Beats入門

Beats

簡介

Beats集合了多種單一用途的數(shù)據(jù)采集器冲茸,主要有以下幾種類型

  • filebeat:采集日志文件
  • metricbeat:采集系統(tǒng)和軟件指標(biāo)
  • packetbeat:采集網(wǎng)絡(luò)數(shù)據(jù)

如果數(shù)據(jù)不需要經(jīng)過處理屯阀,可以直接傳給Elasticsearch中

如果數(shù)據(jù)需要經(jīng)過處理缅帘,可以傳給logstash處理,然后再發(fā)送給Elasticsearch

Filebeat:輕量級的日志采集器

為什么要用Filebeat

當(dāng)服務(wù)器很多時难衰,ssh登錄查看會比較麻煩钦无。啟動 Filebeat 后,打開 Logs UI盖袭,直接在 Kibana 中觀看對您的文件進行 tail 操作的過程

Filebeat工作流程

  • 指定數(shù)據(jù)源
  • 匹配到日志后失暂,使用Harvester組件讀取日志
  • 日志傳遞到spooler,然后再傳到elasticsearch或logstash中

下載安裝

選擇對應(yīng)系統(tǒng)的安裝包苍凛,下載地址:https://www.elastic.co/cn/downloads/beats/filebeat

image.png

下載后趣席,傳到服務(wù)器上

# 解壓
tar xf filebeat-7.13.0-linux-x86_64.tar.gz
# 移動并重命名
mv filebeat-7.13.0-linux-x86_64 /usr/local/filebeat

創(chuàng)建從控制臺讀取數(shù)據(jù)的配置文件

cd /usr/local/filebeat

vim mybeat.yml
# 添加以如下內(nèi)容
filebeat.inputs:
- type: stdin
  enabled: true
output.console:
  pretty: true
  enable: true

啟動

./filebeat -e -c mybeat.yml
image.png

輸出hello,可以控制臺看到j(luò)son輸出

image.png

創(chuàng)建從日志中讀取數(shù)據(jù)的配置文件

vim mybeat1.yml
# 輸出以下內(nèi)容
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/logs/message
output.console:
  pretty: true
  enable: true
# 再次啟動
 ./filebeat -e -c mybeat1.yml

# 往messages里追加一點內(nèi)容
echo "hello" >> /var/log/messages

可以看到剛剛追加的內(nèi)容


image.png

自定義字段

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/logs/message
  fields_under_root: true  # 自定義字段作為根節(jié)點顯示 
    # 自定義字段 
  fields:
    myfields: test

output.console:
  pretty: true
  enable: true

輸出到Elasticsearch中

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
  fields:
    myfields: test
  fields_under_root: true 
output.elasticsearch:
  hosts: ["192.168.0.14:9200"]
image.png
自定義索引名稱
output.elasticsearch:
  hosts: ["192.168.0.14"]
  index: "message-%{+yyyy-MM}"

setup.ilm.enabled: false
setup.template.enabled: false
setup.template.name: "index"
setup.template.pattern: "index-*"

安裝chrome插件Elasticsearch Head查看結(jié)果


image.png

還可以按日志類型定義索引名稱

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  # 自定義標(biāo)簽
  tags: "access"
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log

  tags: "error"
output.elasticsearch:
  hosts: ["192.168.0.14:9200"]
  indices:
    - index: "nginx-access-%{+yyyy.MM}"
      when.contains:
        tags: "access"
    - index: "nginx-error-%{+yyyy.MM}"
      when.contains:
        tags: "error"

setup.ilm.enabled: false
setup.template.name: "index"
setup.template.pattern: "index-*"
setup.template.enabled: false
image.png

filebeat的組件

harvester
  • 讀取單個文件內(nèi)容
  • 每個文件啟動一個harvester,并且harvester負(fù)責(zé)打開和關(guān)閉這些文件
  • 每個文件啟動一個harvester
  • 在harvester正在讀取文件內(nèi)容的時候醇蝴,文件被刪除或者重命名了,那么Filebeat就會續(xù)讀這個文件想罕,這就會造成一個問題悠栓,就是只要負(fù)責(zé)這個文件的harvester沒用關(guān)閉,那么磁盤空間就不會被釋放按价,默認(rèn)情況下惭适,F(xiàn)ilebeat保存問價你打開直到close_inactive到達
prospector
  • 管理harvester,找到所有讀取的文件來源
  • 如果輸入類型為日志楼镐,則為每個文件啟動一個harvester
  • filebeat支持的prospector:stdin和log

module

前面的日志采集都是手動配置癞志,在Filebeat中,有大量的Module框产,可以簡化配置凄杯,并且做了簡單的處理

# 查看module列表
./filebeat modules list
# 啟用module
./filebeat modules enable nginx
# 禁用module
./filebeat modules disable nginx

修改module配置

vim modules.d/nginx.yml


- module: nginx
  # Access logs
  access:
    enabled: true
    # 添加日志文件
    var.paths: ["/var/log/nginx/access.log*"]

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:

  # Error logs
  error:
    enabled: true
    var.paths: ["/var/log/nginx/error.log*"]

配置filebeat,添加module

filebeat.inputs:
output.elasticsearch:
  hosts: ["192.168.0.20:9200"]
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

