• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录
孙龙 程序员
少时总觉为人易,华年方知立业难
博客园    首页    新随笔    联系   管理    订阅  订阅
elk分布式日志系统2

《接着上篇文章 elk分布式日志系统1,继续学习》

 

【Filebeat + Logstash + es】

 

 

--------------------------filter不做任何处理,直接输出到logstash---------到es-------------------

 

  1,输出日志到logstash

 

编辑配置文件filebeat.yml,

 

关闭output.elasticsearch配置

 

 开启logsta日志输出

 

 2,编辑logstash-sample.conf

 

 

 启动logstash 

[logstash@elastic1 logstash-7.13.0]$ ./bin/logstash -f config/logstash-sample.conf

 

启动filebeat

[logstash@elastic1 filebeat_7.13]$./filebeat -e -c filebeat.yml

上面日志在es存储的是脱行的日志(自动按行采集的),如何解决 ? 实现多行采集

 

编辑filebeat配置文件 新增

multiline.type:pattern
multiline.pattern:^\[
multiline.negate:true
multiline.match:after

 

 

--------------------------filter不做任何处理,直接输出到logstash----------到es------------------

 日志结构化存储

编辑logstash-sample.conf

 

 

-------------------事件-----------------------

 不同类型日志存储在不同的文档中

 1,filebeat配置文件新增

 logstash配置文件

 -----------------基于filebeat采集nginx日志---------------------------------

  filebeat配置文件

 官方文档

https://www.elastic.co/guide/en/beats/filebeat/7.0/filebeat-input-log.html

 

 logstash配置文件 不用做任何处理

 

===============官方支持的采集日志有很多=========================

https://www.elastic.co/guide/en/beats/filebeat/7.10/index.html

 

 

 -----------------基于filebeat采集syslog日志---------TCP------------UDP------------

 官方文档

https://www.elastic.co/guide/en/beats/filebeat/7.10/filebeat-input-syslog.html

 

 vim /etc/rsynclog.conf 系统日志配置文件

开启 

 重启

 systemctl restart rsyslog

修改 logstash配置文件

 单独配置tcp

 

本文来自博客园,作者:孙龙-程序员,转载请注明原文链接:https://www.cnblogs.com/sunlong88/p/17726357.html

posted on 2023-09-24 18:01  孙龙-程序员  阅读(22)  评论(0)    收藏  举报
刷新页面返回顶部
博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3