(一)filebeat
1、filebeat和logstash相同
(1)filebeat是一个轻量级的日志收集工具,所使用的系统资源比logstash部署和启动时使用的资源要小的多
(2)filebeat可以运行在非Java环境、可以代理logstash在非Java环境上收集日志
(3)filebeat无法实现数据的过滤,一般结合logstash的数据过滤功能一块使用
(4)fileteat收集的数据可以发往多个主机,远程收集
(二)部署filebeat(要收集哪台服务器的日志就部署在哪台服务器上)
1、安装filebeat(解压即可)
2、编辑配置文件
指定工作目录:编辑.conf文件
3、所有服务器配置时间同步
yum install ntpdate -y
ntpdate ntp.aliyun.com
4、yum安装nginx
5、访问测试
(三)直接收集nginx的日志
1、赋权(让filebeat读取数据)
2、编辑filebeat的配置文件
3、编辑logstash日志文件
4、开启filebeat日志收集
nohup ./filebeat -e -c filebeat.yml > filebeat.out &
nohup:表示在后台记录执行命令的过程
./filebeat:运行文件
-e:使用标准输出的同时进行syslog文件输出
-c:指定配置文件
执行过程输出到filebeat.out这个文件中,&后台运行
(1)检测是否报错:tail -f filebeat.out
(2)运行logstash:logstash -f nginx.conf --path.data /opt/test5 &
5、访问测试
6、logstash收集日志的过程
(1)input:从哪里收集
(2)output:发送es实例
(3)filter:过滤
以上还是本地收集
(四)远程收集多个日志
1、打开mysql的日志功能:
2、创建日志(创库、创表、添加数据)
(1)mysql服务器上安装nginx和http
3、访问测试
4、依赖filebeat收集日志
(1)安装filebeat
(2)编辑filebeat的配置文件
指定多个服务的模块:
(3)创建日志文件
5、运行filebeat和logstash
nohup ./filebeat -e -c filebeat.yml > filebeat.out &
logstash -f nhm_21.conf --path.data /opt/test9 &
(1)logstash可以使用任意端口,只要没被占用都可以使用,推荐从1024之后开始
修改logstash的端口:
6、检测
以上实现多主机远程收集
(五)logstash性能上的优化
1、logstash启动是在jvm虚拟机当中,启动一次至少500M内存
| pipeline:workers:2 | logstash的工作线程,默认值就是CPU数,给一半即可 |
| pipeline.batch.size:125 | 一次性能够批量处理检索事件的大小125条数。默认200 |
| pipeline.batch.delay:50 | 查询更新的延迟,50毫秒,也可以自行调整,生产中15、10(也要看机器的性能) |
