ELK日志采集系统构建实战(十七)

最新推荐文章于 2023-03-30 21:42:09 发布
原创 最新推荐文章于 2023-03-30 21:42:09 发布 · 283 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch

本文详细介绍ELK日志采集系统的构建过程,包括配置Logstash采集日志、使用grok插件解析日志并存储到Elasticsearch。通过具体步骤展示如何实现日志的结构化存储。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ELK日志采集系统构建实战讲解,让小伙伴更深入的理解ELK。
1、首先确保服务器已经运行了 ES 集群
 
 
2、确保服务器上已经安装部署了 logstash
 
 
3、在 Logstash 安装路径下的 config 目录中,新建一个 conf 文件,取名为 es_log.conf,并且填入以下内容:
 
 
input {
file {
path => "/home/elk/elk/teaching/elasticsearch-7.7.0/logs/my-elk.log"
start_position => "beginning"
codec => multiline {
pattern => "^\["
negate => truewhat => "previous"
    }
  }
}
output {
elasticsearch {
hosts => ["http://172.18.194.140:9200"]
index => "es-log-%{+YYYY.MM.dd}"
  }
stdout{}
}
4、进入 Logstash bin 目录执行 ./logstash -f ../config/es_log.conf
5、控制台会输出:
 
 
 
6、我们到浏览器查询:
 
 
发现 ES 中确实创建了一个索引 es-log-2020.07.08
7、在 ES 中查询这个索引的内容
 
8、仔细检查存入的日志内容,发现日志信息是作为整体存入 message 字 段的:
 
 
有没有办法存入的更细粒些呢?
9、仔细分析 es 的日志,呈现了一定的结构化特征:
 
总是: “[时间戳][日志级别][输出信息的类名][节点名]具体的日志信息 ”这种格式,所以我们完全可以考虑使用过滤器插件对文本进行分析后再存 入 es,怎么分析?可以用 grok 过滤器。
10、 在 Logstash 安装路径下的 config 目录中,新建一个 conf 文件,取名 为 log_grok.conf,并且填入以下内容:

input {
file {
path => "/home/elk/elk/teaching/elasticsearch-7.7.0/logs/my-elk.log"
start_position => "beginning"
codec => multiline {
pattern => "^\["
negate => true
what => "previous"
      }
   }
}
filter{
grok {
match => {message =>
"\[%{TIMESTAMP_ISO8601:time}\]\[%{LOGLEVEL:level}%{SPACE}\]\[%{NOT
SPACE:loggerclass}%{SPACE}\]%{SPACE}\[%{DATA:nodename}\]%{SPACE}
%{GREEDYDATA:msg}"
     }
  }
}
output {
stdout{}
}
11、如果担心自己写的 conf 有语法问题,可以执行 ./logstash -f xxxxxxx.conf -t 检查 conf,当然只能检查语法,不能检查诸如
正则表达式是否正确这类问题。

12、执行./logstash -f ../config/log_grok.conf,如果发现程序没有输出,有 可能是 elk 的日志文件已经被处理过,logstash 不会重复处理,这时可以到 logstash 的/data/plugins/inputs/file 目录下,删除.sincedb 文件(这个文件是个 隐藏文件),再执行。

 

 
可以看见,每条日志已经成功的被解析了。
13、现在考虑如何存入 es,按照原来的

 

定义好索引的 mapping(映射),注意要和我们对日志的分解一一对应。

14、创建一个新的 conf 文件,取名 es_log_grok.conf,内容如下:

input {
file {
path => "/home/elk/elk/teaching/elasticsearch-7.7.0/logs/my-elk.log"
start_position => "beginning"
codec => multiline {
pattern => "^\["
negate => true
what => "previous"
      }
   }
}
filter{
grok {
match => {
message =>
"\[%{TIMESTAMP_ISO8601:time}\]\[%{LOGLEVEL:level}%{SPACE}\]\[%{NOT
SPACE:loggerclass}%{SPACE}\]%{SPACE}\[%{DATA:nodename}\]%{SPACE}
%{GREEDYDATA:msg}"
       }
   }
}
output {
elasticsearch {
hosts => ["http://172.18.194.140:9200"]
index => "es-log-text-%{+YYYY.MM.dd}"
template_name => "es_template*"
template => "/home/elk/elk/teaching/logstash-7.7.0/config"
}
stdout{}
}
主要是在 elasticsearch 插件中增加了对刚才新增的 json 文件的读取。
15、执行./logstash -f ../config/es_log_grok.conf,会看到控制台的输出,同 时在浏览器中,也会看到解析后的日志:

ELK实战demo到此结束,下一篇我们分析es的性能优化策略,敬请期待。

 

