Filebeat安裝及使用

原創 五道杠好青年 2018-09-04 04:52

Filebeat簡介

  • Filebeat由兩個主要組成部分組成:prospector(探勘者)和 harvesters(礦車)。這些組件一起工作來讀取文件並將事件數據發送到指定的output
    • prospector: 負責找到所有需要進行讀取的數據源
    • harvesters:負責讀取單個文件的內容,並將內容發送到output中,負責文件的打開和關閉。

Filebeat工作原理

  • Filebeat可以保持每個文件的狀態,並且頻繁地把文件狀態從註冊表裏更新到磁盤。這裏所說的文件狀態是用來記錄上一次Harvster讀取文件時讀取到的位置,以保證能把全部的日誌數據都讀取出來,然後發送給output。如果在某一時刻,作爲output的ElasticSearch或者Logstash變成了不可用,Filebeat將會把最後的文件讀取位置保存下來,直到output重新可用的時候,快速地恢復文件數據的讀取。在Filebaet運行過程中,每個Prospector的狀態信息都會保存在內存裏。如果Filebeat出行了重啓,完成重啓之後,會從註冊表文件裏恢復重啓之前的狀態信息,讓FIlebeat繼續從之前已知的位置開始進行數據讀取。

Filebeat用途

  • 爲什麼要用filebeat來收集日誌?爲什麼不直接用logstash收集日誌?

因爲logstash是jvm跑的,資源消耗比較大,啓動一個logstash就需要消耗500M左右的內存(這就是爲什麼logstash啓動特別慢的原因),而filebeat只需要10來M內存資源。常用的ELK日誌採集方案中,大部分的做法就是將所有節點的日誌內容通過filebeat發送到logstash,logstash根據配置文件進行過濾。然後將過濾之後的文件輸送到elasticsearch中,通過kibana去展示。

  • 適用於集羣環境下,服務多,且部署在不同機器

Filebeat安裝

啓動

  • ./filebeat -e -c filebeat.yml

    • -c:配置文件位置
    • -path.logs:日誌位置
    • -path.data:數據位置
    • -path.home:家位置
    • -e:關閉日誌輸出
    • -d 選擇器:啓用對指定選擇器的調試。 對於選擇器,可以指定逗號分隔的組件列表,也可以使用-d“*”爲所有組件啓用調試.例如,-d“publish”顯示所有“publish”相關的消息。

  • 後臺啓動filebeat

    • nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 & 將所有標準輸出及標準錯誤輸出到/dev/null空設備,即沒有任何輸出
    • nohup ./filebeat -e -c filebeat.yml > filebeat.log &

    停止filebeat:ps -ef |grep filebeat, kill -9 pid

啓動返回:

2018-03-26T14:43:12.218+0800    INFO    instance/beat.go:468    Home path: [/usr/local/elk/filebeats/filebeat-6.2.1-linux-x86_64] Config path: [/usr/local/elk/filebeats/filebeat-6.2.1-linux-x86_64] Data path: [/usr/local/elk/filebeats/filebeat-6.2.1-linux-x86_64/data] Logs path: [/usr/local/elk/filebeats/filebeat-6.2.1-linux-x86_64/logs]
2018-03-26T14:43:12.218+0800    INFO    instance/beat.go:475    Beat UUID: 0aac391c-e8ef-4437-b5d0-62c147b118ee
2018-03-26T14:43:12.218+0800    INFO    instance/beat.go:213    Setup Beat: filebeat; Version: 6.2.3
2018-03-26T14:43:12.218+0800    INFO    elasticsearch/client.go:145 Elasticsearch url: http://172.30.1.45:9200
2018-03-26T14:43:12.218+0800    INFO    pipeline/module.go:76   Beat name: iZ2ze2lelgjwuyib5l73eaZ
2018-03-26T14:43:12.219+0800    INFO    instance/beat.go:301    filebeat start running.
2018-03-26T14:43:12.219+0800    INFO    registrar/registrar.go:108  Loading registrar data from /usr/local/elk/filebeats/filebeat-6.2.1-linux-x86_64/data/registry
2018-03-26T14:43:12.219+0800    INFO    registrar/registrar.go:119  States Loaded from registrar: 0
2018-03-26T14:43:12.219+0800    INFO    crawler/crawler.go:48   Loading Prospectors: 1
2018-03-26T14:43:12.219+0800    INFO    crawler/crawler.go:82   Loading and starting Prospectors completed. Enabled prospectors: 0
2018-03-26T14:43:12.219+0800    INFO    [monitoring]    log/log.go:97   Starting metrics logging every 30s
2018-03-26T14:43:12.219+0800    INFO    cfgfile/reload.go:127   Config reloader started
2018-03-26T14:43:12.219+0800    INFO    cfgfile/reload.go:219   Loading of config files completed.

