随笔分类 -  ELK日志分析

Rsyslog 本地日志和日志服务器配置
摘要:1. 安装或升级 apt-get install -y rsyslog 2. 配置文件 /etc/rsyslog.conf 3. 日志写入本地文件 3.1 Rsyslog默认是将日志存储在本地文件,所以不需要修改配置文件 3.2 测试 3.2.1 开个shell执行命令tail -f /var/lo 阅读全文
posted @ 2021-08-20 10:25 Varden
Kibana 使用说明
摘要:Lucene查询语法 Kibana查询语言基于Lucene查询语法。下面是一些提示: 为了执行一个文本搜索,可以简单的输入一个文本字符串。例如,如果你想搜索web服务器的日志,你可以输入关键字"safari",这样你就可以搜索到所有有关"safari"的字段。 为了搜索一个特定字段的特定值,可以用字 阅读全文
posted @ 2021-08-20 10:20 Varden
Kibana 汉化配置
摘要:汉化文件路径 /usr/share/kibana/x-pack/plugins/translations/translations/zh-CN.json 在kibana.yml配置文件中添加以下选项 i18n.locale: "zh-CN" 阅读全文
posted @ 2021-08-20 10:09 Varden
grok 预定义匹配字段
摘要:USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+))) NUMBER (?:% 阅读全文
posted @ 2021-08-20 10:06 Varden
grok 生产场景示例
摘要:/var/log/syslog 日志信息: Oct 18 22:53:08 C1-M620-16 systemd[31255]: Listening on GnuPG network certificate management daemon. grok表达式: ^%{SYSLOGBASE} %{G 阅读全文
posted @ 2021-08-20 09:58 Varden
配置 Logstash 收集 Rsyslog 日志
摘要:配置文件:/etc/logstash/conf.d/logstash-indexer.conf input { #file { # path => [ "/var/log/*.log", "/var/log/messages", "/var/log/syslog" ] # type => "sysl 阅读全文
posted @ 2021-08-20 09:22 Varden
使用logstash过滤出特定格式的日志
摘要:1.一个例子 项目日志生成在某个路径,如/var/log/project,里面有warn,info,error目录,分别对应不同级别的日志,需要采集这些日志。 需要采集特定格式的日志,如: [2018-11-24 08:33:43,253][ERROR][http-nio-8080-exec-4][ 阅读全文
posted @ 2021-08-20 09:15 Varden
使用elasticsearch-curator清理旧数据
摘要:安装 wget -c https://packages.elastic.co/curator/5/debian/pool/main/e/elasticsearch-curator/elasticsearch-curator_5.8.1_amd64.deb sudo dpkg -i elasticse 阅读全文
posted @ 2021-08-20 09:03 Varden
使用 Nginx 反向代理 Kibana 并配置访问基本认证
摘要:安装nginx apt-get install nginx 使用openssl创建一个管理员用户,例如“admin”,可以访问Kibana Web界面 echo "admin:`openssl passwd -apr1`" | tee -a /etc/nginx/conf.d/htpasswd.us 阅读全文
posted @ 2021-08-20 08:59 Varden
Elasticsearch 7 生产环境配置说明
摘要:配置文件及目录说明 /etc/elasticsearch/log4j2.properties /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/jvm.options /etc/default/elasticsearch /usr/lib 阅读全文
posted @ 2021-08-20 08:47 Varden
使用shell脚本清理ElasticSearch历史数据
摘要:shell脚本内容如下: #!/bin/bash # # 脚本名:clean.sh # 功能:用于清理日志数据 # 作者:Varden CONFIG_FILE=/home/scripts/config.yml ACTION_FILE=/home/scripts/action_file.yml /us 阅读全文
posted @ 2021-08-20 08:10 Varden
ELK栈各种架构介绍
摘要:图1. 最简单架构 图2. Logstash 作为日志搜索器 图3. Beats 作为日志搜集器 图4. 引入消息队列机制的架构 图5. 基于 Filebeat 的 ELK 集群架构 阅读全文
posted @ 2021-08-19 21:11 Varden
ElasticSearch使用API清理数据
摘要:查看索引数据: curl http://192.168.5.138:30200/_cat/indices 删除19号logstash的所有数据: curl -XDELETE 'http://192.168.5.138:30200/logstash-2017.06.19' 删除2个月之前的数据: _l 阅读全文
posted @ 2021-08-19 21:03 Varden
【K8s日志】使用 Fluentd 收集 K8s 集群日志说明
摘要:日志架构参考:https://www.cnblogs.com/varden/p/15084450.html fluentd部署清单示例 参考:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-ela 阅读全文
posted @ 2021-08-16 14:50 Varden
【K8s概念】集群管理 -- 日志架构
摘要:参考:https://kubernetes.io/zh/docs/concepts/cluster-administration/logging/ 应用日志可以让你了解应用内部的运行状况。日志对调试问题和监控集群活动非常有用。 大部分现代化应用都有某种日志记录机制。同样地,容器引擎也被设计成支持日志 阅读全文
posted @ 2021-07-31 16:21 Varden