logstash内置的正则表达式,在 https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns 这里都是可以找到的,

我给出一个grop的正则在线测试的网址 http://grokdebug.herokuapp.com/

基于Elasticsearch + Fluentd + Kibana(EFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于Elasticsearch、Fluentd和Kibana日志管理系统搭建过程。
架构师之Elasticsearch+Logstash+Kibana集成
分享技术应用、实践场景等,评论区开放技术难题讨论,共同成长进步。
03-29 1413
总结了一下‌ELK的集成应用,主要功能应用,应用场景、相关配置等,形成了一个总结报告,一是为了指导新手从哪些方面入手,另外是为相关技术人员加深理解,在使用中提供帮助。希望能给大家带来帮助。
elasticsearch+kibana+logstash ELK资料整理
05-11
三份word文档,整理elk的相关资料。仅供新手参考
2019年最新版elasticSearch+kibana+logstash+各种常用插件安装教程
03-01
2019年elaticsearch6.6.0的安装教程,kibana6.6.0安装教程,logstash6.6.0安装教程,ik分词器,head插件,bigdesk等插件安装教程,x-pack使用等。
ElasticSearch+Kibana+Logstash(非filebeats方式)
Macso_的博客
10-11 334
一.docker安装ELK 可以直接pull elk的镜像,也可以分别pull ES,KibanaLogstash的镜像。 分别执行:docker pull elasticsearch docker pull kibana docker pull logstash 拉取最新的镜像,自己再tag一下即可 二.准备配置文件 ES和Kibana均有配置文件,此处为简单的docker ru...
Elasticsearch+Logstash+Kibana日志采集服务搭建并简单整合应用
zhanglei500038的博客
04-26 2024
ELK是Elasticsearch+Logstash+Kibana的简称Elasticsearch 是一个分布式的搜索和分析引擎,可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在是使用最广的开源搜索引擎之一。Logstash 简单来说就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端,与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供了很多功能强大的滤网以满足你的各种应用场景。
ElasticSearch+Logstash+Kibana
apprentices的博客
03-22 3692
第一节 ELK介绍 第二节 Windows下环境准备 第三节 单机版实战操作—spring boot整合 ELK 第四节 单机版实战操作—Mysql整合ELK 第五节 单机版实战操作—本地日志文件整合ELK 第一节 ELK介绍 日志是程序产生的,遵循一定格式(通常包含时间戳)的文本数据。通常由服务器生成,输出到不同的文件中,一般会有系统日志、 应用日志、安全日志。这些日志分散地存储在不同的机器上。通常当系统发生故障时,工程师需要登录到各个服务器上,使用 grep / sed / awk...
Elasticsearch+Logstash+Kibana教程
大灰狼的小绵羊哥哥的博客
04-08 352
Elasticsearch中文参考文档 Elasticsearch官方文档 Elasticsearch 其他——那些年遇到的坑 Elasticsearch 管理文档 Elasticsearch集群配置以及REST API使用 Elasticsearch集群管理 Elasticsearch 数据搜索篇·【入门级干货】 Elasticsearch使用REST API实现全文检索 Windows下elasticsearch插入数据报错! Kibana中doc与search策略的区别 Elas
Elasticsearch +Kibana+logstash 搭建简记
zhanqixuan22的博客
04-02 495
[下载地址:][1] [1]: https://www.elastic.co/downloads 首先下载并解压ES: wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.5.0.tar.gz tar -zxvf elasticsearch-6.5.0.tar.gz...
ElasticSearch+kibana+logstash监控和分析系统
jklfjsdj79hiofo的专栏
05-17 7517
系统环境 [root@iZ ~]# uname -a Linux iZ 3.10.0-514.6.2.el7.x86_64 #1 SMP Thu Feb 23 03:04:39 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux java版本事先安装了 [root@i /]# java -version java version "1.8.0_111"
ElasticSearchLogstashKibana
08-11
ELK是ElasticSearchLogstashKibana的简称。ELK在最近两年迅速崛起,成为机器数据分析,或者说实时日志处理领域,开源界的第一选择
ElasticSearch+Kibana+Logstash实现搜索
一个猿的成长历程
12-07 709
一: 环境准备 1: ElasticSearch+Kibana+Logstash+ik已经准备好请提取 链接:https://pan.baidu.com/s/1G1If3uhYRlJ6X_7_V6u3nQ 提取码:lr79 2: 创建数据库表并写入测试数据 CREATE TABLE `t_blog` ( `id` int(11) NOT NUL...
