kibana日誌收集

原創 tinysakurac 2020-06-27 01:37

一、Kibana安裝
Kibana 是爲 Elasticsearch 設計的開源分析和可視化平臺。你可以使用 Kibana 來搜索,查看存儲在 Elasticsearch 索引中的數據並與之交互。你可以很容易實現高級的數據分析和可視化,以圖表的形式展現出來。

kiabana下載地址:https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm

[root@linux-node1 ~]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm
[root@linux-node1 ~]# yum install -y kibana-6.0.0-x86_64.rpm 
[root@linux-node1 ~]# vim /etc/kibana/kibana.yml 
[root@linux-node1 ~]# grep "^[a-Z]" /etc/kibana/kibana.yml 
server.port: 5601        #監聽端口
server.host: "192.168.56.11"      #監聽IP地址,建議內網ip
elasticsearch.url: "http://192.168.56.11:9200"       #elasticsearch連接kibana的URL,也可以填寫192.168.56.12,因爲它們是一個集羣
[root@linux-node1 ~]# systemctl enable kibana
Created symlink from /etc/systemd/system/multi-user.target.wants/kibana.service to /etc/systemd/system/kibana.service.
[root@linux-node1 ~]# systemctl start kibana
監聽端口爲:5601
[root@linux-node1 ~]# ss -tnl
State       Recv-Q Send-Q                                                 Local Address:Port                                                                Peer Address:Port              
LISTEN      0      128                                                                *:9100                                                                           *:*                  
LISTEN      0      128                                                                *:22                                                                             *:*                  
LISTEN      0      100                                                        127.0.0.1:25                                                                             *:*                  
LISTEN      0      128                                                    192.168.56.11:5601                                                                           *:*                  
LISTEN      0      128                                             ::ffff:192.168.56.11:9200                                                                          :::*                  
LISTEN      0      128                                             ::ffff:192.168.56.11:9300                                                                          :::*                  
LISTEN      0      128                                                               :::22                                                                            :::*                  
LISTEN      0      100                                                              ::1:25                                                                            :::*                  
LISTEN      0      80                                                                :::3306                                                                          :::*

瀏覽器訪問192.168.56.11:5601,如圖:
在這裏插入圖片描述
可以通過http://192.168.56.11:5601/status 來查看看是否正常,如果不正常,是無法進入到上圖界面
在這裏插入圖片描述

二、通過配置logstash文件收集message日誌
1、Kibana展示上一節的日誌
在Kibana上展示上一節收集的日誌信息,添加索引,如圖:
在這裏插入圖片描述
點擊“discover”查看收集的信息,如圖:
在這裏插入圖片描述

2、使用logstash配置文件收集messages日誌
編輯logstash的配置文件:

[root@linux-node1 ~]# vim /etc/logstash/conf.d/system.conf
input {
  file {
    path => "/var/log/messages"     #日誌路徑
    type => "systemlog"      #類型
    start_position => "beginning"    #logstash 從什麼位置開始讀取文件數據,默認是結束位置,也就是說 logstash 進程會以類似 tail -F 的形式運行。如果你是要導入原有數據,把這個設定改成"beginning",logstash 進程就從頭開始讀取,類似 less +F 的形式運行。
    stat_interval => "2"  #logstash 每隔多久檢查一次被監聽文件狀態(是否有更新) ,默認是 1 秒。
  }
}
 
output {
  elasticsearch {
    hosts => ["192.168.56.11:9200"]      #指定hosts
    index => "logstash-systemlog-%{+YYYY.MM.dd}"    #索引名稱
  }
 
}
[root@linux-node1 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system.conf -t     #檢測配置文件是否有語法錯誤
OpenJDK 64-Bit Server VM warning: If the number of processors is expected to increase from one, then you should configure the number of parallel GC threads appropriately using -XX:ParallelGCThreads=N
WARNING: Could not find logstash.yml which is typically located in $LS_HOME/config or /etc/logstash. You can specify the path using --path.settings. Continuing using the defaults
Could not find log4j2 configuration at path /usr/share/logstash/config/log4j2.properties. Using default config which logs errors to the console
Configuration OK
[root@linux-node1 ~]# ll /var/log/messages 
-rw-------. 1 root root 791209 12月 27 11:43 /var/log/messages

