云栖社区

filebeat+kafka+ELK5.4安装与部署
精简版
0
0
0
  1. 云栖社区>
  2. 博客>
  3. 正文

filebeat+kafka+ELK5.4安装与部署

科技小能手 2017-11-12 02:04:00 浏览1132
展开阅读全文

用ELK打造强大的日志分析平台,具体拓扑结构如下:


wKioL1k5A2ejCCqMAAJRKsxLl6M625.png-wh_50


在这里我们将进行kafka+filebeat+ELK5.4的部署

各软件版本

1
2
3
4
5
6
jdk-8u131-linux-i586.tar.gz
filebeat-5.4.0-linux-x86_64.tar.gz
elasticsearch-5.4.0.tar.gz
kibana-5.4.0-linux-x86_64.tar.gz
logstash-5.4.0.tar.gz
kafka_2.11-0.10.0.0.tgz

1、JDK安装配置(略过)


2、ELK安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
创建ELK用户,并进行文件解压
 
1.elasticsearch配置
 
[elk@localhost elasticsearch-5.4.0]$ vi config/elasticsearch.yml 
.....
network.host: 192.168.12.109
#
# Set a custom port for HTTP:
#
http.port: 9200
 
..........
 
保存,启动
[elk@localhost elasticsearch-5.4.0]$ nohup bin/elasticsearch &
验证
#
[elk@localhost elasticsearch-5.4.0]$ curl http://192.168.12.109:9200
{
  "name" "aCA2ApK",
  "cluster_name" "elasticsearch",
  "cluster_uuid" "Ea4_9kXZSaeDL1fYt4lUUQ",
  "version" : {
    "number" "5.4.0",
    "build_hash" "780f8c4",
    "build_date" "2017-04-28T17:43:27.229Z",
    "build_snapshot" false,
    "lucene_version" "6.5.0"
  },
  "tagline" "You Know, for Search"
}
 
2、kibana安装与配置
 
[elk@localhost kibana-5.4.0-linux-x86_64]$ vi config/kibana.yml 
## Kibana is served by a back end server. This setting specifies the port to use.
server.port: 5601
 
# Specifies the address to which the Kibana server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "192.168.12.109"
..........
# The URL of the Elasticsearch instance to use for all your queries.
elasticsearch.url: "http://192.168.12.109:9200"
..........
[elk@localhost kibana-5.4.0-linux-x86_64]$ nohup bin/kibana &
 
在浏览器访问  能访问即可


3、kafka安装与配置

这里我们只做单机192.168.12.105部署单节点centos kafka单包单机部署


4、logstah安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
[elk@localhost logstash-5.4.0]$ vi nginx.conf    这里新生成一个配置文件
 
input {
       kafka  {
       codec => "json"
     topics_pattern => "logstash-.*"
     bootstrap_servers => "192.168.12.105:9092"
     auto_offset_reset => "latest"
     group_id => "logstash-g1"
  }
 
 
}
 
filter {
    if "nginx-accesslog" in [tags] {
        grok {
                match => { "message" => "%{IPORHOST:http_host} %{IPORHOST:clientip} - %{USERNAME:remote_user} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{QS:agent} %{QS:xforwardedfor} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}"}
        }
        mutate {
                convert => ["status","integer"]
                convert => ["body_bytes_sent","integer"]
                convert => ["request_time","float"]
        }
        geoip {
                source=>"remote_addr"
        }
        date {
                match => [ "timestamp","dd/MMM/YYYY:HH:mm:ss Z"]
        }
        useragent {
                source=>"http_user_agent"
        }
}
 
 
 
    if "tomcat-accesslog"  in [tags] {
        grok {
           match => { "message" => "%{IPORHOST:clientip} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:http_verb} %{NOTSPACE:http_request}(?: HTTP/%{NUMBER:http_version})?|%{DATA:raw_http_request})\" %{NUMBER:response} (?:%{NUMBER:bytes_read}|-) %{QS:referrer} %{NUMBER:request_time:float} %{GREEDYDATA:traceID}"}
            }
        date {
               match => [ "timestamp","dd/MMM/YYYY:HH:mm:ss Z"]
        }
}
}
 
output {
 
    elasticsearch {
      hosts => ["192.168.12.109:9200"]
        index => "logstash-%{type}-%{+YYYY.MM.dd}"
        document_type => "%{type}"
    }
 
#stdout { codec => rubydebug }
}
 
保存,并启动
[elk@localhost logstash-5.4.0]$ nohup bin/logstash -f nginx.conf &

5、filebeat安装与配置

将filebeat分别拷贝到需要采集的服务器,进行解压,在这里我们分别采集Nginx,tomcat日志

Nginx服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$ vi filebeat.yml 
filebeat.prospectors:
- input_type: log
  paths:
    /data/programs/nginx/logs/access.log
  tags: ["nginx-accesslog"]
  document_type: nginxaccess
tags: ["nginx-test-194"]
output.kafka:
  enabled: true
  hosts: ["192.168.12.105:9092"]
  topic: logstash-%{[type]}
 