Elasticsearch+logstash+kibana
热门推荐
weixin_56644618的博客
10-23 1万+
ELK是包含但不限于Elasticsearch(简称es)、LogstashKibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集数据
elasticsearch+kibana+logstash搭建日志服务
找不到我的路
09-27 648
文章目录下载安装配置启动业务查询 下载 elasticsearch https://www.elastic.co/cn/downloads/elasticsearch kibana https://www.elastic.co/cn/downloads/kibana logstash https://www.elastic.co/cn/downloads/logstash ...
Elasticsearch + Kibana +Logstash(ELK)相关组件对照表
zhouzhiwengang的专栏
04-12 506
Compatibility with Elasticsearch (5.x, 6.x, 7.x) Elasticsearch Kibana X-Pack Beats^* Elastic Agent^* Logstash^* ES-Hadoop (jar)***** APM Server App Search Enterprise Search Endpoint Security 5.0.x 5.0.x 5.0.x 1.3.x
Docker中安装ElasticSearch+Kibana+Logstash(ELK)实践
RudolphLiu的博客
12-02 2387
在Docker中搭建elasticsearchkibanalogstash(ELK)
ElasticSearch+Logstash+Kibana 构建实时日志平台(ELK)
weixin_42257277的博客
07-20 1546
ElasticSearch+Logstash+Kibana 构建实时日志平台(ELK)一、背景二、官方文档:二、ELK 原理拓扑图ELK 工作流程加入 Redis 队列后工作流程三、安装配置3.1 Elasticsearch 安装配置1)先安装 JDK2)分别下载 ELK 软件包: 一、背景 作为运维工程师,我们每天需要对服务器进行故障排除,那么最先能帮助我们定位问题的就是查看服务器日志,通过日志可以快速的定位问题。 目前我们说的日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志
Elasticsearch+Logstash+kibana搭建可视化日志分析平台怎么导出日志
最新发布
04-03
### ELK Stack 导出日志的方法 ELK Stack 是一套由 ElasticsearchLogstashKibana 组成的日志管理和分析平台[^2]。其中,Elasticsearch 负责存储和索引日志数据,Logstash 提供日志采集与处理能力,而 Kibana 则用于可视化展示这些数据[^3]。 #### 方法一:通过 Logstash 输出插件导出日志 Logstash 支持多种输出插件来实现日志的导出功能。常见的输出目标包括文件、数据库或其他第三方服务。以下是配置 Logstash 使用 `output` 插件的一个简单示例: ```ruby input { elasticsearch { hosts => ["http://localhost:9200"] index => "your-index-name" } } filter { # 进行必要的过滤操作(可选) } output { file { path => "/path/to/output/logs.txt" } } ``` 上述脚本会从指定的 Elasticsearch 索引中读取日志,并将其保存到本地文件 `/path/to/output/logs.txt` 中[^1]。 #### 方法二:利用 Elasticsearch API 手动查询并下载日志 可以直接调用 Elasticsearch 的 RESTful 接口获取所需日志记录。例如,执行以下命令可以检索最近一天内的所有文档并将结果保存至 CSV 文件: ```bash curl -X GET 'http://localhost:9200/your_index/_search?pretty&q=@timestamp:[now-1d TO now]' \ | jq -r '.hits.hits[] | [.fields["@timestamp"], .fields["message"]] | @csv' > logs.csv ``` 这里使用了 `jq` 工具解析返回的 JSON 数据结构,并提取时间戳字段 (`@timestamp`) 和消息体字段 (`message`) 来构建最终的 CSV 行条目。 #### 方法三:借助 Kibana Saved Objects 功能批量导出 如果已经在 Kibana 上创建了一些自定义仪表板或者发现特定模式下的异常事件,则可以通过其内置机制分享这些成果给其他同事或团队成员查看。具体步骤如下: 1. 登录到您的 Kibana 实例; 2. 浏览至 “Management -> Advanced Settings” 页面下找到关于对象导入/导出选项卡; 3. 按照提示选择希望打包的内容类别(如搜索条件、图表布局等),然后点击按钮生成 ZIP 归档包即可完成整个过程。 以上三种方式分别适用于不同场景需求,在实际应用过程中可以根据具体情况灵活选用最合适的方案来进行ELK stack上的日志导出了。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值