elk(filebeat)日志收集工具
elk:filebeat日志收集工具 和logstash相同
filebeat是一个轻量级的日志收集工具,所使用的系统资源比logstash部署和启动时使用的资源要小得多
filebeat可以运行在非Java环境。他可以代理logstash在非java环境上收集日志
filebeat无法实现数据的过滤,一般是结合logstash的数据过滤功能一块使用
filebeat收集的数据可以发往多个主机,即远程收集
logstash收集日志的过程:
input(从哪里收集)
filter(过滤)
output(发送es实例)
logstash可以使用任意端口,只要没被占用都可以使用,推荐1024之后开始
本机获取收集nginx的日志实验:
四台服务器
192.168.233.11
192.168.233.12
192.168.233.13
192.168.233.21
先关闭四个主机的防火墙和安全机制
cd 到opt目录下,把这个软件包拖到elk1(就是有logstash的主机)
解压软件包
tar zxvf filebeat-6.7.2-linux-x86_64.tar.gz
改名文件以及改配置文件
在四台主机操作重启配置文件
四台主机一块安装时间同步软件
yum install ntpdate -y
四台主机同步操作时间同步
data查看一下
在elk1安装一台nginx
yum -y install nginx,如果报错改端口号
改完nginx的配置文件 记得重启服务
在elk1安装一台httpd
开启httpd的服务
一个设置this httpd 一个设置this nginx
做httpd的配置文件
做nginx的配置文件
在浏览器查看
直接输IP就是httpd 加上8080端口就是nginx,因为上面的步骤将nginx的端口号改掉了
找到nginx日志的位置
cd /var/log/nginx
看他是不是绿色 如果不是绿色就赋权
先cd到opt 再cd到这个目录
给文件做备份
打开这个配置文件
在148行左右注释elasticsearch outputs
在167行左右取消logstash output的注释
在24行左右把enabled后面改成true ,path后面插七行/var/log/nginx/access.log
/var/log/nginx/error.log
tags:[“nginx”]
fields:
service_name:192.168.233.11_nginx
log_type:nginx
from:192.168.233.11
(以上操作没标注的就都是在elk1操作)
配置logstash
创建目录log 写一个配置文件
写配置文件
cd到/opt/filebeat目录下
启动filebeat
出现这个没问题
nohup是指在后台记录执行命令的过程
.filebeat 运行文件
-e 使用标准输出的同时syslog文件输出
-c 指定配置文件
执行过程输出到filebeat.out这个文件当中 &后台运行
再开启一台elk1的终端
cd到opt里面的filebeat
然后查看日志
cd 到opt目录下的log
执行nginx.conf文件
出现问题先杀进程,以下是查看系统进程
然后杀进程
最后出现这个算成功
刷新
然后命中就会自动出现
远程收集多个日志实验
(Nginx+Apache+Mysql日志)
实验组件
logstash节点:20.0.0.10
Node1节点:node1/20.0.0.20 Elasticsearch
Node2节点:node2/20.0.0.30 Elasticsearch
日志来源服务器:20.0.0.81 MYsql Nginx Apache Filebeat
实验步骤
1.安装Filebeat并配置
#81
cd /opt/
--上传filebeat-6.7.2-linux-x86_64.tar.gz--
tar -xf filebeat-6.7.2-linux-x86_64.tar.gz
mv filebeat-6.7.2-linux-x86_64 filebeat
cd filebeat/
vim filebeat.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
tags: ["nginx_81"]
fields:
service_name: 20.0.0.81_nginx
log_type: nginx
from: 20.0.0.81
- type: log
enabled: true
paths:
- /etc/httpd/logs/access_log
- /etc/httpd/logs/error_log
tags: ["httpd_81"]
fields:
service_name: 20.0.0.81_httpd
log_type: httpd
from: 20.0.0.81
- type: log
enabled: true
paths:
- /usr/local/mysql/data/mysql_general.log
tags: ["mysql_81"]
fields:
service_name: 20.0.0.81_mysql
log_type: mysql
from: 20.0.0.81
--------------Elasticsearch output-------------------
(全部注释掉)
----------------Logstash output---------------------
output.logstash:
hosts: ["20.0.0.10:5045"] #指定logstash的IP和端口
2.配置logstash
10:
cd /opt/log/
vim nhm_81.conf
input {
beats { port => "5045"}
}
output {
if "nginx_81" in [tags] {
elasticsearch {
hosts => ["20.0.0.20:9200","20.0.0.30:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
if "httpd_81" in [tags] {
elasticsearch {
hosts => ["20.0.0.20:9200","20.0.0.30:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
if "mysql_81" in [tags] {
elasticsearch {
hosts => ["20.0.0.20:9200","20.0.0.30:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
stdout {
codec => rubydebug
}
}
3.启动filebeat
nohup ./filebeat -e -c filebeat.yml > filebeat.out &
logstash -f nhm_81.conf --path.data /opt/test2 &
4.结果
