ELK+filebeat日志分析系统部署文档

环境说明

架构说明及架构图

filebeat部署在客户端用于收集日志并把收集到的日志发送到logstash.
logstash把收集到的日志处理之后交给elasticsearch.
kibana从elasticsearch中提取数据并进行展示.
之所以使用filebeat进行日志收集是因为filebeat不会像logstash使用大量的资源,影响业务服务器.

环境需求

需要java环境和redis

yum install java
yum install redis

使用版本

  • java  1.8.0_111
  • redis 2.8.16
  • filebeat  5.1.2
  • logstash  5.1.2
  • elasticsearch 5.1.1
  • kibana    5.1.1

安装配置

filebeat安装及配置

安装filebeat

rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch
cat > /etc/yum.repos.d/elk.repo <<EOF
[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
yum clean all
yum install filebeat -y

配置filebeat

vim /etc/filebeat/filebeat.yml
paths:
    - /var/log/nginx/access.log
tags: ["nginx"]
output.logstash:
    hosts: ["1.8.101.53:5044"]

其中path选项为filebeat发送给logstash的路径, 多个日志可以使用*.log通配. file不会自动递归日志目录下的子目录, 如果需要递归子目录可以使用类似 /var/log/*/*.log 的结构. tags选项会向log中添加一个标签, 此标签可以提供给logstash用于区分不同客户端不同业务的log. output指定发送log到哪台服务器的哪个服务, 默认输出到elasticsearch. 本例使用logstash, 所以需要注释掉发送到elasticsearch的配置, 并启用发送到logstash的配置.

启动filebeat

/usr/share/filebeat/bin/filebeat -c /etc/filebeat/filebeat.yml -e &

logstash安装及配置

安装logstash

rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearch
cat > /etc/yum.repos.d/elk.repo <<EOF
[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
yum clean all
yum install logstash
ln -s /usr/share/logstash/bin/logstash /usr/bin/logstash

配置logstash

vim /etc/logstash/conf.d/nginx.conf
input {
    beats {
            port => 5044
    }
}
filter {
if "nginx" in [tags] {
        grok {
                match => [ "message","%{COMBINEDAPACHELOG}+%{GREEDYDATA:extra_fields}"]
                overwrite => [ "message"]
        }
        mutate {
                convert => ["response","integer"]
                convert => ["bytes","integer"]
                convert => ["responsetime","float"]
        }
        geoip {
                source=>"clientip"
                target => "geoip"
        }
        date {
                match => [ "timestamp","dd/MMM/YYYY:HH:mm:ss Z"]
                remove_field => [ "timestamp"]
        }
        useragent {
                source=>"agent"
        }
}
}
output {
if "nginx" == [tags][0] {
        elasticsearch {
                hosts => ["1.8.101.53:9200"]
                index => "access-%{+YYYY.MM.dd}"
        }
}
}

启动logstash

logstash --path.settings /etc/logstash

elasticsearch安装及配置

安装elasticsearch

yum install elasticsearch

启动elasticsearch

service elasticsearch start

elasticsearch本身不需要过多配置, 用包管理工具启动即可

kibana安装及配置

安装kibana

yum intall kibana

启动kibana

/usr/share/kibana/bin/kibana &
时间: 2024-12-21 15:44:41

ELK+filebeat日志分析系统部署文档的相关文章

ELK - 实用日志分析系统

目前日志分析系统用的越来越广泛,而且最主流的技术即ELK,下面和大家分享一下: --------------------------------------------------------------------------------------- 一:简 介  Elastic Stack 是 原 ELK Stack 在 5.0 版本加入 Beats 套件后的新称呼,近两年飞速崛起,成为开源界机器数据分析和日志处理第一选择. 组成: kibana:开源工具,为 EL 提供友好的 Web 界

docker:搭建ELK 开源日志分析系统

ELK 是由三部分组成的一套日志分析系统, Elasticsearch: 基于json分析搜索引擎,Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片, 索引副本机制,restful风格接口,多数据源,自动搜索负载等. Logstash:动态数据收集管道,Logstash是一个完全开源的工具,它可以对你的日志进行收集.分析,并将其存储供以后使用 Kibana:可视化视图,将elasticsearh所收集的data通过视图展现.kibana 是一个

GoAccess日志分析工具使用文档

----Sevck 2016/3/4 17:24:13 #1软件说明: GoAccess是一款开源.实时,运行在命令行终端下的web日志分析工具.该工具提供快速.多样的HTTP状态统计,可以令管理员不再纠结于统计各类数据,和繁杂的指令以及一大堆管道/正则表达式说byebye.据GoAccess官方的说法:使用AMD Sempron 2.31GHz的CPU+2GB内存,开启GoAccess所有功能,该软件每秒可以处理10万行日志.当然,如果使用的CPU更强劲,拥有更多的内存,GoAccess的表现

ELK 集中日志分析 windows部署实战

一步步来 1.下载软件 Elasticsearch: https://download.elasticsearch.org/...p/elasticsearch/2.0.0/elasticsearch-2.0.0.zipLogstash: https://download.elastic.co/logstash/logstash/logstash-2.0.0.zipKibana: https://download.elastic.co/kibana/kibana/kibana-4.2.0-win

awastas 日志分析工具搭建文档

http://localhost/awstats/awstats.pl?config=wp 1.解压 tar zxvf awstats-6.6.tar.gzmv awstats-6.6 /usr/local/awstatscd /usr/local/awstats/tools/perl awstats_configure.pl 2.安装 #由于脚本有所区别,可能提示内容的顺序有所区别,仅供参考 (1)-----> Running OS detected: Linux, BSD or UnixWa

elk+redis 日志分析系统

e:elasticsearch l:logstash k:kibana logstash快速入门:http://www.2cto.com/os/201411/352015.html elk中文指南 :http://kibana.logstash.es/content/logstash/index.html

awstats日志分析系统部署(httpd)

1.确认apache已经安装: netstat -utpln |grep 80 2.下载与解压: tar zxvf awstats-7.3.tar.gz mv awstats-7.3  /usr/local/awstats 3.配置awstats: cd  /usr/local/awstats/tools chmod +x ./* ./awstats_configure.pl #####开始配置### a.当提示输入httpd.conf时输入并回车继续: /usr/local/httpd/con

awstats日志分析系统部署

1.确认apache已经安装: netstat -utpln |grep 80 2.下载与解压: lftp ftp.linuxfan.cn-->cd tools-->get awstats-7.3.tar.gz tar zxvf awstats-7.3.tar.gz mv awstats-7.3  /usr/local/awstats 3.配置awstats: cd  /usr/local/awstats/tools chmod +x ./* ./awstats_configure.pl ##

AWStats 强大的日志分析系统

需求 在日常web服务器的运行中,记录了大量的客户机访问的信息,而如何快捷地知道此刻web服务器的访问及运行情况,如每天的访问IP数量.点击量最大的页面.每日的访问高峰时间段等信息呢? 解决方案 将通过使用强大的日志分析系统AWStats对其进行自动化的日志分析与统计工作. AWStats介绍 AWStats是使用Perl语言开发的一款开源日志分析系统,它不仅可用来分析Apache网站服务器的访问日志,也可以用来分析Samba.Vsftpd.IIS等服务的日志信息.结合crond等计划任务服务,