首页 文章 精选 留言 我的

filebeat+kafka+ELK5.4安装与部署

2017-11-11 592

用ELK打造强大的日志分析平台,具体拓扑结构如下:


wKioL1k5A2ejCCqMAAJRKsxLl6M625.png-wh_50


在这里我们将进行kafka+filebeat+ELK5.4的部署

各软件版本

1
2
3
4
5
6
jdk-8u131-linux-i586. tar .gz
filebeat-5.4.0-linux-x86_64. tar .gz
elasticsearch-5.4.0. tar .gz
kibana-5.4.0-linux-x86_64. tar .gz
logstash-5.4.0. tar .gz
kafka_2.11-0.10.0.0.tgz

1、JDK安装配置(略过)


2、ELK安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
创建ELK用户,并进行文件解压
 
1.elasticsearch配置
 
[elk@localhost elasticsearch-5.4.0]$  vi  config /elasticsearch .yml 
.....
network.host: 192.168.12.109
#
# Set a custom port for HTTP:
#
http.port: 9200
 
..........
 
保存,启动
[elk@localhost elasticsearch-5.4.0]$  nohup  bin /elasticsearch  &
验证
#
[elk@localhost elasticsearch-5.4.0]$ curl http: //192 .168.12.109:9200
{
   "name"  "aCA2ApK" ,
   "cluster_name"  "elasticsearch" ,
   "cluster_uuid"  "Ea4_9kXZSaeDL1fYt4lUUQ" ,
   "version"  : {
     "number"  "5.4.0" ,
     "build_hash"  "780f8c4" ,
     "build_date"  "2017-04-28T17:43:27.229Z" ,
     "build_snapshot"  false ,
     "lucene_version"  "6.5.0"
   },
   "tagline"  "You Know, for Search"
}
 
2、kibana安装与配置
 
[elk@localhost kibana-5.4.0-linux-x86_64]$  vi  config /kibana .yml 
## Kibana is served by a back end server. This setting specifies the port to use.
server.port: 5601
 
# Specifies the address to which the Kibana server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host:  "192.168.12.109"
..........
# The URL of the Elasticsearch instance to use for all your queries.
elasticsearch.url:  "http://192.168.12.109:9200"
..........
[elk@localhost kibana-5.4.0-linux-x86_64]$  nohup  bin /kibana  &
 
在浏览器访问  能访问即可


3、kafka安装与配置

这里我们只做单机192.168.12.105部署单节点centos kafka单包单机部署


4、logstah安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
[elk@localhost logstash-5.4.0]$  vi  nginx.conf    这里新生成一个配置文件
 
input {
        kafka  {
        codec =>  "json"
      topics_pattern =>  "logstash-.*"
      bootstrap_servers =>  "192.168.12.105:9092"
      auto_offset_reset =>  "latest"
      group_id =>  "logstash-g1"
   }
 
 
}
 
filter {
     if  "nginx-accesslog"  in  [tags] {
         grok {
                 match => {  "message"  =>  "%{IPORHOST:http_host} %{IPORHOST:clientip} - %{USERNAME:remote_user} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{QS:agent} %{QS:xforwardedfor} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}" }
         }
         mutate {
                 convert => [ "status" , "integer" ]
                 convert => [ "body_bytes_sent" , "integer" ]
                 convert => [ "request_time" , "float" ]
         }
         geoip {
                 source => "remote_addr"
         }
         date  {
                 match => [  "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
         }
         useragent {
                 source => "http_user_agent"
         }
}
 
 
 
     if  "tomcat-accesslog"   in  [tags] {
         grok {
            match => {  "message"  =>  "%{IPORHOST:clientip} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}" }
             }
         date  {
                match => [  "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
         }
}
}
 
output {
 
     elasticsearch {
       hosts => [ "192.168.12.109:9200" ]
         index =>  "logstash-%{type}-%{+YYYY.MM.dd}"
         document_type =>  "%{type}"
     }
 
