2. 程式人生 > 其它 >ELK部署文件--logstash

ELK部署文件--logstash

阿新 發佈:2021-12-21

1 背景

ELK是三個開源軟體的縮寫,分別表示:Elasticsearch , Logstash, Kibana , 它們都是開源軟體。新增了一個FileBeat,它是一個輕量級的日誌收集處理工具(Agent),Filebeat佔用資源少,適合於在各個伺服器上搜集日誌後傳輸給Logstash。

這是一個最簡單的架構圖:

filebeat ==> logstash ==> elasticsearch ==> kibana

  • 資源準備

    下載部署包地址:https://www.elastic.co/cn/downloads/past-releases#elasticsearch

    注:elk全家桶各個應用版本需一致

  • java版本

    java版本要求jdk1.8+,檢視版本:
    java -version

  • 建立使用者

    elk需要用非root使用者部署,因此需要建立一個賬號用於部署
    useradd elk

    修改目錄的許可權,給elk賦權
    chown elk:elk /data/software/elk -R

2 logstash

logstash是一個開源的資料處理工具,可以同時從多個數據源收集資料,並對其進行特定格式轉換,再輸出到elasticsearch或其它資料儲存工具

logstash預設埠為9600

2.1 下載安裝

  • 解壓安裝包到指定目錄/data/software/elk
    tar -vxf logstash-7.15.2-linux-x86_64.tar.gz -C /data/software/elk

2.2 配置檔案

  • 在config目錄下建立配置檔案
    vim itcast-pipeline.conf
input {
    beats {
        port => 5044 # 輸入埠號
    }
}

filter {
  grok { # 可配置多個grok,按照順序進行匹配
        match =>{
          "message" => "%{MONTH:MONTH} %{MONTHDAY:MONTHDAY} %{TIME:TIME} %{MONTH:MONTH_log} %{MONTHDAY:MONTHDAY_log} %{YEAR:YEAR_log} %{TIME:TIME_log}%{ISO8601_TIMEZONE:ISO8601_TIMEZONE} %{WORD:system_name} %%%{INT:sys_version}%{EMAILLOCALPART:module}/%{INT:log_level}/%{NOTSPACE:summary_1}:\s*(?<summary_2>([\d|\w|\s]*)). \(Task=%{WORD:task}, Ip=%{NOTSPACE:Ip}, VpnName=%{NOTSPACE:VpnName}, User=%{NOTSPACE:User}, AuthenticationMethod=%{QUOTEDSTRING:AuthenticationMethod}, Command=%{QUOTEDSTRING:Command}"
          }

        match =>{
          "message" => "%{MONTH:MONTH} %{MONTHDAY:MONTHDAY} %{TIME:TIME} %{MONTH:MONTH_log} %{MONTHDAY:MONTHDAY_log} %{YEAR:YEAR_log} %{TIME:TIME_log}%{ISO8601_TIMEZONE:ISO8601_TIMEZONE} %{WORD:system_name} %%%{INT:sys_version}%{EMAILLOCALPART:module}/%{INT:log_level}/%{NOTSPACE:summary_1}:\s*(?<summary_2>([\d|\w|\s]*)). \(Task=%{WORD:task}, Ip=%{NOTSPACE:Ip}, VpnName=, User=%{NOTSPACE:User}, AuthenticationMethod=%{QUOTEDSTRING:AuthenticationMethod}, Command=%{QUOTEDSTRING:Command}"
          }

        match =>{
          "message" => "%{MONTH:MONTH} %{MONTHDAY:MONTHDAY} %{TIME:TIME} %{MONTH:MONTH_log} %{MONTHDAY:MONTHDAY_log} %{YEAR:YEAR_log} %{TIME:TIME_log}%{ISO8601_TIMEZONE:ISO8601_TIMEZONE} %{WORD:system_name} %%%{INT:sys_version}%{EMAILLOCALPART:module}/%{INT:log_level}/%{NOTSPACE:summary_1}:\s*(?<summary_2>([\d|\w|\s]*))."
          }
    }
}

output {
        elasticsearch {
                hosts => ["http://176.16.9.3:9200"]
                index => "xc-syslog-%{+YYYY-MM-dd}"
                user => "elastic"
                password => "ap20pOPS20"
    }
}

# output { # 除錯時可輸出到終端方便檢視處理後資料
#     stdout { codec => rubydebug }
#     }

2.3 grok

來自不同資料來源的資料,在logstash中讀取都是一行一行的文字資料,輸出的時候它們都是作為一行放到輸出的message欄位中,因此需要對message進行切割放入不同的欄位中,以便後續進行分析。在logstash中可以使用grok對資料進行處理

