在上一篇文章中(http://weitao0912-163-com.iteye.com/admin/blogs/2271414)介绍了怎么安装elk(elasticsearch+logstash+kibana),接下来需要介绍下怎么使用elk。
首先要弄清楚,elk的工作流程,如下图:
首先,logstash agent(相当于上图的Shipper)按配置好的规则从每台服务器上收集log,收集好后,发送给Redis(redis此处只当做队列,不做存储使用,至于为什么用redis不用kafka,个人估计是kafka效率不如redis高,而且麻烦),然后logstash indexer再从redis里读取,读取完后发送给elasticsearch,elasticsearch再创建索引并存储,最后再通过kibana结合es从web界面进行查询和展示。
了解流程后,需要了解logstash是怎么从日志里收集数据的。这里,就需要建立conf文件了。如下:
input {
file{
path => ["d:/opt/wwwlogs/resinlog/*.log"]
start_position => beginning
codec=>json
discover_interval=>30
}
}
output {
stdout { codec => json }
elasticsearch {
hosts => "localhost:9200"
index => "test-%{+YYYY.MM.DD}"
}
}
config一共包含4部分,input,output,filter和codec,此处只用了input和output。input是logstash收集的目标来源,可以是file,也可以是stdin(即命令行输入)等.codec是指日志转化的格式,可以是json,也可以是rubydebug格式。logstash默认是每隔1秒就尝试读取文件有没有新内容,默认是15秒就扫描,检查有没有新文件。对应stat_interval和discover_interval参数。
output是指数据发送的目的地,此处没有用redis,直接发送个elasticsearch。index是指es创建索引的name.比如今天是2016年1月18日,则logstash启动时,会往es里创建名为test-2016.01.18的索引。
将上面的config文件内容保存在logstash目录下的bin目录,比如test-logstash.conf,然后进入bin目录,在命令行输入logstash.bat -f test-logstash.conf。启动logstash后,就会自动往es里发送数据。可以通过http://localhost:9200/_plugin/head查看创建的索引(这是es部分的内容)。如下
使用logstash收集完日志后,接下来通过kibana查看,在浏览器输入:http://localhost:5601,可以看到,在setting里创建index pattern,创建对es索引的mapping,创建完后,再点击discover,可以看到收集的日志数据了。然后就可以自己进行查询了,呵呵,这样查日志是不是比ssh到多台服务器去查看log方便很多呢?
参考链接:
https://www.elastic.co
http://www.th7.cn/db/mysql/201405/53069.shtml
http://storysky.blog.51cto.com/628458/1158707/
http://www.w2bc.com/Article/85035
http://langke.name/2014/12/18/elk-2.html
http://www.cnblogs.com/fangjian0423/p/logstash-elasticsearch-build.html
http://blog.kazaff.me/2015/06/05/%E6%97%A5%E5%BF%97%E6%94%B6%E9%9B%86%E6%9E%B6%E6%9E%84--ELK/
https://xiequan.info/%E4%BD%BF%E7%94%A8elasticsearch-logstash-kibana%E6%90%AD%E5%BB%BA%E6%97%A5%E5%BF%97%E9%9B%86%E4%B8%AD%E5%88%86%E6%9E%90%E5%B9%B3%E5%8F%B0%E5%AE%9E%E8%B7%B5/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io
相关推荐
对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELK,所以说ELK指的是...
NULL 博文链接:https://solomon2012.iteye.com/blog/2361117
scala通过logstash发送日志到kafka的Demo 请注意设置好kafka的2个host.name参数,否则同样无法连接 请注意修改logback.xml文件的服务器地址与端口
1,什么是Logstash 2,日志平台架构及Logstash技术要点 3,Kibana界面查询过滤操作 4,Kibana一些实例介绍 5,导航界面介绍及如何接入
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
该包适用于配置ES与MySQL进行同步,此包已经继承logstash-input-jdbc插件
logstash采集log4j日志发送到es配置文件,可以把日志根据日志级别区分开,一个级别一条日志是es中的一条数据
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
winlogbeat收集windows日志并通过logstash传到elasticsearch
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
logback日志写logstash配置appender参考
flume+Logstash+Kafka+Spark Streaming进行实时日志处理分析【大数据】
部署ELK集群:在系统中部署Elasticsearch、Logstash和Kibana三个组件,搭建ELK日志系统。其中,Elasticsearch负责日志数据的存储与检索,Logstash负责从Kafka消费数据并将数据传输到Elasticsearch,Kibana则负责从...
Logstash是一个开源的日志收集管理工具,作为一个数据管道中间件,支持对各种类型数据的采集与转换,并将数据发送到各种类型的存储库。官网下载太慢,特意下载后分享给大家。此处为当前最新版logstash-7.4.0
elktail, 用于查询搜索和跟踪 EL ( elasticsearch,logstash ) 日志的命令行 实用程序 ElktailElktail是用于查询和跟踪 ELK ( elasticsearch,logstash,kibana ) 日志的命令行 实用工具。 尽管它是强大的,但使用...
Logstash 是一个开源的数据收集引擎...因此,我们可以使用 Logstash 对日志文件进行收集和统一过滤,变成可读性高的内容,方便开发者或运维人员观察,从而有效的分析系统/项目运行的性能,做好监控和预警的准备工作等。
Logstash 是一个开源的数据收集引擎...因此,我们可以使用 Logstash 对日志文件进行收集和统一过滤,变成可读性高的内容,方便开发者或运维人员观察,从而有效的分析系统/项目运行的性能,做好监控和预警的准备工作等。
Logstash 在其过程中担任搬运工的角色,它为数据存储,报表查询和日志解析创建了一个功能强大的管道链。Logstash 提供了多种多样的 input,filters,codecs 和 output 组件,让使用者轻松实现强大的功能。
虽然Logstash最初推动了日志收集方面的创新,但是它的功能远远超出了这个用例,任何类型的事件都可以通过大量的输入、过滤器和输出插件来丰富和转换,使用许多原生编解码可以进一步简化摄取过程。Logstash通过利用...
用Kibana和logstash快速搭建实时日志查询、收集与分析系统