文档章节

[喵咪BELK实战(3)] logstash+filebeat搭建

喵了_个咪
 喵了_个咪
发布于 2017/05/09 09:56
字数 1246
阅读 457
收藏 23

[喵咪BELK实战(3)] logstash+filebeat搭建

前言

在上节我们已经把elasticsearch+kibana已经搭建起来了,可以正常的进行数据的索引查询了,但是直接对elasticsearch进行操作也非常不方便, elasticsearch很难对接其他的数据源,这是使用就需要logstash和filebeat出场了...

附上:

喵了个咪的博客:w-blog.cn

官网地址:https://www.elastic.co/cn/

1. logstash

logstash主要的作用就是输入输出进行数据的处理,官方声称支持十几种数据输入源和输出源,并且可以多点分发是一个很强大的工具,我们主要使用的是它的数据处理功能(比如解析日志提取关键字索引,数据过滤等)

1.1 安装

wget https://artifacts.elastic.co/downloads/logstash/logstash-5.3.0.tar.gz
tar -zxvf logstash-5.3.0.tar.gz
mv logstash-5.3.0 /usr/local/

1.2 第一条管道

从之前的介绍有了解到logstash它的主要功能是处理数据进行输入输出,所以我们就要搭建一条输入输出的数据通道来进行数据传输,创建这条管道的配置文件:

vim /usr/local/logstash-5.3.0/config/first-pipeline.conf

# 制定输入源为beats 并且开发9011端口接受数据
input {
	beats { 
		port => 9011
	}
}
# 制定数据输出源为elasticsearch 并且指定index名称
output {
	elasticsearch {
		hosts => [ "localhost:9200" ]
		index => "first-pipeline-%{+YYYY.MM.dd}"
	}
}

试着启动logstash: /usr/local/logstash-5.3.0/bin/logstash -f /usr/local/logstash-5.3.0/config/first-pipeline.conf 看到如下输出证明以及成功启动logstash

[2017-05-04T09:55:59,951][INFO ][logstash.inputs.beats    ] Beats inputs: Starting input listener {:address=>"0.0.0.0:9011"}
[2017-05-04T09:56:00,007][INFO ][logstash.pipeline        ] Pipeline main started
[2017-05-04T09:56:00,104][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}

使用Supervisor运行

使用Supervisor常驻启动修改配置文件加入如下语句在重启Supervisor就可以在后台运行

;你需要启动的进程给个名字
[program:logstash]
;你需要执行的语句
command=/usr/local/logstash-5.3.0/bin/logstash -f /usr/local/logstash-5.3.0/config/first-pipeline.conf
;是否自动启动
autostart=true
autorestart=true
;运行程序的用户
user=root

2. filebeat

虽然logstash也可以直接监听文件的数据,为什么还需要filebeat呢? 应为一般我们需要采集很多台服务器上的日志时需要做到尽量少的占用资源以及尽可能的简单,logstash使用JAVA编写可想而知对于资源消耗也不可小视,filebeat使用GO编写几乎做到不影响机器性能,并且filebeat还可以进行最基础的分类这就是选择filebeat的原因(之前beats是整合在logstash后面应为种种原因被分离了出来)

注意1:beats由很多程序组成filebeat只是其中对文件进行采集的一种 注意2:不一定要使用beats, logstash也可以直接接受各种组件上传的日志beats只是其中一种

2.1 安装

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.3.1-linux-x86_64.tar.gz
tar -zxvf filebeat-5.3.1-linux-x86_64.tar.gz
mv filebeat-5.3.1-linux-x86_64 /usr/local/filebeat-5.3.1

2.2 配置采集数据源

既然是采集文件数据当然少不了对采集数据源的配置

vim /usr/local/filebeat-5.3.1/filebeat.yml

默认filebeat输出源是elasticsearch我们需要替换成logstash

# 修改如下语句
 output.elasticsearch:        ->   output.logstash:
  hosts: ["localhost:9200"]   ->   hosts: ["localhost:9011"]

配置文件默认采集/var/log下以.log结尾的文件

- input_type: log
  paths:
    - /var/log/*.log

使用如下命令运行 :/usr/local/filebeat-5.3.1/filebeat -c /usr/local/filebeat-5.3.1/filebeat.yml

2.3 使用Supervisor运行

使用Supervisor常驻启动修改配置文件加入如下语句在重启Supervisor就可以在后台运行

;你需要启动的进程给个名字                                                                                                            
[program:filebeat]
;你需要执行的语句
command=/usr/local/filebeat-5.3.1/filebeat -c /usr/local/filebeat-5.3.1/filebeat.yml
;是否自动启动
autostart=true
autorestart=true
;运行程序的用户
user=root