#stdout { codec => rubydebug }
}
 
保存,并启动
[elk@localhost logstash-5.4.0]$  nohup  bin /logstash  -f nginx.conf &

5、filebeat安装与配置

将filebeat分别拷贝到需要采集的服务器,进行解压,在这里我们分别采集Nginx,tomcat日志

Nginx服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$  vi  filebeat.yml 
filebeat.prospectors:
- input_type: log
   paths:
     /data/programs/nginx/logs/access .log
   tags: [ "nginx-accesslog" ]
   document_type: nginxaccess
tags: [ "nginx-test-194" ]
output.kafka:
   enabled:  true
   hosts: [ "192.168.12.105:9092" ]
   topic: logstash-%{[ type ]}
 
 
[user@localhost filebeat-5.4.0-linux-x86_64]$ nohup  filebeat -c filebeat.yml &

tomcat服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$  vi  filebeat.yml
  filebeat.yml 
filebeat.prospectors:
- input_type: log
   paths:
     /data/tomcat/logs/localhost_access_log *
   tags: [ "tomcat-accesslog" ]
   document_type: tomcataccess
tags: [ "tomcat103" ]
output.kafka:
   enabled:  true
   hosts: [ "192.168.12.105:9092" ]
   topic: logstash-%{[ type ]}
   
[user@localhost filebeat-5.4.0-linux-x86_64]$ nohup  filebeat -c filebeat.yml &


完成以上,我们的平台就搭建好了,接下来我们创建索引

输入:logstash-nginxaccess*

wKiom1k5DQzBatopAAF9YLhIDj0687.png-wh_50

输入logstash-tomcataccess*

wKioL1k5DQewY4_AAAF4zcmmpqA379.png-wh_50


数据通过filebeat到kafka、ELK成功展示出来

wKioL1k5DgugFwsJAAIU3Bs2DJ0622.png-wh_50


来张炫图

wKioL1k5DonwjOEZAATWnNWcVFI152.png-wh_50



本文转自 jackjiaxiong 51CTO博客,原文链接:http://blog.51cto.com/xiangcun168/1933509

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/549352

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Filebeat 关键字多行匹配日志采集(multiline与include_lines)

很多同事认为filebeat采集日志不能做到多行处理,今天这里讨论下filebeat的multiline与include_lines。 先来个案例,以下日志,我们只要求采集error的字段, 1 2 3 2017 /06/22 11:26:30[error]26067 #0:*17918connect()failed(111:Connectionrefused)whileconnectingtoupstream,client:192.168.32.17,server:localhost,request:"GET/wss/HTTP/1.1",upstream:"http://192.168.12.106:8010/",host:"192.168.12.106" 2017 /06/22 11:26:30[info]26067 #0: 2017 /06/22 12:05:10[error]26067 #0:*17922open()"/data/programs/nginx/html/ws"failed(2:Nosuchfileordirectory),client:192.168.32.1...
2017-11-12
762
上一篇

hadoop之 hadoop用途方向

hadoop是什么? Hadoop是一个开源的框架,可编写和运行分不是应用处理大规模数据,是专为离线和大规模数据分析而设计的,并不适合那种对几个记录随机读写的在线事务处理模式。Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的性能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。用函数式变成Mapreduce代替SQL,SQL是查询语句,而Mapreduce则是使用脚本和代码,而对于适用于关系型数据库,习惯SQL的Hadoop有开源工具hive代替。 hadoop能做什么? hadoop擅长日志分析,facebook就用Hive来进行日志分析,2009年时facebook就有非编程人员的30%的人使用HiveQL进行数据分析;淘宝搜索中的自定义筛选也使用的Hive;利用Pig还可以做高级的数据处理,包括Twitter、LinkedIn 上用于发现您可能认识的人,可以实现类似Amazon.com的协同过...
2017-11-12
557
下一篇

相关文章

发表评论

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2025-12-28 大小: 1MB 下载: 4次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-21 大小: 189MB 下载: 2次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
SpringCloud OpenAi SpringBoot4 DeepSeek Docker Nacos3 Rocky Service Mesh Jdk25 HarmonyOS6 Gemini3 Redis Kubernetes

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册