首页 文章 精选 留言 我的

filebeat+kafka+ELK5.4安装与部署

2017-11-11 575

用ELK打造强大的日志分析平台,具体拓扑结构如下:


wKioL1k5A2ejCCqMAAJRKsxLl6M625.png-wh_50


在这里我们将进行kafka+filebeat+ELK5.4的部署

各软件版本

1
2
3
4
5
6
jdk-8u131-linux-i586. tar .gz
filebeat-5.4.0-linux-x86_64. tar .gz
elasticsearch-5.4.0. tar .gz
kibana-5.4.0-linux-x86_64. tar .gz
logstash-5.4.0. tar .gz
kafka_2.11-0.10.0.0.tgz

1、JDK安装配置(略过)


2、ELK安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
创建ELK用户,并进行文件解压
 
1.elasticsearch配置
 
[elk@localhost elasticsearch-5.4.0]$  vi  config /elasticsearch .yml 
.....
network.host: 192.168.12.109
#
# Set a custom port for HTTP:
#
http.port: 9200
 
..........
 
保存,启动
[elk@localhost elasticsearch-5.4.0]$  nohup  bin /elasticsearch  &
验证
#
[elk@localhost elasticsearch-5.4.0]$ curl http: //192 .168.12.109:9200
{
   "name"  "aCA2ApK" ,
   "cluster_name"  "elasticsearch" ,
   "cluster_uuid"  "Ea4_9kXZSaeDL1fYt4lUUQ" ,
   "version"  : {
     "number"  "5.4.0" ,
     "build_hash"  "780f8c4" ,
     "build_date"  "2017-04-28T17:43:27.229Z" ,
     "build_snapshot"  false ,
     "lucene_version"  "6.5.0"
   },
   "tagline"  "You Know, for Search"
}
 
2、kibana安装与配置
 
[elk@localhost kibana-5.4.0-linux-x86_64]$  vi  config /kibana .yml 
## Kibana is served by a back end server. This setting specifies the port to use.
server.port: 5601
 
# Specifies the address to which the Kibana server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host:  "192.168.12.109"
..........
# The URL of the Elasticsearch instance to use for all your queries.
elasticsearch.url:  "http://192.168.12.109:9200"
..........
[elk@localhost kibana-5.4.0-linux-x86_64]$  nohup  bin /kibana  &
 
在浏览器访问  能访问即可


3、kafka安装与配置

这里我们只做单机192.168.12.105部署单节点centos kafka单包单机部署


4、logstah安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
[elk@localhost logstash-5.4.0]$  vi  nginx.conf    这里新生成一个配置文件
 
input {
        kafka  {
        codec =>  "json"
      topics_pattern =>  "logstash-.*"
      bootstrap_servers =>  "192.168.12.105:9092"
      auto_offset_reset =>  "latest"
      group_id =>  "logstash-g1"
   }
 
 
}
 
filter {
     if  "nginx-accesslog"  in  [tags] {
         grok {
                 match => {  "message"  =>  "%{IPORHOST:http_host} %{IPORHOST:clientip} - %{USERNAME:remote_user} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{QS:agent} %{QS:xforwardedfor} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}" }
         }
         mutate {
                 convert => [ "status" , "integer" ]
                 convert => [ "body_bytes_sent" , "integer" ]
                 convert => [ "request_time" , "float" ]
         }
         geoip {
                 source => "remote_addr"
         }
         date  {
                 match => [  "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
         }
         useragent {
                 source => "http_user_agent"
         }
}
 
 
 
     if  "tomcat-accesslog"   in  [tags] {
         grok {
            match => {  "message"  =>  "%{IPORHOST:clientip} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}" }
             }
         date  {
                match => [  "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
         }
}
}
 
output {
 
     elasticsearch {
       hosts => [ "192.168.12.109:9200" ]
         index =>  "logstash-%{type}-%{+YYYY.MM.dd}"
         document_type =>  "%{type}"
     }
 