結合logstash測試

  • 準備日誌文件,放置filebeat監聽日誌目錄下:
mkdir -p /usr/local/elk/filebeats/log

上傳日誌文件xxx.log
  • 新建logstash_filebeat.conf,內容如下:
input {
  beats {
    port => 5044
  }
}
output {
        stdout { codec => rubydebug }
}

  • 啓動logstash:logstash -f logstash_filebeat.conf

  • 修改filebeat.yml

filebeat:
  prospectors:
  -
      paths:
        - /usr/local/elk/log/*.log
      fields:
         service: project_name
output:
  #elasticsearch:
  #   hosts: ["localhost:9200"]
   logstash:
    hosts: ["172.30.1.45:5044"]

  • bin目錄下啓動filebeat:./filebeat -e -c filebeat.yml -d “publish”

  • 現象:logstash控制檯輸出日誌。

filebeat輸出到elasticsearch,通過kibana展示

  • 準備logstash配置文件,內容如下:
input {
  beats {
    port => 5044
  }
}
filter{
        if [fields][service] == "project_name" {
            multiline {
                    pattern => "^20" negate => true what => "previous"
            }
            grok {
                    match => { "message" => "\s*%{TIMESTAMP_ISO8601:log_print_time} \s*%{LOGLEVEL:log_level} \s*\[%{DATA:thread_number}\] \s*%{LOGLEVEL:log_level1} \s*%{DATA:method}\-\> \s*(?<info>([\s\S]*))"}
            }
            date {
                    match => ["log_print_time", "yyyy-MM-dd HH:mm:ss,SSS"]
                    target => "@timestamp"
            }
            mutate {  
                    remove_field => ["log_print_time"]  
            }  
        }
}

output {

if[fields][service] == "project_name" {
  elasticsearch {
        hosts => ["172.30.1.45:9200"]
        index => "project_name-%{+YYYY.MM.dd}"
    }
}
 stdout {
        codec=> rubydebug
        }
}

Filebeat配置多個探索者(prospectors)

filebeat:
  prospectors:
  -
      paths:
        - /usr/local/elk/redislog/*.log
    # 相當於logstash中的type
      fields:
         service: redis
  -
      paths:
        - /usr/local/elk/log/*.log
      fields:          
         service: ecps

output:
  #elasticsearch:
  #   hosts: ["localhost:9200"]
   logstash:
    hosts: ["172.30.1.45:5044"]

參考博客:https://blog.csdn.net/fenglailea/article/details/52486471

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

日誌分析系統ELK安裝(單機)

下載ElasticSearch、Logstash、Kibana安裝包。 百度雲地址: 鏈接:https://pan.baidu.com/s/104Qae0x5epXJO39iQzaoNw 提取碼:2cl5 ElK + Filebe

DavidLee9 2020-07-08 10:31:09

Oracle原理: 歸檔方式和日誌文件

一、聯機日誌、聯機日誌組 oracle聯機重做日誌放在了 /oracle/oradata/orcl下,有3個REDO.log,記錄了對數據庫的所有的操作。用戶在對數據庫進行操作時,後臺進程LGWR就會把日誌緩衝區的重做條目就會寫到重做日誌

superSmart_Dong 2020-07-08 10:22:45

slf4J輸出mybatis日誌的方法(非stdout方式)

slf4J輸出mybatis日誌的方法(非stdout方式)前言依賴配置slf4j配置mybatis配置效果其他幾種配置附 前言 現在很多項目中都是直接用的@Slf4j的註解來打印日誌,然後又想看mybatis的日誌,自己之前也各