#這裏可以看到該日誌文件是600權限,而elasticsearch是運行在elasticsearch用戶下,這樣elasticsearch是無法收集日誌的。所以這裏需要更改日誌的權限,否則會報權限拒絕的錯誤。在日誌中查看/var/log/logstash/logstash-plain.log 是否有錯誤

[root@linux-node1 ~]# chmod 644 /var/log/messages 
[root@linux-node1 ~]# systemctl restart logstash

在管理界面查看是否有相應的索引(logstash-systemlog-2017.12.27),如圖:
在這裏插入圖片描述
添加到Kibana中展示,創建索引:
在這裏插入圖片描述
查看日誌
在這裏插入圖片描述

三、使用一個配置文件收集多個日誌
修改logstash的配置文件,這裏增加收集數據庫mariadb的日誌:

[root@linux-node1 ~]# vim /etc/logstash/conf.d/system.conf 
input {
  file {
        path => "/var/log/messages"
        type => "systemlog"
        start_position => "beginning"
        stat_interval => "2"
  }
  file {
        path => "/var/log/mariadb/mariadb.log"
        type => "mariadblog"
        start_position => "beginning"
        stat_interval => "2"
  }
}
 
output {
  if [type] == "systemlog" {       #使用if來判斷類型,並輸出到elasticsearch和file,展示一個out可以作多樣輸出
  elasticsearch {
        hosts => ["192.168.56.11:9200"]
        index => "logstash-systemlog-%{+YYYY.MM.dd}"
  }
  file {
        path => "/tmp/logstash-systemlog-%{+YYYY.MM.dd}"
 
  }}
  if [type] == "mariadblog" {
  elasticsearch {
        hosts => ["192.168.56.11:9200"]
        index => "logstash-mariadblog-%{+YYYY.MM.dd}"
  }
  file {
        path => "/tmp/logstash-mariadblog-%{+YYYY.MM.dd}"
  }}
 
}

配置文件檢測語法是否正常:

[root@linux-node1 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system.conf -t
OpenJDK 64-Bit Server VM warning: If the number of processors is expected to increase from one, then you should configure the number of parallel GC threads appropriately using -XX:ParallelGCThreads=N
WARNING: Could not find logstash.yml which is typically located in $LS_HOME/config or /etc/logstash. You can specify the path using --path.settings. Continuing using the defaults
Could not find log4j2 configuration at path /usr/share/logstash/config/log4j2.properties. Using default config which logs errors to the console
Configuration OK

重啓logstash:

[root@linux-node1 ~]# systemctl restart logstash
修改mariadb的日誌權限:
[root@linux-node1 ~]# ll /var/log/mariadb/ -d
drwxr-x--- 2 mysql mysql 24 12月  4 17:43 /var/log/mariadb/
[root@linux-node1 ~]# chmod 755 /var/log/mariadb/
[root@linux-node1 ~]# ll /var/log/mariadb/mariadb.log 
-rw-r----- 1 mysql mysql 114993 12月 27 14:23 /var/log/mariadb/mariadb.log
[root@linux-node1 ~]# chmod 644 /var/log/mariadb/mariadb.log

通過head插件查看:
在這裏插入圖片描述
查看是否在/tmp下收集到了日誌數據

[root@linux-node1 ~]# ll /tmp/logstash-*
-rw-r--r-- 1 logstash logstash 288449 12月 27 14:27 /tmp/logstash-mariadblog-2017.12.27
-rw-r--r-- 1 logstash logstash  53385 12月 27 14:28 /tmp/logstash-systemlog-2017.12.27

Kibana創建索引:
在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

阿里雲可觀測 2024 年 4 月產品動態

本月可觀測熱文回顧 文章一覽: 無需重新學習,使用 Kibana 查詢/可視化 SLS 數據 SLS 查詢新範式:使用 SPL 對日誌進行交互式探索 更優性能與性價比,從自建 ELK 遷移到 SLS 開始 日誌服務 HarmonyOS NE

原創 2024-05-11 21:14:59

kibana 裏面怎麼通過搜索框,搜索規則-通配符查詢

1.比如這是一個完整的token:getstorelistbyxy:channelcodemini_program 我想通過搜索getstorelistbyxy搜索到這個token該怎麼寫 通配符查詢-前綴匹配加* getstorelist

