ELK日志处理部署笔记-2.logstash实时处理
logstash概述
什么是logstash
-是一个数据采集、加工处理以及传输的工具
特点
-所有类型的数据集中处理
-不同模式和格式数据的正常化
-自定义日志格式的迅速扩展
-为自定义数据源轻松添加插件
为什么使用logstash
将日志转化为json使elasticasearch可读
下载
#logstash的配置文件需要在执行文件目录中,但是redhat下载可能会分散文件,所以需要手动将连接放到目录下
ln -s /etc/logstash /usr/share/logstash/config
#查看插件
/usr/share/logstash/bin/logstash-plugin list
#开始
/usr/share/logstash/bin/logstash
配置模块
配置文件位于
/etc/logstash/conf.d/【自定义】.conf 文件名自定义
设置
input {
file {
path => ["/tmp/c.log"]
start_position => "beginning"
sincedb_path => "/var/lib/logstash/sincedb"
}
}
filter{
grok {
match => { "message" => "%{HTTPD_COMBINEDLOG}" }
remove_field => ["message"]
}
}
output{
stdout{ codec => "rubydebug" }
elasticsearch {
hosts => ["es-0002:9200","es-0003:9200"]
index => "weblog-%{+YYYY.MM.dd}"
}
}
input
- file插件start_position这个参数指示Logstash从日志文件的开头开始读取数据。如果设置为 "beginning",无论Logstash之前是否处理过该文件,它都会从文件的第一行开始重新读取。
- file插件sincedb是Logstash用来记录每个被监控日志文件的读取位置(即最后一次读到哪一行),如果你希望Logstash每次启动都从日志文件的开头读取,可以把这个路径设为 /dev/null,这样Logstash就会忽略之前保存的读取位置信息。
filter - grok插件的宏定义,可以正则匹配http的日志格式,还有其他宏文件位于/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.3.4/patterns/
- elasticsearch插件,hosts => 指定监听的elasticasearch服务器, index =>以天为单位生成索引
结果
附注
遇到一次目录文件无法被写入的情况,发现问题在于logstash目录权限,如果不属于logstash需要手动改变目录权限
chown -R logstash: /var/log/logstash /var/lib/logstash
systemctl restart logstash.service
web日志实时分析
我们需要将网站服务器的日志实时的被logstash读取
为什么是filebeat?
如果使用nfs共享日志目录到logstash,对nfsIO消耗巨大
如果直接将logstash装到网站服务器,将消耗网站服务器资源
所以使用网站服务器上安装filebeat的方法传送日志内容
什么是filebeat?
-filebeat 是使用 Golang 实现的轻量型日志采集器,也是
Elasticsearch stack 里面的一员。
-filebeat 占用资源非常小,可以忽略不计
-filebeat 本质上是一个agent,可以安装在应用服务器各
个节点上,根据配置读取对应位置的日志文件,并通过网络
上报到相应的服务中
beats 插件概述
-beats 是 logstash input 模块的插件
-配合filebeat,专门用来接收 filebeat 发送过来的日志
-默认监听在 5044 端口上
-可以同时接收多台不同主机发送过来的日志信息
配置filebeat
dnf install -y filebeat
systemctl enable filebeat
vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: filestream
id: my-filestream-id # 如果同时配置多个收集器,id不能重复
enabled: true # 打开收集模块
paths:
- /var/log/httpd/access_log # 日志文件路径
...略
# 注释掉 Elasticsearch 配置
# 注释掉 Elasticsearch 配置
...略
output.logstash: # 设置输出模块
hosts: ["192.168.1.27:5044"] # 输出给logstash
...略
# 设置识别标签
fields:
logtype: apache_log
...略
# 清理冗余数据
: processors:
- drop_fields:
fields:
- log
- offset
- agent
- ecs
# 后面内容是发送本机信息的,如不需要可注释掉
rm -f /var/log/httpd/*
systemctl restart filebeat httpd
# 测试验证: 访问页面,观察 logstash 是否能够获取数据
curl http://192.168.1.11/info.php
在logstash上配置
刚才的配置文件只需要改变input即可
input {
beats {
port => 5044
}
}
/usr/share/logstash/bin/logstash #开始调试