filebeat

ELK 完整部署和使用 几乎所有的软件和应用都有自己的日志文件，容器也不例外。 前面我们已经知道 Docker 会将容器日志记录到 /var/lib/docker/containers/<contariner ID>/<contariner ID>-json.log，那么只要我们能够将此文件发送给 ELK 就可以实现日志管理。 ELK 提供了一个配套小工具 Filebeat，它能将指定路径下的日志文件转发给 ELK。同时 Filebeat 会监控日志文件，当日志更新时，Filebeat 会将新的内容发送给 ELK。 安装 Filebeat 下面在 Docker Host 中安装和配置 Filebeat。 curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.0.1-amd64.deb sudo dpkg -i filebeat-7.0.1-amd64.deb 当你看到这篇文章时，Filebeat 可能已经有了更新的版本，请参考最新的安装文档 https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation.html 配置 Filebeat Filebeat 的配置文件为 /etc/filebeat

一。背景 前端web服务器为nginx，采用filebeat + logstash + elasticsearch + granfa 进行数据采集与展示，对客户端ip进行地域统计，监控服务器响应时间等。 二。业务整体架构： nginx日志落地——》filebear——》logstash——》elasticsearch——》grafna（展示） 三。先上个效果图，慢慢去一步步实现 如上只是简单的几个实用的例子，实际上有多维度的数据之后还可以定制很多需要的内容，如终端ip访问数，国家、地区占比，访问前十的省份，请求方法占比，referer统计，user_agent统计，慢响应时间统计，更有世界地图坐标展示等等，只要有数据就能多维度进行展示。这里提供模板搜索位置大家可以查找参考： https://grafana.com/dashboards 四，准备条件 需要具备如下条件： 1.nginx日志落地，需要主要落地格式，以及各个字段对应的含义。 2.安装filebeat。 filebeat轻量，功能相比较logstash而言比较单一。 3.安装logstash 作为中继服务器。这里需要说明一下的是，起初设计阶段并没有计划使用filebeat，而是直接使用logstash发往elasticsearch，但是当前端机数量增加之后logstash数量也随之增加

https://www.jianshu.com/p/88f2cbedcc2a 写在前面 刚毕业工作的时候，处理日志喜欢自己写脚本抓取数据分析日志，然后在zabbix上展示出来。但是开发要看日志的时候，还是要登录服务器，使用tailf、grep加一些正则，很是麻烦。来到一个新环境，需要搭建一套日志管理系统，接触了elk，相见恨晚，记录下自己从零开始学习使用elk的过程。 日志管理系统ELK 目录 部署架构图 部署版本 部署地址 服务部署 总结 部署架构图： elk.png 部署前了解： 1、elk现在又叫elfk，是elasticsearch、logstash、filebeat、kibana的简称。 2、elk架构类似于C/S，由客户端的日志收集工具收集日志，服务端的日志收集工具收集分析客户端的日志。之前客户端的日志收集工具logstash是用java写的，比较占用内存，为了不给生产环境造成负担，生产环境上的日志收集工具换成了用go语言写的filebeat，filebeat将日志收集到redis里面，利用redis做消息队列，服务端的logstash从redis里面取数据，分析，传到elasticsearch，最后用kibana展示出来 3、本次安装是安装在内网，故没有考虑到安全的问题，安装过程中会提到 4、本次安装是基于debian，如果是centos注意从官网下载不同的软件包

、 简介 1 .1 介绍 　　ELK是三个开源工具组成，简单解释如下： 　　Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。 　　Logstash是一个完全开源的工具，它可以对你的日志进行收集、过滤，并将其存储供以后使用（如，搜索）。 Kibana 也是一个开源和免费的工具，它可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。 1.2 场景分析 　　日志主要包括系统日志、应用程序日志和安全日志等等。运维人员和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。 　　通常，日志被分散的储存不同的设备上。如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理，例如：开源的syslog，将所有服务器上的日志收集汇总。 　　集中化管理日志后，日志的统计和检索又成为一件比较麻烦的事情，一般我们使用grep、awk和wc等Linux命令能实现检索和统计，但是对于要求更高的查询

1.安装filebeat： [root@nginx ~]# vim /usr/local/filebeat/filebeat.yml [root@nginx ~]# tar xf filebeat-6.2.4-linux-x86_64.tar.gz [root@nginx ~]# mv filebeat-6.2.4-linux-x86_64 /usr/local/filebeat [root@nginx ~]# cp /usr/local/filebeat/filebeat.yml{,.default} 2.修改filebeat配置文件： filebeat.prospectors: - type: log paths: - /usr/local/nginx/logs/access.log - /usr/local/nginx/logs/error.log output.logstash: hosts: ["192.168.200.133:5044:"] 3.创建新的logstash配置文件： [root@Logstash ~]# vim /usr/local/logstash/config/web.conf input { beats { port => "5044" # 连接filebeat 的端口 } } filter { if [type] == "apache" { #

#ELK 6安装配置 nginx日志收集 kabana汉化 #环境 centos 7.4 ,ELK 6 ,单节点 #服务端 Logstash 收集,过滤 Elasticsearch 存储,索引日志 Kibana 可视化 #客户端 filebeat 监控、转发,作为agent filebeat-->Logstash-->Elasticsearch-->Kibana #基本配置 #时间同步 #关闭selinux #内核优化 #防火墙端口 #内核 echo ' * hard nofile 65536 * soft nofile 65536 * soft nproc 65536 * hard nproc 65536 '>>/etc/security/limit.conf echo ' vm.max_map_count = 262144 net.core.somaxconn=65535 net.ipv4.ip_forward = 1 '>>/etc/sysctl.conf sysctl -p #防火墙 firewall-cmd --permanent --add-port={9200/tcp,9300/tcp,5044/tcp,5601/tcp} firewall-cmd --reload frewall-cmd --list-all #安装 #可以下载tar或者rpm包安装 # 官网