  • 預設匹配規則

    • grok的語法格式

      %{SYNTAX:SEMANTIC}
# SYNTAX是資料生成的欄位名稱,SEMANTIC是匹配出內容的規則(用正則表示式匹配出資料)

      logstash中資料提取需要使用正則表示式匹配,官方已預設一些匹配規則,詳細定義參見github 中的說明,以下為常用規則:

    表示式 名稱 例子
    USERNAME 使用者名稱(由數字、大小寫及特殊字元(._-)組成的字串) 1234、Bob、Alex.Wong
    EMAILLOCALPART 使用者名稱(首位由大小寫字母組成,其他位由數字、大小寫及特殊字元(_.+-=:)組成的字串) windcoder、windcoder_com
    EMAILADDRESS 電子郵箱地址 [email protected]
    INT 整數(包括0和正負整數) 0、-123
    NUMBER 整數或者小數
    WORD 字串(包括數字和大小寫字母) String、3529345
    NOTSPACE 不帶任何空格的字串
    SPACE 空格字串
    QUOTEDSTRING 帶引號的字串 "This is an apple"
    IP IP地址(IPv4或IPv6地址) 127.0.0.1
    HOSTPORT 主機名(IP)+埠 127.0.0.1:3306
    PATH 路徑
    URIPROTO URI協議 http、ftp
    URI 完整的URI
    MONTH 月份名稱(英文) Jan、January
    MONTHNUM 月份數字 03、9、12
    MONTHDAY 日期數字 03、9、31
    DAY 星期幾名稱 Mon、Monday
    YEAR 年份數字 1986
    HOUR 小時數字
    MINUTE 分鐘數字
    SECOND 秒數字
    TIME 時間 00:01:23
    DATE_US 美國時間 10-01-1892、10/01/1892/
    DATE_EU 歐洲日期格式 01-10-1892、01/10/1882、01.10.1892
    ISO8601_TIMEZONE ISO8601時間格式 +10:23、-1023
    TIMESTAMP_ISO8601 ISO8601時間戳格式 2016-07-03T00:34:06+08:00
    DATESTAMP 完整日期+時間 07-03-2016 00:34:06
    HTTPDATE http預設日期格式 03/Jul/2016:00:36:53 +0800
    GREEDYDATA 匹配所有剩餘的資料
    • 示例

    日誌資訊為:

    Dec 21 02:31:10+08:00 MM_104_F15_XC_MGMT_CE5735_4

    匹配規則為:

    "%{MONTH:MONTH} %{MONTHDAY:MONTHDAY} %{TIME:TIME}{ISO8601_TIMEZONE:ISO8601_TIMEZONE} %{WORD:system_name}"

  • 自定義正則表示式

    除了可以用上述的預設匹配規則之外,還可以自定義正則表示式

    • 語法格式

      (?<class_info>([\S+]*))
# <class_info>資料生成的欄位名稱,[]裡面為自定義正則表示式

    • 示例

      日誌資訊為:

      %%01SHELL/5/CMDRECORD(s)[703]:Recorded command information. (Task=VT0, Ip=192.168.144.161, VpnName=, User=huaweiqyw3, AuthenticationMethod="Local-user", Command="system-view")

      匹配規則為:

      "%%%{INT:sys_version}%{EMAILLOCALPART:module}/%{INT:log_level}/%{NOTSPACE:summary_1}:\s*(?<summary_2>([\d|\w|\s]*)). \(Task=%{WORD:task}, Ip=%{NOTSPACE:Ip}, VpnName=%{NOTSPACE:VpnName}, User=%{NOTSPACE:User}, AuthenticationMethod=%{QUOTEDSTRING:AuthenticationMethod}, Command=%{QUOTEDSTRING:Command}"

2.4 服務部署啟用

在logstash目錄下啟用:
./bin/logstash -f ./config/itcast-pipeline.conf -l ./logstash.log --config.reload.automatic

-f 為指定配置檔案
-l為指定輸出日誌路徑
--config.reload.automatic為啟用自動配置載入,每次修改完配置檔案以後無需重啟Logstash

檢查服務:
ps -ef | grep logstash

2.5 報錯處理

2.5.1. Java路徑

報錯資訊為:could not find java; set JAVA_HOME or ensure java is in PATH

解決方案:在bin目錄下logstash.lib.sh檔案裡面新增 JAVACMD='java的啟用路徑'

儲存後重新啟動

本文來自部落格園,作者:liu_kx,轉載請註明原文連結:https://www.cnblogs.com/liukx/p/15715630.html

相關推薦

ELK部署--logstash

1背景 ELK是三個開源軟體的縮寫,分別表示:Elasticsearch , Logstash, Kibana , 它們都是開源軟體。新增了一個FileBeat,它是一個輕量級的日誌收集處理工具(Agent),Filebeat佔用資源少,適合於在各個伺服器上搜集