#stdout { codec => rubydebug }
}
 
保存,并启动
[elk@localhost logstash-5.4.0]$  nohup  bin /logstash  -f nginx.conf &

5、filebeat安装与配置

将filebeat分别拷贝到需要采集的服务器,进行解压,在这里我们分别采集Nginx,tomcat日志

Nginx服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$  vi  filebeat.yml 
filebeat.prospectors:
- input_type: log
   paths:
     /data/programs/nginx/logs/access .log
   tags: [ "nginx-accesslog" ]
   document_type: nginxaccess
tags: [ "nginx-test-194" ]
output.kafka:
   enabled:  true
   hosts: [ "192.168.12.105:9092" ]
   topic: logstash-%{[ type ]}
 
 
[user@localhost filebeat-5.4.0-linux-x86_64]$ nohup  filebeat -c filebeat.yml &

tomcat服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$  vi  filebeat.yml
  filebeat.yml 
filebeat.prospectors:
- input_type: log
   paths:
     /data/tomcat/logs/localhost_access_log *
   tags: [ "tomcat-accesslog" ]
   document_type: tomcataccess
tags: [ "tomcat103" ]
output.kafka:
   enabled:  true
   hosts: [ "192.168.12.105:9092" ]
   topic: logstash-%{[ type ]}
   
[user@localhost filebeat-5.4.0-linux-x86_64]$ nohup  filebeat -c filebeat.yml &


完成以上,我们的平台就搭建好了,接下来我们创建索引

输入:logstash-nginxaccess*

wKiom1k5DQzBatopAAF9YLhIDj0687.png-wh_50

输入logstash-tomcataccess*

wKioL1k5DQewY4_AAAF4zcmmpqA379.png-wh_50


数据通过filebeat到kafka、ELK成功展示出来

wKioL1k5DgugFwsJAAIU3Bs2DJ0622.png-wh_50


来张炫图

wKioL1k5DonwjOEZAATWnNWcVFI152.png-wh_50



本文转自 jackjiaxiong 51CTO博客,原文链接:http://blog.51cto.com/xiangcun168/1933509

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/549352

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Filebeat 关键字多行匹配日志采集(multiline与include_lines)

Filebeat 关键字多行匹配日志采集(multiline与include_lines)

很多同事认为filebeat采集日志不能做到多行处理,今天这里讨论下filebeat的multiline与include_lines。 先来个案例,以下日志,我们只要求采集error的字段, 1 2 3 2017 /06/22 11:26:30[error]26067 #0:*17918connect()failed(111:Connectionrefused)whileconnectingtoupstream,client:192.168.32.17,server:localhost,request:"GET/wss/HTTP/1.1",upstream:"http://192.168.12.106:8010/",host:"192.168.12.106" 2017 /06/22 11:26:30[info]26067 #0: 2017 /06/22 12:05:10[error]26067 #0:*17922open()"/data/programs/nginx/html/ws"failed(2:Nosuchfileordirectory),client:192.168.32.1...
2017-11-12
744
上一篇
hadoop之 hadoop用途方向

hadoop之 hadoop用途方向

hadoop是什么? Hadoop是一个开源的框架,可编写和运行分不是应用处理大规模数据,是专为离线和大规模数据分析而设计的,并不适合那种对几个记录随机读写的在线事务处理模式。Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的性能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。用函数式变成Mapreduce代替SQL,SQL是查询语句,而Mapreduce则是使用脚本和代码,而对于适用于关系型数据库,习惯SQL的Hadoop有开源工具hive代替。 hadoop能做什么? hadoop擅长日志分析,facebook就用Hive来进行日志分析,2009年时facebook就有非编程人员的30%的人使用HiveQL进行数据分析;淘宝搜索中的自定义筛选也使用的Hive;利用Pig还可以做高级的数据处理,包括Twitter、LinkedIn 上用于发现您可能认识的人,可以实现类似Amazon.com的协同过...
2017-11-12
541
下一篇

相关文章

发表评论

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-03 大小: 211.28KB 下载: 53次
Oracle

Oracle

Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

时间: 2025-12-03 大小: 2.6GB 下载: 112次
Eclipse

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言,它只是一个框架和一组服务,用于通过插件组件构建开发环境。幸运的是,Eclipse 附带了一个标准的插件集,包括Java开发工具(Java Development Kit,JDK)。

时间: 2025-12-03 大小: 190MB 下载: 33次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
HarmonyOS NEXT 服务网格 Redis Docker Jdk25 SpringCloud ChatGPT K8s SpringBoot Nacos DeepSeek

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273