filebeat日志收集
发表于:2025-02-01 作者:千家信息网编辑
千家信息网最后更新 2025年02月01日,以nginx错误日志为例,演示日志处理流程filebeat--logstash--esfilebeat--kafka--logstash--es#filebeat使用systemd管理/usr/lib
千家信息网最后更新 2025年02月01日filebeat日志收集
以nginx错误日志为例,演示日志处理流程
filebeat--logstash--es
filebeat--kafka--logstash--es
#filebeat使用systemd管理/usr/lib/systemd/system/filebeat.service [Unit]Description=FilebeatDocumentation=http://www.elastic.coWants=network-online.targetAfter=network-online.target[Service]ExecStart=/usr/local/filebeat/filebeat -c /usr/local/filebeat/filebeat.ymlRestart=always[Install]WantedBy=multi-user.target
#logstash使用systemd管理#如果有多个logstash配置文件,可以使用-f指定目录/usr/lib/systemd/system/logstash.service [Unit]Description=logstashDocumentation=http://www.elastic.coWants=network-online.targetAfter=network-online.target[Service]Environment=JAVA_HOME=/usr/java/jdk1.8.0_211ExecStart=/usr/local/logstash/bin/logstash -f /usr/local/logstash/config/logstash.conf -l /usr/local/logstash/logsRestart=always[Install]WantedBy=multi-user.target
#启动nginx容器,映射日志目录docker run -d --name=nginx --net=host -v /tmp/nginx_log:/var/log/nginx nginx
#nginx错误日志:
2019/09/21 17:00:08 [error] 7#7: *9 open() "/usr/share/nginx/html/api" failed (2: No such file or directory), client: 192.168.3.102, server: localhost, request: "GET /api HTTP/1.1", host: "192.168.3.100"
filebeat--logstash--es示例
#filebeat输出logstash示例/usr/local/filebeat/filebeat.yml filebeat.inputs:- type: log paths: - /tmp/nginx_log/error.log multiline.pattern: ^\d{4}/\d{2}/\d{2}\s\d{2}:\d{2}:\d{2} #匹配nginx日志时间格式 2019/09/21 17:00:08 multiline.negate: true multiline.match: after exclude_files: [".gz$"] tail_files: true #增加输出字段,tags为数组形式,fields.id为键值对形式 tags: ["nginx-100"] fields: id: "nginx-100"output.logstash: hosts: ["192.168.3.100:5044","192.168.3.101:5044"] loadbalance: true#输出到单个logstash#output.logstash:# hosts: ["127.0.0.1:5044"]#logstash输出到es示例;根据fileds.id来划分索引/usr/local/logstash/config/logstash.conf input { beats { port => 5044 }}output { elasticsearch { hosts => ["http://192.168.3.100:9200","http://192.168.3.101:9200","http://192.168.3.102:9200"] index => "%{[fields][id]}-%{+YYYY.MM.dd}" user => "elastic" password => "HkqZIHZsuXSv6B5OwqJ7" }}filebeat--kafka--logstash--es示例
#filebeat输出到kafka示例/usr/local/filebeat/filebeat.yml filebeat.inputs:- type: log paths: - /tmp/nginx_log/error.log multiline.pattern: ^\d{4}/\d{2}/\d{2}\s\d{2}:\d{2}:\d{2} #匹配nginx日志时间格式 2019/09/21 17:00:08 multiline.negate: true multiline.match: after exclude_files: [".gz$"] tail_files: true #增加输出字段,tags为数组形式,fields.id为键值对形式 tags: ["nginx-kafka-100"] fields: id: "nginx-kafka-100"output.kafka: hosts: ["192.168.3.100:9092", "192.168.3.101:9092", "192.168.3.102:9092"] topic: '%{[fields.id]}' partition.round_robin: reachable_only: false required_acks: 1 compression: gzip max_message_bytes: 1000000#kafka输出到es示例/usr/local/logstash/config/logstash.confinput { kafka { group_id => "logstash" topics => ["nginx-kafka-100"] bootstrap_servers => "192.168.3.100:9092,192.168.3.101:9092,192.168.3.102:9092" consumer_threads => "1" fetch_max_bytes => "26214400" codec => plain }}filter { json { source => "message" }}output { elasticsearch { hosts => ["http://192.168.3.100:9200","http://192.168.3.101:9200","http://192.168.3.102:9200"] index => "%{[fields][id]}-%{+YYYY.MM.dd}" user => "elastic" password => "HkqZIHZsuXSv6B5OwqJ7" }}参考:
https://www.elastic.co/guide/en/beats/filebeat/current/kafka-output.html
https://www.elastic.co/guide/en/beats/filebeat/current/logstash-output.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-json.html
输出
日志
示例
形式
字段
数组
时间
格式
目录
错误
管理
单个
多个
容器
文件
流程
索引
参考
处理
演示
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络安全教育初中2节
网络安全CR1
网络安全观的五个特点
vr软件开发专家
网络安全法与基本法的区别
简答数据库的用途
网络安全板报网
企业网络安全分析报告2篇
kms 密钥管理服务器
网络安全扫描公司
山东东汉学堂网络技术有限公司
jsp需要web服务器吗
用友u8连接服务器显示错误
基于bs结构的软件开发
信息网络安全法律状况
创建数据库索引的方式
新疆学校网络安全责任书
信息网络安全工程师笔试题
网络技术支撑的分类是什么
中欧网络安全对话
上海移动软件开发价格
net core 数据库迁移
数据库全量迁移工具
svn服务器端配置
校园网络安全教育重要性
网络安全扫描公司
学习计算机网络技术要学哪些
共建网络安全共享网络文明文字
服务器对ddos防护
柳州软件开发有限公司招聘
