filebeat日志收集
发表于:2025-12-02 作者:千家信息网编辑
千家信息网最后更新 2025年12月02日,以nginx错误日志为例,演示日志处理流程filebeat--logstash--esfilebeat--kafka--logstash--es#filebeat使用systemd管理/usr/lib
千家信息网最后更新 2025年12月02日filebeat日志收集
以nginx错误日志为例,演示日志处理流程
filebeat--logstash--es
filebeat--kafka--logstash--es
#filebeat使用systemd管理/usr/lib/systemd/system/filebeat.service [Unit]Description=FilebeatDocumentation=http://www.elastic.coWants=network-online.targetAfter=network-online.target[Service]ExecStart=/usr/local/filebeat/filebeat -c /usr/local/filebeat/filebeat.ymlRestart=always[Install]WantedBy=multi-user.target
#logstash使用systemd管理#如果有多个logstash配置文件,可以使用-f指定目录/usr/lib/systemd/system/logstash.service [Unit]Description=logstashDocumentation=http://www.elastic.coWants=network-online.targetAfter=network-online.target[Service]Environment=JAVA_HOME=/usr/java/jdk1.8.0_211ExecStart=/usr/local/logstash/bin/logstash -f /usr/local/logstash/config/logstash.conf -l /usr/local/logstash/logsRestart=always[Install]WantedBy=multi-user.target
#启动nginx容器,映射日志目录docker run -d --name=nginx --net=host -v /tmp/nginx_log:/var/log/nginx nginx
#nginx错误日志:
2019/09/21 17:00:08 [error] 7#7: *9 open() "/usr/share/nginx/html/api" failed (2: No such file or directory), client: 192.168.3.102, server: localhost, request: "GET /api HTTP/1.1", host: "192.168.3.100"
filebeat--logstash--es示例
#filebeat输出logstash示例/usr/local/filebeat/filebeat.yml filebeat.inputs:- type: log paths: - /tmp/nginx_log/error.log multiline.pattern: ^\d{4}/\d{2}/\d{2}\s\d{2}:\d{2}:\d{2} #匹配nginx日志时间格式 2019/09/21 17:00:08 multiline.negate: true multiline.match: after exclude_files: [".gz$"] tail_files: true #增加输出字段,tags为数组形式,fields.id为键值对形式 tags: ["nginx-100"] fields: id: "nginx-100"output.logstash: hosts: ["192.168.3.100:5044","192.168.3.101:5044"] loadbalance: true#输出到单个logstash#output.logstash:# hosts: ["127.0.0.1:5044"]#logstash输出到es示例;根据fileds.id来划分索引/usr/local/logstash/config/logstash.conf input { beats { port => 5044 }}output { elasticsearch { hosts => ["http://192.168.3.100:9200","http://192.168.3.101:9200","http://192.168.3.102:9200"] index => "%{[fields][id]}-%{+YYYY.MM.dd}" user => "elastic" password => "HkqZIHZsuXSv6B5OwqJ7" }}filebeat--kafka--logstash--es示例
#filebeat输出到kafka示例/usr/local/filebeat/filebeat.yml filebeat.inputs:- type: log paths: - /tmp/nginx_log/error.log multiline.pattern: ^\d{4}/\d{2}/\d{2}\s\d{2}:\d{2}:\d{2} #匹配nginx日志时间格式 2019/09/21 17:00:08 multiline.negate: true multiline.match: after exclude_files: [".gz$"] tail_files: true #增加输出字段,tags为数组形式,fields.id为键值对形式 tags: ["nginx-kafka-100"] fields: id: "nginx-kafka-100"output.kafka: hosts: ["192.168.3.100:9092", "192.168.3.101:9092", "192.168.3.102:9092"] topic: '%{[fields.id]}' partition.round_robin: reachable_only: false required_acks: 1 compression: gzip max_message_bytes: 1000000#kafka输出到es示例/usr/local/logstash/config/logstash.confinput { kafka { group_id => "logstash" topics => ["nginx-kafka-100"] bootstrap_servers => "192.168.3.100:9092,192.168.3.101:9092,192.168.3.102:9092" consumer_threads => "1" fetch_max_bytes => "26214400" codec => plain }}filter { json { source => "message" }}output { elasticsearch { hosts => ["http://192.168.3.100:9200","http://192.168.3.101:9200","http://192.168.3.102:9200"] index => "%{[fields][id]}-%{+YYYY.MM.dd}" user => "elastic" password => "HkqZIHZsuXSv6B5OwqJ7" }}参考:
https://www.elastic.co/guide/en/beats/filebeat/current/kafka-output.html
https://www.elastic.co/guide/en/beats/filebeat/current/logstash-output.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-json.html
输出
日志
示例
形式
字段
数组
时间
格式
目录
错误
管理
单个
多个
容器
文件
流程
索引
参考
处理
演示
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
竞赛软件开发
工业互联网平台首选 汉脑 科技
软件开发公司生产成本
中国网络安全看湖南
常熟网络技术转让质量
开展网络安全教育的通知
海康运维服务器
为什么软件开发经常要90天
战地一如何添加服务器
装安全狗服务器慢
网络安全比赛成功
网络安全技术的应用范围
鸿蒙系统升级连接服务器失败
计算机网络技术证办理
服务器安全故障日
网络安全要考哪些证
软件开发团队宣传报道
实现记录一周数据库
网络安全宣传法视频
教务系统分数数据库备份
海康运维服务器
阿里云服务器自带加速吗
校园网络安全防护工作
服务器上安装多个数据库
黑龙江特种网络技术服务代理商
好友列表数据库设计
软件开发技术员岗位说明书
分布式数据库 技术简介
泸州市网络安全法培训
美好生活互联网科技有限公司