ELK部署--filebeat

ELK部署文件--filebeat 1背景 ELK是三個開源軟體的縮寫,分別表示:Elasticsearch , Logstash, Kibana , 它們都是開源軟體。新增了一個FileBeat,它是一個輕量級的日誌收集處理工具(Agent),Filebeat佔用資源少,適

ELK部署--elasticsearch

1背景 ELK是三個開源軟體的縮寫,分別表示:Elasticsearch , Logstash, Kibana , 它們都是開源軟體。新增了一個FileBeat,它是一個輕量級的日誌收集處理工具(Agent),Filebeat佔用資源少,適合於在各個伺服器上搜集

TIDB叢集部署

TIDB叢集部署 安裝部署 準備機器 172.17.0.7 tidb01 centos7.4 運維 8C16G100G 中控機,目標部署機(記憶體不少於16G)

RocketMQ部署

1、整體規劃 IP HOSTNAME 使用者 角色 模式 137.32.117.11 rocketmq-master1 root nameServer1,brokerServer1

Apache Airflow部署(物理機版本)

0.airflow架構 從開發的角度出發來看,使用Local Execultor的基礎 Airflow架構是一個絕佳的理解Apache Airflow架構的起點。

單節點 Redis 部署

一.下載安裝包 訪問http://download.redis.io/releases/ 到官網進行下載。這裡下載是的4.0.1版本。 二.安裝 1 1..通過通過XXFTPFTP等等遠端管理工具,將壓縮包拷貝到遠端管理工具,將壓縮包拷貝到LinuxLinu

flask+vue+ubuntu部署

技術標籤:nginxubuntu伺服器運維 flask+vue+ubuntu部署文件 概述 伺服器安裝python-dev python-virtualenv,配置並激活虛擬環境,安裝flask等等,安裝nginx、gunicorn,方法自行百度,以下為主要參考資料之一(

Kubernetes失敗數次最後一次成功的k8s安裝部署

技術標籤:運維dockercentos運維kuberneteskubeadm 交流探索聖地: 點選連結加入群聊【8080實驗室】:https://jq.qq.com/?_wv=1027&k=75ePDb3o

技術:LVS負載均衡群集(DR模式)部署

技術標籤:linuxlvs 技術:LVS負載均衡群集(DR模式)部署 1 實驗準備2 配置負載排程器(192.168.199.10)(1)配置虛擬IP地址(VIP: 192.168.199.188 )(2)調整proc響應引數(3)配置負載分配策略

Redis部署

Redis部署文件 Redis部署文件ChangeLog一、安裝與部署1. 下載路徑2. 解壓編譯3. 啟動redis服務4. 客戶端連線5. 停止redis服務6. 開機啟動7. 提供的工具8. 配置說明二、叢集搭建1. 概述2. 叢集架構3. 叢集搭建步驟3.

mysql安裝部署

1、準備 Linux:CentOS 7 MySQL:mysql-5.7.30-linux-glibc2.12-x86_64.tar.gz http://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.30-linux-glibc2.12-x86_64.tar.gz

Elasticsearch安裝部署

一、環境準備 1、伺服器準備 iphostname 172.16.23.171app-server1 172.16.23.172app-server2 172.16.23.173app-server3

zookeeper + kafka叢集安裝部署

部署環境 服務 所屬ip和佔用的埠 zookeeper 192.169.1.71:2181 kafka1 192.169.1.71:9092 kafka2 192.169.1.70:9092

Docker部署

1:目錄結構介紹 core目錄夾:core專案程式碼和dockerfile檔案,部署時不需要 db資料夾:dockerfile檔案和初始化sql指令碼,部署時不需要

uos-ftp部署

一、安裝 服務端安裝 sudo apt install -y vsftpd 客戶端安裝 sudo apt install -y ftp 二、配置項

k8s-Cronjob部署

1. CronJob Cron Job 建立是基於時間排程的 Jobs 一個 CronJob 物件就像 crontab (cron table) 檔案中的一行。它用 Cron 格式進行編寫,並週期性地在給定的排程時間執行 Job。

jumpserver部署

一、下載佈置jump依賴的工具及安裝包 jump使用外接mysql儲存資料資訊,要求版本在5.7以上。本次採用二進位制安裝mysql

jenkins Skywalking安裝部署總結

容器做的事,就是把資源分開管理,互不干擾。映象image-生成容器的模板 使用Docker快速部署Skywalking http://www.dreamwu.com/post-1944.html

clickhouse叢集安裝部署

clickhouse 叢集安裝部署 一、環境準備 CentOS系統三臺測試機 Host: 192.168.2.211、 192.168.2.212、 192.168.2.213