zzzgd_666 2020-07-08 07:44:49

09.2.5

因爲無法忍受冠捷液晶電視一個星期左右才能到貨的等待,我早上殺至中關村選電視。先看帶TV功能的液晶顯示器,這類產品比較少且價格不低。看中三星的一款和LG的一款,價格差不多都1700多,感覺三星的2232MW外觀非常漂亮功能也很強大,可是價格

crespo5454 2020-07-07 17:44:00

09.2.3

年過完了,今天一早坐飛機回北京了,生活要重回正軌了。。。。   上次坐飛機還是十幾年前的事了,因此這次還是比較興奮+緊張~我剛好坐在窗邊,飛機起飛,看着景物慢慢變小,然後一片雲海,感覺挺OK。不過不時有氣流漂過,把飛機搞得一晃一晃的,我的

crespo5454 2020-07-07 17:43:49

09.2.12

經過了一百多天快四個月沒有雨水之後,北京今天終於下雨了~真不容易啊~雖然我不太喜歡雨天,可是這麼久不見也挺想念的,呵呵   下午剛來上班就被抓去開會了,確定了UOPM下一步的開發計劃,主要增加功能: 1.可以保存每個節點Widget的設置

crespo5454 2020-07-07 17:43:48

09.2.18

爲了UOPM和Cross Sell連續奮戰了好幾天了,今天終於有些階段性的成果了,呵呵   UOPM的主要功能模塊的改進都基本完成了,四個主要的新功能都實現了。爲Demo而開發的ViewResponse的iWidget也差不多完成了,明天

crespo5454 2020-07-07 17:43:48

09.2.25

原定於明天的演示會議改期了......   不過今天給大老闆殷健進行了一次比較正式的演示,大概總共演示了快一個小時,說的我口乾舌燥啊.....還好中間基本沒有出現什麼Bug,比較順利,而且殷健似乎對於我們的演示挺感興趣的~   不管怎麼樣

crespo5454 2020-07-07 17:43:48

09.2.11

上午學英語,下午來上班。   昨天謝領導給咱開了個會,讓我們繼續開發UOPM項目,並要求我們開發一個應用場景-一個類似於“京東商城”的B2C購物流程。根據這個場景,我們討論了現有的UOPM項目需要改進的功能 。月底要演示,時間挺緊的,要加

crespo5454 2020-07-07 17:43:48

09.1.23

上午睡了個大懶覺,中午趕到王斌家。   喫過飯後,把Xbox360拿出來,裝好,開機,終於玩到了,哈哈   把買的時候送的遊戲一個個拿出來試了一遍,爽啊,雖然他家的電視太爛,不過還是把衆人看的一愣一愣的   晚上喫完飯以後,就要準備上火車

crespo5454 2020-07-07 17:43:47

elasticsearch reindex和sort的使用

背景 使用sort的時候需要注意,如果排序字段是字符串類型的(text、string),那麼會按照排序字段的值的字典順序進行排序。 而有時候我們需要按照實際數值進行排序,這時候就需要重建索引reindex,重建索引的時候使用新的模板或指定

ASN_forever 2020-07-08 10:43:37

ELK-filbeate收集tomcat日誌

filebeat作爲代理安裝在服務器上,監視指定的日誌文件或位置,收集日誌事件,並將他們轉發到logstash,elasticsearch,kafka等 input 我們要採集的日誌文件路徑, 收割機 harvester 監聽文件

寰宇001 2020-07-07 22:50:11

logstash常見數據清洗配置

ogstash通過插件的形式來配置input,filter,output,在消費數據後,如果需要對數據做處理,需要用到filter的很多功能。最近使用logstash傳遞kafka數據到es時,瞭解了一些logstash處理數據的方式,以

开飞机的舒克贝塔 2020-07-07 17:40:23

ELK filter 查詢

filter 查詢不計算相關性,同時可以 cache ,因此 filter 速度要快於 query. POST /lib4/items/_bulk {"index":{"_id":1}} {"price":40,"itemID":"ID1

daicooper 2020-07-07 16:07:22

docker-compose安裝elk6.8.8

      - TAKE_FILE_OWNERSHIP=true #允許掛載,不然es容器啓動不了 version: '3' services: elasticsearch: image: elasticsearch:6.8

2018_like菜 2020-07-07 15:48:56