原創 2024-05-07 11:24:49

無需重新學習,使用 Kibana 查詢/可視化 SLS 數據

作者:荊磊 場景 現在通過 SLS 的 ES 兼容能力,可以很方便地實現用 Kibana 來查詢和可視化 SLS 的數據。對於從 ES 遷移到 SLS 的用戶可以繼續保留原來的 Kibana 使用習慣。下面來演示如何通過 Kibana 來訪

原創 2024-04-28 21:12:20

更優性能與性價比,從自建 ELK 遷移到 SLS 開始

作者:荊磊 背景 ELK (Elasticsearch、Logstash、Kibana) 是當下開源領域主流的日誌解決方案,在可觀測場景下有比較廣泛的應用。 隨着數字化進程加速,機器數據日誌增加,自建 ELK 在面臨大規模數據、查詢性能等方

原創 2024-04-15 21:12:22

甲方安全建設之日誌採集實操乾貨

前言 沒有永遠的安全,如何在被攻擊的情況下,快速響應和快速溯源分析攻擊動作是個重要的話題。想要分析攻擊者做了什麼、怎麼攻擊進來的、還攻擊了誰,那麼日誌是必不可少的一項,因此我們需要儘可能採集多的日誌來進行分析攻擊者的動作,甚至在攻擊者剛落

原創 2024-04-07 22:46:03

如何保障服務的高可用:提升可觀測性

保障服務的高可用,必不可少的措施,就是需要對服務資源使用度量情況、運行異常、邏輯錯誤、請求鏈路、等各項度量指標、日誌和鏈路瞭如指掌,並且通過對服務的實時監控和分析,配置指標預警值,對異常進行告警,通知到相關負責人,通過可觀測性的提升,預防和

原創 2024-02-26 00:41:47

centos7 搭建kibana-8.8.1

1、下載      官網地址:https://www.elastic.co/cn/downloads/kibana      華爲鏡像:https://mirrors.huaweicloud.com/kibana/      官網下載速度比

原創 2023-08-19 09:20:44

Camunda簡介及開源協議

Camunda (Github,官網)是一個工作流引擎。目前提供二個主線版本7.X 與 8.X,二個主線版本架構上並不相同。 7.X與Activiti, Flowable 等開源工作流類似,以數據庫爲基礎,迭代完善的BPMN,DMN等功

原創 2023-02-01 23:36:06

es使用記錄

此文章要對ES有一些基礎 應用背景:官網重建,需要全網站檢索所有的文章、服務、附件等;數據庫設計上,由於業務隔離的原因,數據被分散在各個表中 技術選型:在開發週期限制條件下,準備了兩個方案:                   1、查詢直

原創 2022-04-30 12:55:14

ES數據遷移Reindex

數據遷移:Reindex: ES提供了_reindex這個API。相對於程序重新導入數據快,實測速度大概是bulk導入數據的5-10倍。 數據遷移步驟: 1、創建新的索引 2、遷移數據 1)代碼請求: POST _reindex { "

曾阿倫 2022-04-30 11:03:19

OS X 上運行 kibana 的錯誤處理:nodegit.node 無法打開

在 OS X 上從官網上下載 kibana 安裝包,解壓運行 bin/kibana 後報錯 解決辦法: 在解壓前先執行:xattr -d com.apple.quarantine kibana-xxxxx.tar.gz 然後再解壓啓動就可

原創 2022-04-30 10:35:50

es聚合統計查詢

#基數統計 GET kibana_sample_data_ecommerce/_search {   "size": 0,   "aggs": {     "customer_id_card": {       "cardinality":

原創 2022-04-30 09:29:49

Rainbond通過插件整合ELK/EFK,實現日誌收集

前言 ELK 是三個開源項目的首字母縮寫:Elasticsearch、Logstash 和 Kibana。但後來出現的 FileBeat 可以完全替代 Logstash的數據收集功能,也比較輕量級。本文將介紹 EFK: Elasticsea

原創 2021-12-27 21:28:31

AWS SAP-C01 (361-370)

一家公司有一個使用 PostgreSQL 數據庫來持久化事件的本地監控解決方案。由於大量攝取,數據庫無法擴展,並且經常用完存儲。該公司希望創建一個混合解決方案,並且已經在其網絡和 AWS 之間建立了 VPN 連接。解決方案應包括以下屬性

原創 2021-12-25 21:45:35

es的URI Search詳解

#泛查詢 GET kibana_sample_data_flights/_search?q=2021 {   "profile": true } #指定字段查詢 GET kibana_sample_data_flights/_search?

原創 2021-12-25 21:39:28