ELK—使用filebeat收集日誌寫入kafka

阿新 • • 發佈：2022-05-16

filebeat作為輕量級日誌收集軟體，不依賴java環境，不消耗記憶體，可以使用者無法安裝java環境的伺服器或容器使用。

一、使用filebeat收集日誌寫入kafka

[root@linux-host2 src]# grep -v "#" /etc/filebeat/filebeat.yml | grep -v "^$"
filebeat.prospectors:
- input_type: log
paths:
  - /var/log/*.log   # 對哪些日誌進行收集
  - /var/log/messages
exclude_lines: ["^DBG"]
exclude_files: [".gz$"]
document_type: "system-log-1512-filebeat"

output.file: #測試寫入本地檔案
  path: "/tmp"
  filename: "filebeat.txt"

output.kafka:   #寫入 kafka
  hosts: ["192.168.15.11:9092","192.168.15.12:9092","192.168.15.13:9092"]  # kafka叢集
  topic: "systemlog-1512-filebeat"   # 主題名稱
  partition.round_robin:
    reachable_only: true
  required_acks: 1 #本地寫入完成
  compression: gzip #開啟壓縮
  max_message_bytes: 1000000 #訊息最大值

啟動 filebeat 並驗證本地檔案是否有資料

驗證是否寫入kafka

/usr/local/kafka/bin/kafka-topics.sh  --list --zookeeper   192.168.15.11:2181,192.168.15.12:2181,192.168.15.13:2181

配置 logstash從kafka讀取日誌到elasticsearch

input {
  kafka {
    bootstrap_servers => "192.168.15.11:9092"
    topics => "systemlog-1512-filebeat" 

    consumer_threads => 1
    decorate_events => true
    codec => "json"
    auto_offset_reset => "latest"
  }
}

output {
  if [type] == "system-log-1512-filebeat" {
    elasticsearch {
    hosts => ["192.168.15.11:9200"]
    index => "system-log-1512-filebeat-%{+YYYY.MM.dd}"
    }
  }
}

使用 filebeat 收集多個日誌檔案

grep -v "#" /etc/filebeat/filebeat.yml | grep -v "^$"
filebeat.prospectors:
- input_type: log
  paths:
    - /var/log/ syslog.log
    - /var/log/messages
  exclude_lines: ["^DBG"]
  exclude_files: [".gz$"]
#document_type: "system-log-1512-filebeat"
  fields:
    type: "system-log-7.106"

- input_type: log
  paths:
    - /var/log/nginx/access.log
  exclude_lines: ["^DBG"]
  exclude_files: [".gz$"]
  fields:
    type: "nginx-accesslog-1512-filebeat"

output.file:
  path: "/tmp"
  filename: "filebeat.txt"

output.kafka:
  hosts: ["192.168.15.11:9092","192.168.15.12:9092","192.168.15.13:9092"]
  topic: "systemlog-1512-filebeat"
  partition.round_robin:
    reachable_only: true #如果 reachable_only 設定為 true，則事件將僅釋出到可用分割槽，false 將傳送到所有分割槽
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000

配置 logstash從 kafka讀取nginx日誌，寫入 elasticsearch

input {
  kafka {
    bootstrap_servers => "192.168.15.11:9092"
    topics => "nginx-accesslog-1512"
    codec => "json"
    consumer_threads => 1
    decorate_events => true
  }

  kafka {
    bootstrap_servers => "192.168.15.11:9092"
    topics => "system-log-1512"
    consumer_threads => 1
    decorate_events => true
    codec => "json"
  }

  kafka {
    bootstrap_servers => "192.168.15.11:9092"
    topics => "systemlog-1512-filebeat"
    consumer_threads => 1
    decorate_events => true
    codec => "json"
    auto_offset_reset => "latest"
  }
}

output {
  if [type] == "nginx-accesslog-1512" {
    elasticsearch {
      hosts => ["192.168.15.11:9200"]
      index => "nginx-accesslog-1512-%{+YYYY.MM.dd}"
    }
  }

  if [type] == "system-log-1512" {
    elasticsearch {
      hosts => ["192.168.15.12:9200"]
      index => "system-log-1512-%{+YYYY.MM.dd}"
    }
  }

  if [type] == "system-log-1512-filebeat" {
    elasticsearch {
      hosts => ["192.168.15.11:9200"]
      index => "system-log-1512-filebeat-%{+YYYY.MM.dd}"
    }
  }

  if [type] == "nginx-accesslog-1512-filebeat" {
    elasticsearch {
      hosts => ["192.168.15.11:9200"]
      index => "nginx-accesslog-1512-filebeat-%{+YYYY.MM.dd}"
    }
  }
}

ELK—使用filebeat收集日誌寫入kafka

filebeat作為輕量級日誌收集軟體，不依賴java環境，不消耗記憶體，可以使用者無法安裝java環境的伺服器或容器使用。

linux系統ElK基礎filebeat收集日誌(4)