ELK日志分析系统搭建
邓邓子的博客
03-10 5518
目录一、ELK 是什么?ElasticsearchLogstashKibana二、搭建 ELK1.安装 Elasticsearch2.安装 Logstash3.安装 Kibana三、配置实例1.将某个服务器某个目录下的日志收集到系统分析展示(1)修改 logstash-sample.conf 配置(2) 一、ELK 是什么? ELK 是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。 Elasticsearch 简称 ES,是一个分布式、可扩展、
Golang定时任务日志记录:ELK集成方案
最新发布
Golang编程笔记的博客
04-26 838
在现代软件开发中,定时任务是一种常见的需求,例如定期数据备份、定时数据同步等。Golang作为一种高效、简洁的编程语言,被广泛应用于构建各种服务和应用。而对于定时任务的管理和监控,日志记录是至关重要的一环。通过日志,我们可以了解定时任务的执行情况、排查问题等。ELK堆栈是一套强大的日志管理和分析工具,由Elasticsearch、Logstash和Kibana组成。Elasticsearch是一个分布式搜索和分析引擎,用于存储和检索日志数据;
搭建ELK日志分析系统
新技术革命
10-27 179
概述 Elasticsearch 是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎,使用 Java 语言编写。 Logstash 是一个具有实时渠道能力的数据收集引擎,主要用于日志的收集与解析,并将其存入 ElasticSearch中。 Kibana 是一款基于 Apache 开源协议,使用 JavaScript 语言编写,为 Elasticsearch 提供分析和可视化的 Web 平台。它可以在 Elas
elk日志收集系统实战
kubernetes中文社区
12-21 948
1、ELK Stack介绍-需求背景.mp4 2、ELK Stack介绍-ELK Stack介绍.mp4 3、ELK Stack架构.mp4 4、Elasticsearch-Elasticsearch基础概念与环境准备.mp4 5、Elasticsearch-Elasticsearch集群部署.mp4 6、Elasticsearch-Elasticsearch数据操作(增删改).mp4 7、Ela...
ELK日志分析系统-ELK实战
最美dee时光的博客
04-15 670
接上一篇:搭建ELK日志分析系统-ELK搭建篇 1、es配置如下 192.168.171.129 192.168.171.139(并已经安装head插件,通129操作) 访问head并查看 好,现在索引也可以创建了,现在可以来输出nginx、apache、message、secrue的日志到前台展示(Nginx有的话直接修改,没有自行安装) 编辑nginx配置文件,修改以下内容(在http模...
ELK日志分析系统的简单搭建
lsysafe的博客
06-28 668
1、系统环境:CENTOS7 用三台主机部署 [root@V76 elk]# cat /etc/hosts 127.0.0.1 V76 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 V76 localhost localhost.localdomain localhost6 loca...
ELK日志收集系统实战部署指南
03-09
ELK日志收集系统实战部署指南是一本专注于介绍ELKElasticsearch、Logstash、Kibana)日志分析管理系统的实用性书籍。该系统由三个核心组件构成,Elasticsearch负责日志的存储与搜索,Logstash负责日志的收集与处理...
ELK日志采集实战
qqq125536039的博客
07-26 777
ELK日志采集实战 需求背景: 业务发展越来越庞大,服务器越来越多 各种访问日志、应用日志、错误日志量越来越多,导致运维人员无法很好的去管理日志 开发人员排查问题,需要到服务器上查日志,不方便 运营人员需要一些数据,需要我们运维到服务器上分析日志,并用图标更直观的展示出来 为什么要用到ELK 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模...
ELK实战构建高效日志管理系统
ELK实战文档深入探讨了在大数据时代,如何通过Elasticsearch、Logstash和Kibana这一组合实现高效、集中的日志管理和数据分析。首先,集中式日志系统的重要性在于处理海量、分散的数据源,提高信息检索效率,避免了...
【2.3 分布式日志ELK)】ELK入门介绍与使用
本本本添哥
03-30 800
ELK(ElasticSearch+Logstash+Kibana),可以使用说是目前最流行的日志平台构建方案
ELK5.2.0日志分析系统搭建
weixin_34356310的博客
02-14 187
环境:centos6.8准备好ELK三个安装包,到官网下官网https://www.elastic.co/1、安装elasticsearch这里安装1.8版本的2、安装elasticsearch下载安装包(tar)https://www.elastic.co/downloads/elasticsearch直接解压到/usr/local下面tar-x...
ELK日志分析系统的搭建
weixin_30545285的博客
09-16 413
一、ELK简介 ELKElasticsearch、Logstash、Kibana的简称,这三者是核心组件。 Elasticsearch是数据存储、搜索、分析引擎,功能非常强大;Logstash是日志的收集、过滤工具;而Kibana是一个web图形展示引擎,可以展示采集到的数据。 本文旨在通过使用 二、Elasticsearch的配置 2.1 软件下载 我们可以到官方网站下载,我这里下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寅灯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值