測試

image.png

可以看到剛寫入的數(shù)據(jù)己經(jīng)采集到了


image.png

更多玩法秉宿,可參考官方文檔:https://www.elastic.co/guide/en/beats/filebeat/current/index.html

Metricbeat

Metricbeat的組成
  • module:收集的對象戒突,如mysql,redis,操作系統(tǒng)等
  • metricset:收集指標(biāo)的集合:如CPU描睦,memory膊存,network等

使用Metricbeat的module收集Nginx數(shù)據(jù)

# 啟用nginx module
./metricbeat modules enable nginx

# 配置nginx的status
location /status {
    stub_status on;
    access_log off;
}
# reload
systemctl reload nginx

vim modules.d/nginx.yml

html
  - module: nginx
#metricsets:
# - stubstatus
  period: 10s
# Nginx hosts
  hosts: ["http://127.0.0.1"]
# status的uri
  server_status_path: "status"

./metricbeat -e

測試


image.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市忱叭,隨后出現(xiàn)的幾起案子隔崎,更是在濱河造成了極大的恐慌,老刑警劉巖韵丑,帶你破解...
    沈念sama閱讀 211,042評論 6 490
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件爵卒,死亡現(xiàn)場離奇詭異,居然都是意外死亡埂息,警方通過查閱死者的電腦和手機技潘,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 89,996評論 2 384
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門遥巴,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人享幽,你說我怎么就攤上這事铲掐。” “怎么了值桩?”我有些...
    開封第一講書人閱讀 156,674評論 0 345
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵摆霉,是天一觀的道長。 經(jīng)常有香客問我奔坟,道長携栋,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,340評論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任咳秉,我火速辦了婚禮婉支,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘澜建。我一直安慰自己向挖,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 65,404評論 5 384
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布炕舵。 她就那樣靜靜地躺著何之,像睡著了一般。 火紅的嫁衣襯著肌膚如雪咽筋。 梳的紋絲不亂的頭發(fā)上溶推,一...
    開封第一講書人閱讀 49,749評論 1 289
  • 城市分裂傳說
    那天,我揣著相機與錄音奸攻,去河邊找鬼蒜危。 笑死,一個胖子當(dāng)著我的面吹牛舞箍,可吹牛的內(nèi)容都是我干的舰褪。 我是一名探鬼主播,決...
    沈念sama閱讀 38,902評論 3 405
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼疏橄,長吁一口氣:“原來是場噩夢啊……” “哼占拍!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起捎迫,我...
    開封第一講書人閱讀 37,662評論 0 266
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤晃酒,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后窄绒,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體贝次,經(jīng)...
    沈念sama閱讀 44,110評論 1 303
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,451評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年彰导,在試婚紗的時候發(fā)現(xiàn)自己被綠了蛔翅。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片敲茄。...
    茶點故事閱讀 38,577評論 1 340
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖山析,靈堂內(nèi)的尸體忽然破棺而出堰燎,到底是詐尸還是另有隱情,我是刑警寧澤笋轨,帶...
    沈念sama閱讀 34,258評論 4 328
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布秆剪,位于F島的核電站,受9級特大地震影響爵政,放射性物質(zhì)發(fā)生泄漏仅讽。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,848評論 3 312
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一钾挟、第九天 我趴在偏房一處隱蔽的房頂上張望洁灵。 院中可真熱鬧,春花似錦等龙、人聲如沸处渣。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,726評論 0 21
  • 一樁弒父案蛛砰,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至黍衙,卻和暖如春泥畅,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背琅翻。 一陣腳步聲響...
    開封第一講書人閱讀 31,952評論 1 264
  • 情欲美人皮
    我被黑心中介騙來泰國打工位仁, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人方椎。 一個月前我還...
    沈念sama閱讀 46,271評論 2 360
  • 代替公主和親
    正文 我出身青樓聂抢,卻偏偏與公主長得像,于是被迫代替她去往敵國和親棠众。 傳聞我的和親對象是個殘疾皇子琳疏,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,452評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 一、logstash Logstash: 是一個靈活的數(shù)據(jù)傳輸和處理系統(tǒng)闸拿,在beats出來之前空盼,還負(fù)責(zé)進行數(shù)...
    zpei0411閱讀 21,058評論 0 7
  • 一、Beats簡介 ??Beats是用于單用途數(shù)據(jù)托運人的平臺新荤。它們以輕量級代理的形式安裝揽趾,并將來自成百上千臺機器...
    無劍_君閱讀 1,794評論 0 1
  • 官網(wǎng):https://www.elastic.co/ 日志大數(shù)據(jù)系統(tǒng)的組成日志記錄工具:Log4j 2、Apach...
    saoraozhe3hao閱讀 1,417評論 0 0
  • 前面我們搭建了一個簡單的ELK日志收集系統(tǒng)苛骨,可以看到其中的Logstash起的作用篱瞎。Logstash 是一個實時數(shù)...
    郭藝賓閱讀 1,307評論 0 1
  • 簡介 ELK是Elasticsearch苟呐、Logstash、Kibana的簡稱俐筋,這三者是核心套件牵素,但并非全部。后文...
    mysia閱讀 3,603評論 1 14