 
[user@localhost filebeat-5.4.0-linux-x86_64]$nohup filebeat -c filebeat.yml &

tomcat服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[user@localhost filebeat-5.4.0-linux-x86_64]$ vi filebeat.yml
 filebeat.yml 
filebeat.prospectors:
- input_type: log
  paths:
    /data/tomcat/logs/localhost_access_log*
  tags: ["tomcat-accesslog"]
  document_type: tomcataccess
tags: ["tomcat103"]
output.kafka:
  enabled: true
  hosts: ["192.168.12.105:9092"]
  topic: logstash-%{[type]}
   
[user@localhost filebeat-5.4.0-linux-x86_64]$nohup filebeat -c filebeat.yml &


完成以上,我们的平台就搭建好了,接下来我们创建索引

输入:logstash-nginxaccess*

wKiom1k5DQzBatopAAF9YLhIDj0687.png-wh_50

输入logstash-tomcataccess*

wKioL1k5DQewY4_AAAF4zcmmpqA379.png-wh_50


数据通过filebeat到kafka、ELK成功展示出来

wKioL1k5DgugFwsJAAIU3Bs2DJ0622.png-wh_50


来张炫图

wKioL1k5DonwjOEZAATWnNWcVFI152.png-wh_50



本文转自 jackjiaxiong 51CTO博客,原文链接:http://blog.51cto.com/xiangcun168/1933509

版权声明:本文内容由互联网用户自发贡献,版权归作者所有,本社区不拥有所有权,也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:yqgroup@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

网友评论

登录后评论
0/500
评论

相关文章

基于 Ansible 的 ELK 部署说明
慢慢来2010 2019-08-29 21:05:56 浏览5531
从ELK到EFK演进
曹林华 2017-11-08 13:02:00 浏览2684
用Kibana和logstash快速搭建实时日志查询、收集与分析系统
余二五 2017-11-14 09:45:00 浏览1336
ELK+filebeat+kafka+zookeeper构建海量日志分析平台
技术小甜 2017-11-15 15:53:00 浏览1747
中小团队基于Docker的devops实践
37丫37 2018-07-24 09:09:00 浏览1056
ELK-filebeat收集日志到Kafka,并转存ES
科技小能手 2017-11-12 13:56:00 浏览2005
ELK之日志查询、收集与分析系统
技术小哥哥 2017-11-20 16:21:00 浏览1251
带你领略基于ELK+Kafka的日志分析系统和Elasticsearch运维实践
云迹九州 2018-06-21 20:53:07 浏览7240
日志量巨大时filebeat占用文件句柄导致磁盘被打满
randy.jin 2018-12-05 11:53:11 浏览2253
ELK日志系统之通用应用程序日志接入方案
技术小能手 2018-09-07 13:34:11 浏览1608
分布式实时日志分析解决方案ELK部署架构
调皮仔3683 2017-12-13 10:30:19 浏览1658
Kubernetes在微服务化游戏中的探索实践
店家小二 2018-12-14 23:28:23 浏览587
从零开始搭建K8S--如何监控K8S集群日志
店家小二 2018-12-15 20:26:24 浏览950
Filebeat 关键字多行匹配日志采集(multiline与include_lines)
科技小能手 2017-11-12 02:03:00 浏览1518
每周送书 | 基于微服务的日志中心设计、实现与关键配置
技术小能手 2018-06-14 11:27:35 浏览1583
Ansible playbook 部署filebeat
缤纷世界wb 2018-03-20 10:02:00 浏览573
CentOS6.9安装Filebeat监控Nginx的访问日志发送到Kafka
缤纷世界wb 2018-02-10 14:19:00 浏览952
【Elasticsearch全文搜索引擎实战】之Filebeat快速入门
mantoudev 2018-01-21 16:33:00 浏览1248
filebeat-kafka-logstash-elasticsearch日志收集[中文时区问题、自己创建type类index]
天飞.h 2017-06-12 01:24:01 浏览578
基于可视化配置的日志结构化转换实现
宜信技术学院 2019-07-31 10:57:26 浏览1356
下拉加载更多
  • 作者介绍
科技小能手
+ 关注

24393

文章数

198

粉丝数

0

关注的人

下一篇
RDS MySQL 5.7三节点企业版重磅发布 企业级业务云上数据库首选
云攻略小攻 566人浏览
  • 本文目录
热点导航
阿里云618大促 云计算 网络安全 互联网架构 ECS升级配置 物联网 中间件比赛 云栖博客
用户关注
自动化测试 解决方案 linux命令 云服务 JavaScript 函数 服务器监控 Python语言 移动数据分析
更多推荐
用户体验 云数据库Rds 负载均衡 域名注册 Whois查询 数据可视化 ICP备案查询 主题地图 阿里云大学 cn域名 移动站 IT论坛 阿里云开年Hi购季 企业邮箱 新用户优惠