filebeat+logstash

filebeat

官網(wǎng)

https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html

下載

https://www.elastic.co/cn/downloads/beats/filebeat

這里我們選擇匹配的版本:Linux aarch64

filebeat-8.6.2-linux-arm64.tar.gz

安裝

tar -zxvf  filebeat-8.6.2-linux-arm64.tar.gz filebeat-8.6.2-linux-arm64

啟動(dòng)

./filebeat -e -c filebeat.yaml

配置項(xiàng)

輸入項(xiàng) Inputs

https://www.elastic.co/guide/en/beats/filebeat/current/configuration-filebeat-options.html

輸出項(xiàng) Output

https://www.elastic.co/guide/en/beats/filebeat/current/configuring-output.html

部分配置項(xiàng)

通用設(shè)置

https://www.elastic.co/guide/en/beats/filebeat/8.7/filtering-and-enhancing-data.html

processors:    # 處理器 必須在配置的頂層
  # 在這里可以設(shè)置要去除的字段
  - drop_fields:
    # when: 可以設(shè)置去除的條件
    #   condition
    fields: ["log","host","input","agent","ecs"]
    ignore_missing: false  #如果當(dāng)指定的字段不存在時(shí)  處理器不會(huì)返回錯(cuò)誤 
name:  "my-beat"  #beat名稱丢早,無(wú)設(shè)置則取hostname    agent.name
tags:  ["my-service","hardware","test"]

實(shí)例

  • 用于監(jiān)聽(tīng)pd_cd_server.log文件的的數(shù)據(jù)梗夸,將發(fā)送到控制臺(tái)console
  1. 定義配置文件filebeta.yaml 
filebeat.inputs:          #定義輸入配置     
- type: log               #文件類型為log
  paths:                  #文件路徑
    - /opt/cd/log/pd_cd_server.log
    - /var/log/supervisor/*.log
  multiline:
    type: pattern    #定義要使用的聚合方法。正則表達(dá)式
    pattern: '^\['   #正則表達(dá)式
    negate: true     #默認(rèn)是false驯妄,匹配pattern的行合并到上一行
    match: after     #指定 Filebeat 如何將匹配的行合并到事件中把多行合并成一個(gè)事件
output.console:      #定義輸出
  pretty: true
  enable: true
  1. 啟動(dòng)該配置文件
./filebeat -e -c filebeat.yaml
  1. 返回打印控制臺(tái)
{
  "@timestamp": "2023-04-06T03:18:28.411Z",
  "@metadata": {
    "beat": "filebeat",
    "type": "_doc",
    "version": "8.6.2"
  },
  "log": {
    "file": {
      "path": "/opt/cd/log/pd_cd_server.log"
    },
    "offset": 6374
  },
  "message": "INFO:     192.168.0.181:10173 - \"GET /docs HTTP/1.1\" 200 OK",
  "input": {
    "type": "log"
  },
  "ecs": {
    "version": "8.0.0"
  },
  "host": {
    "name": "Test_007"
  },
  "agent": {
    "name": "Test_007",
    "type": "filebeat",
    "version": "8.6.2",
    "ephemeral_id": "e9e3e7f9-dfea-4d15-9abf-fd5e2d93e0cb",
    "id": "05f3a3cf-de63-447d-aa38-985a81983e26"
  }
}

logstash

官網(wǎng)

https://www.elastic.co/guide/en/logstash/current/getting-started-with-logstash.html

tar -zxvf logstash-7.14.0-linux-x86_64.tar.gz

運(yùn)行

./bin/logstash  -f  config/logstash-sample1.conf

配置

#接收beat數(shù)據(jù)窖张,標(biāo)準(zhǔn)輸出控制臺(tái)
input {                  #從filebeat取數(shù)據(jù)椭岩,端口與filebeat配置文件一致
  beats {
    port => 9022
  }
}
filter {
   if [filetype] == "log_pd_cd"{
 
     json {
    source => "message"

    remove_field => ["log","offset","tags","instance_id"] #移除字段践叠,不需要采集

    }
}
}
output {
  stdout {}
}

output {
    elasticsearch {
        hosts => [ "192.168.0.3:9200" ]
        index => "first-9an--%{+YYYY.MM.dd}"
    }
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末描睦,一起剝皮案震驚了整個(gè)濱河市膊存,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌忱叭,老刑警劉巖隔崎,帶你破解...
    沈念sama閱讀 221,273評(píng)論 6 515
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異韵丑,居然都是意外死亡爵卒,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,349評(píng)論 3 398
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén)撵彻,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)钓株,“玉大人,你說(shuō)我怎么就攤上這事陌僵≈岷希” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 167,709評(píng)論 0 360
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵碗短,是天一觀的道長(zhǎng)受葛。 經(jīng)常有香客問(wèn)我,道長(zhǎng),這世上最難降的妖魔是什么总滩? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 59,520評(píng)論 1 296
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任纲堵,我火速辦了婚禮,結(jié)果婚禮上咳秉,老公的妹妹穿的比我還像新娘婉支。我一直安慰自己,他們只是感情好澜建,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,515評(píng)論 6 397
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布向挖。 她就那樣靜靜地躺著,像睡著了一般炕舵。 火紅的嫁衣襯著肌膚如雪何之。 梳的紋絲不亂的頭發(fā)上,一...
    開(kāi)封第一講書(shū)人閱讀 52,158評(píng)論 1 308
  • 城市分裂傳說(shuō)
    那天咽筋,我揣著相機(jī)與錄音溶推,去河邊找鬼。 笑死奸攻,一個(gè)胖子當(dāng)著我的面吹牛蒜危,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播睹耐,決...
    沈念sama閱讀 40,755評(píng)論 3 421
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼辐赞,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了硝训?” 一聲冷哼從身側(cè)響起响委,我...
    開(kāi)封第一講書(shū)人閱讀 39,660評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎窖梁,沒(méi)想到半個(gè)月后赘风,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,203評(píng)論 1 319
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡纵刘,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,287評(píng)論 3 340
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年邀窃,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片假哎。...
    茶點(diǎn)故事閱讀 40,427評(píng)論 1 352
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡蛔翅,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出位谋,到底是詐尸還是另有隱情山析,我是刑警寧澤,帶...
    沈念sama閱讀 36,122評(píng)論 5 349
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布掏父,位于F島的核電站笋轨,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜爵政,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,801評(píng)論 3 333
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一仅讽、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧钾挟,春花似錦洁灵、人聲如沸。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,272評(píng)論 0 23
  • 一樁弒父案徽千,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至汤锨,卻和暖如春双抽,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背闲礼。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,393評(píng)論 1 272
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工牍汹, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人柬泽。 一個(gè)月前我還...
    沈念sama閱讀 48,808評(píng)論 3 376
  • 代替公主和親
    正文 我出身青樓慎菲,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親锨并。 傳聞我的和親對(duì)象是個(gè)殘疾皇子露该,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,440評(píng)論 2 359

推薦閱讀更多精彩內(nèi)容