1. 了解各个组件的作用 Filebeat是一个日志文件托运工具，在你的服务器上安装客户端后，filebeat会监控日志目录或者指定的日志文件，追踪读取这些文件（追踪文件的变化，不停的读） Kafka是一种高吞吐量的分布式发布订阅消息系统，它可以处理消费者规模的网站中的所有动作流数据 Logstash是一根具备实时数据传输能力的管道，负责将数据信息从管道的输入端传输到管道的输出端；与此同时这根管道还可以让你根据自己的需求在中间加上滤网，Logstash提供里很多功能强大的滤网以满足你的各种应用场景 ElasticSearch它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口 Kibana是ElasticSearch的用户界面 在实际应用场景下，为了满足大数据实时检索的场景，利用Filebeat去监控日志文件，将Kafka作为Filebeat的输出端，Kafka实时接收到Filebeat后以Logstash作为输出端输出，到Logstash的数据也许还不是我们想要的格式化或者特定业务的数据，这时可以通过Logstash的一些过了插件对数据进行过滤最后达到想要的数据格式以ElasticSearch作为输出端输出，数据到ElasticSearch就可以进行丰富的分布式检索了 2. 安装各个组件并部署，并配置各个组件的关联配置文件 下载各个组件的安装包并解压

简单介绍： 因为Kafka集群是把状态信息保存在Zookeeper中的，并且Kafka的动态扩容是通过Zookeeper来实现的，所以需要优先搭建Zookeerper集群，建立分布式状态管理。开始准备环境，搭建集群： zookeeper是基于Java环境开发的所以需要先安装Java 然后这里使用的zookeeper安装包版本为zookeeper-3.4.14，Kafka的安装包版本为kafka_2.11-2.2.0。 AMQP协议：Advanced Message Queuing Protocol （高级消息队列协议）是一个标准开放的应用层的消息中间件协议。AMQP定义了通过网络发送的字节流的数据格式。因此兼容性非常好，任何实现AMQP协议的程序都可以和与AMQP协议兼容的其他程序交互，可以很容易做到跨语言，跨平台。 一、首先做好kafka 1、准备三台服务器,推荐每台2个G，记得关闭防火墙 server1：10.0.0.41 server2：10.0.0.42 server3：10.0.0.43 2、三台都得配置jdk环境，1.8以上，修改主机名并且配置主机名 10.0.0.41 hostname kafka01 10.0.0.42 hostname kafka02 10.0.0.43 hostname kafka03 cat /etc/hosts 10.0.0.41

本篇主要讲工作中的真实经历，我们怎么打造亿级日志平台，同时手把手教大家建立起这样一套亿级 ELK 系统。日志平台具体发展历程可以参考上篇 「从 ELK 到 EFK 演进」 废话不多说，老司机们座好了，我们准备发车了~~~ 整体架构 整体架构主要分为 4 个模块，分别提供不同的功能 Filebeat ：轻量级数据收集引擎。基于原先 Logstash-fowarder 的源码改造出来。换句话说：Filebeat就是新版的 Logstash-fowarder，也会是 ELK Stack 在 Agent 的第一选择。 Kafka : 数据缓冲队列。作为消息队列解耦了处理过程，同时提高了可扩展性。具有峰值处理能力，使用消息队列能够使关键组件顶住突发的访问压力，而不会因为突发的超负荷的请求而完全崩溃。 Logstash ：数据收集处理引擎。支持动态的从各种数据源搜集数据，并对数据进行过滤、分析、丰富、统一格式等操作，然后存储以供后续使用。 Elasticsearch ：分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析，并能将这三者结合起来。Elasticsearch 基于 Lucene 开发，现在使用最广的开源搜索引擎之一，Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。 Kibana ：可视化化平台

简介 ELK是一个日志收集分析的平台，它能收集海量的日志，并将其根据字段切割。一来方便供开发查看日志，定位问题；二来可以根据日志进行统计分析，通过其强大的呈现能力，挖掘数据的潜在价值，分析重要指标的趋势和分布等，能够规避灾难和指导决策等。ELK是Elasticsearch公司出品的一组套件，官方站点： https://www.elastic.co ，本文中ELK需要用的组件有Elasticsearch、Logstash、Kibana、Filebeat（Beats组合中的一个），主要介绍该集群的建设部署以及一些注意事项，希望对需要的小伙伴有所帮助，对于文中错误，欢迎批评指正。 环境说明 下面是本文的逻辑架构图，其中filebeat为采集日志的客户端，其安装在产生日志的机器上，收集的日志插入到redis消息队列中，logstash从redis取出数据并做相应的处理，其中包括字段拆分定义，并将数据输出到ES集群中，ES集群将数据处理、分片、索引等，最终kibana作为页面展示，将从ES集群取出数据做分析、统计、处理、展示，当然，其中有用到x-pack插件做数据分析、统计和展现（就是一些漂亮的实时图表）。 本文采用软件版本均为6.3. Filebeat 部署 yum -y install epel-release mkdir /data/soft -pv cd /data/soft/