一、Filebeat收集單個日誌 1.配置收集日誌到檔案 [root@web01 ~]# vim /etc/filebeat/filebeat.yml

docker安裝elk7.6.0版本，配合filebeat收集日誌

jdk版本用的是11 測試用了兩臺虛擬機器，一臺搭建elk，另外一臺安裝filebeat 我的測試java程式放到了gitee上面，其中的collector資料夾下有相應的程式

ELK+Filebeat+Nginx集中式日誌解決方案（三）—— 新增kafka+zookeeper叢集

一、使用說明： Kafka: Kafka 是一個訊息系統，原本開發自 LinkedIn，用作 LinkedIn 的活動流（Activity Stream）和運營資料處理管道（Pipeline）的基礎。現在它已被多家公司作為多種型別的資料管道和訊

企業級實戰模組二：ELK+Filebeat+Kafka+ZooKeeper構建大資料日誌分析平臺案例（上）

企業級實戰模組三：ELK+Filebeat+Kafka+ZooKeeper構建大資料日誌分析平臺案例（下）

Filebeat 收集K8S 日誌，生產環境實踐

根據生產環境要求，需要採集K8S Pod 日誌，和開發協商之後，Pod中應用會將日誌輸出到容器終端上，這時可以直接用filebeat 採集node節點上面的/var/log/containers/*.log日誌，然後將日誌輸出到kafka訊息佇列中，經過

filebeat收集多日誌

1.收集多日誌到ES 1）方式一： [root@web01 ~]# vim /etc/filebeat/filebeat.yml filebeat.inputs: - type: log

Filebeat收集單個日誌&json格式

1.配置收集日誌到檔案 [root@web01 ~]# vim /etc/filebeat/filebeat.yml filebeat.inputs: - type: log

ELK stack 7.6.x + kafka構建日誌平臺

背景使用 ELK Stack + kafka 搭建一個日誌系統。日誌是不可預測的。在生產環境發生故障需要看日誌時，日誌可能突然激增並淹沒您的日誌記錄基礎結構。為了保護 Logstash 和Elasticsearch 免受此類資料突發攻擊，需要

filebeat收集系統登陸日誌

一、filebeat配置 - type: logenabled: truepaths:- /var/log/secureinclude_lines: [\".*Failed.*\",\".*Accepted.*\"]tags: [\"secure\"]

Logspout+ELK收集日誌

基本思路通過logstash獲取docker中的日誌，然後，將日誌轉發給elasticsearch進行索引,kibana分析和視覺化。

ELK+Filebeat+Nginx集中式日誌解決方案（一）

一、使用說明： ELK 不是一款軟體，而是 Elasticsearch、Logstash 和 Kibana 三種軟體產品的首字母縮寫。這三者都是開源軟體，通常配合使用，而且又先後歸於 Elastic.co 公司名下，所以被簡稱為 ELK Stack

K8S 使用 SideCar 模式部署 Filebeat 收集容器日誌

對於 K8S 內的容器日誌收集，業內一般有兩種常用的方式：使用 DaemonSet 在每臺 Node 上部署一個日誌收集容器，用於收集當前 Node 上所有容器掛載到宿主機目錄下的日誌

elk + filebeat，6.3.2版本簡單搭建，實現我們自己的集中式日誌系統

https://www.cnblogs.com/youzhibing/p/9553758.html 前言　　剛從事開發那段時間不習慣輸出日誌，認為那是無用功，徒增程式碼量，總認為自己的程式碼無懈可擊；老大的叮囑、強調也都視為耳旁風，最終導致的結果是

netcore3.1 使用Nlog 將本地日誌寫入到elk

新建webapi 新增Nlog nuget包引用新增Nlog配置檔案 <?xml version=\"1.0\" encoding=\"utf-8\"?>

Kubernetes Part6 ---- ELK Stack收集Kubernetes應用日誌

需求背景 •業務發展越來越龐大，伺服器越來越多•各種訪問日誌、應用日誌、錯誤日誌量越來越多•開發人員排查問題，需要到伺服器上查日誌，效率低、許可權不好控制•運維需實時關注業務訪問情況

filebeat收集多個目錄日誌配置

因業務需要，我們現有得伺服器上一個節點上裝了多個服務，前後端都有涉及，因此就需要用 filebeat 將這些日誌收集起來生成不一樣得索引，配置如下（僅供參考）：

ELK收集日誌之logstash使用

一、logstash使用 1.logstah收集檔案日誌不難理解，我們的日誌通常都是在日誌檔案中儲存的，所以，當我們在使用INPUT外掛時，收集日誌，需要使用file模組，從檔案中讀取日誌的內容，那麼接下來講解的是，將日誌內容

ELK+FileBeat日誌分析系統

一、 ELK日誌分析系統概述 1、ELK簡介 ELK是三個開源軟體的縮寫，分別表示：Elasticsearch , Logstash, Kibana , 它們都是開源軟體。新增了一個FileBeat，它是一個輕量級的日誌收集處理工具(Agent)，Filebeat佔用資源

ELK—使用filebeat收集日誌寫入kafka

相關推薦