3 在kibana中查看采集的日志

正常采集起来之后就可以在kibana中添加一个查看的索引了

这个时候就把/var/log中所有以.log结尾的日志全部采集上来了并且可以通过source来进行文件的选择 这是选择了只看yum.log之后的效果

4. 总结

到这里我们基本上吧BELK已经完整的搭建起来并且对日志开始采集了,但是BELK不仅仅如此,还有对于kibana的使用,对于各类日志的处理,对于时间的处理,对于索引字段的增加等还有很多细节,继续关注喵了个咪的博客会为大家带来更多的关于BELK的使用技巧

注:笔者能力有限有说的不对的地方希望大家能够指出,也希望多多交流!

© 著作权归作者所有

共有 人打赏支持
喵了_个咪
粉丝 245
博文 139
码字总数 182606
作品 4
杨浦
技术主管
[喵咪KafKa(2)]单机模式运行KafKa

在上节我们介绍完KafKa之后,今天我们来搭建KafKa三种模式(单机模式,伪集群,集群)中的一种单机模式的搭建,在正常的使用中我们一般吧单机模式作为开发环境的标配,今天就来和喵咪一同搭建一个K...

喵了_个咪
2016/09/12
190
0
PhalApi(π框架) v1.4.1 发布,PHP 轻量级 API 接口开发框架

[前言] 夏天的脚步悄悄来临,在各位小伙伴的辛勤付出下,PhalApi迎来了新版本V1.4.1,在这次更新中着重以开发者便捷为本新增优化了很多功能,如对接口文档添加了各项重要功能可以直接在文档页面进...

喵了_个咪
2017/07/01
903
4
[喵咪PHP]页面显示空白问题

哈喽!大家好啊,喵咪PHP第一次和大家见面了,熟悉的朋友呢也之道喵咪我也开了喵咪Liunx和喵咪Golang这两个坑目的呢是吧平常遇到的一些问题或者是在学习中的东西好工具分享出来和大家交流沟通,...

喵了_个咪
2016/06/09
408
0
PhalApi-v1.3.1 (感恩版)发布,PHP 轻量级开源接口框架

PhalApi-v1.3.1 (感恩版)发布,PHP轻量级开源接口框架 [前言] 感恩节来临之际,PhalApi迎来了等候了一个多月的v1.3.1版本更新. 在v1.3.1版本中着重对1.3.0版本中存在BUG进行了修复,并且进一步...

喵了_个咪
2015/11/28
1K
5
phalcon-入门篇1(基本介绍与环境搭建)

本教程基于phalcon2.0.9版本 *先在这里感谢各位phalcon技术爱好者,我们提供这样一个优秀的交流平台 * 离结束了PhalApi教程之后一个多月,我喵了个咪又回来了,这次为大家带来的教程是一款国外的...

喵了_个咪
2016/01/24
877
2

没有更多内容

加载失败,请刷新页面

加载更多

下一页

java并发备忘

不安全的“先检查后执行”,代码形式如下: if(条件满足){ //这里容易出现线程安全问题//doSomething}else{//doOther} 读取-修改-写入 原子操作:使用CAS技术,即首先从V中读取...

Funcy1122
今天
0
0
SpringBoot2.0 停机

最近新建了个SpringBoot2.0的项目,因为原来一直使用的是传统的Tomcat部署war包的形式,所以这次SpringBoot内置Tomcat部署jar包的时候遇到了很多问题。其中一个就是因为没有外置的Tomcat容器...

Canaan_
昨天
0
1
Confluence 6 外部参考

一个外部参考的意思是任何站点链接到你 Confluence 的实例。任何时候当 Confluence 的用户单击这个外部链接的时候,Confluence 可以记录这次单击为参考。 在默认的情况下,外部链接的参考链接...

honeymose
昨天
0
0
Android中的设计模式之抽象工厂模式

参考 《设计模式解析》 第十一章 Abstract Factory模式 《设计模式:可复用面向对象软件的基础 》3.1 Abstract Factory 抽象工厂 对象创建型模式 《Android源码设计模式解析与实战》第6章 创...

newtrek
昨天
0
0
Redis | 地理空间(GEO)的一个坑

Redis的地理空间(Geo)是个好东西,轻轻松松的就可以把地图描点的问题处理了, 最近却遇到一个坑...Redis采用的Msater-Slave模式, 运用GEORADIUS在salve读取对应的数据,新增了从节点但是从不返...

云迹
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部