最终架构确定为  logs--->blieb--->redis/kafka--->logstash--->es--->kibana

注意:  geoip下载地址:

wget     http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz

filebeat  配置文件

filebeat-nginx

filebeat.prospectors:

- type: log

  paths:

    - /usr/local/nginx/logs/access.log              #nginx路径

  # tags: ["access"]

  fields:

    app: www                                        #所属于的项目

    type: nginx-access

  fields_under_root: true                           #目录制顶

- type: log

  paths:

    - /usr/local/nginx/logs/error.log

  # ags: ["error"]

  fields:

    app: www

    type: nginx-error

  fields_under_root: true

output.redis:                                     #输入的redis

  hosts: ["192.168.0.215"]                        #ip  密码  key  数据库 数据类型

  password: ""

  key: "filebeat"

  db: 0

  datatype: list

filebeat-tomcat

filebeat.prospectors:

- type: log

  paths:

    - /usr/local/tomcat/logs/catalina.out

  # tags: ["tomcat"]

  fields:

    app: www

    type: tomcat-catalina

  fields_under_root: true

  multiline:

    pattern: '^\['           #自定义正则

    negate: true

    match: after

output.redis:

  hosts: ["192.168.0.215"]

  password: ""

  key: "filebeat"

  db: 0

  datatype: list

nginx-json格式化

log_format json '{ "@timestamp": "$time_iso8601", '

         '"remote_addr": "$remote_addr", '

         '"remote_user": "$remote_user", '

         '"body_bytes_sent": "$body_bytes_sent", '

         '"request_time": "$request_time", '

         '"status": "$status", '

         '"request_uri": "$request_uri", '

         '"request_method": "$request_method", '

         '"http_referrer": "$http_referer", '

         '"http_x_forwarded_for": "$http_x_forwarded_for", '

         '"http_user_agent": "$http_user_agent"}';

logstash配置文件

logstash-to-es-nginxjson.com    (nginx json格式化日志)

input {  #进入的类型

    redis {

        host => "192.168.0.215"

        port => 6379

        password => ""

        db => ""

        data_type => "list"

        key => "filebeat"

    }

}

filter {

  if [app] == "www" {    #判断项目

    if [type] == "nginx-access" {  #判断类型

      json {

          source => "message"

          remove_field => ["message"]

      }

      geoip {

          source => "remote_addr"

          target => "geoip"

          database => "/opt/GeoLite2-City.mmdb"   #geoip  数据库地址  可以自定义

          add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]

          add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]

      }

      mutate {

          convert => ["[geoip][coordinates]", "float"]

      }

    }

  }

}

output {

  elasticsearch {

      hosts  => ["http://192.168.0.212:9200","http://192.168.0.213:9200","http://192.168.0.214:9200"]   #es集群

      index  => "logstash-%{type}-%{+YYYY.MM.dd}"

  }

  stdout{codec => rubydebug }

}

logstash-to-es-custom.conf    自定义格式化

input {

    redis {

        host => "192.168.0.215"

        port => 6379

        password => ""

        db => ""

        data_type => "list"

        key => "filebeat"

    }

}

filter {

  if [app] == "www" {

    if [type] == "nginx-access" {

      grok {

        match => {

          "message" => "%{IPV4:remote_addr} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:time_local}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:http_protocol}\" %{NUMBER:http_status} %{NUMBER:body_bytes_sent} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\" \"(%{IPV4:http_x_forwarded_for}|-)\""

        }   #自定义格式化

        overwrite => ["message"]

      }

      geoip {

          source => "remote_addr"

          target => "geoip"

          database => "/opt/GeoLite2-City.mmdb"

          add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]

          add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]

      }

      date {

          locale => "en"

          match => ["time_local", "dd/MMM/yyyy:HH:mm:ss Z"]

      }

      mutate {

          convert => ["[geoip][coordinates]", "float"]

      }

    }

  }

}

output {

  elasticsearch {

      hosts  => ["http://192.168.0.212:9200","http://192.168.0.213:9200","http://192.168.0.214:9200"]

      index  => "logstash-%{type}-%{+YYYY.MM.dd}"

  }

  stdout{codec => rubydebug }

}

elk-(七)的更多相关文章

  1. SpringBoot进阶教程(七十四)整合ELK

    在上一篇文章<SpringBoot进阶教程(七十三)整合elasticsearch >,已经详细介绍了关于elasticsearch的安装与使用,现在主要来看看关于ELK的定义.安装及使用 ...

  2. ELK系列七:Elasticsearch的集群配置和监控以及在部署ELK中踩的坑

    1.基本下载安装 #按照ELK系列一博客安装启动即可,没有大坑,注意一下权限即可 chmod -R 777 ./elasticsearch #此外没有java的,注意安装下JDK,我这次部署的环境是C ...

  3. 中小型研发团队架构实践七:集中式日志ELK

    一.集中式日志 日志可分为系统日志.应用日志以及业务日志,系统日志给运维人员使用,应用日志给研发人员使用,业务日志给业务操作人员使用.我们这里主要讲解应用日志,通过应用日志来了解应用的信息和状态,以及 ...

  4. Spring Cloud Sleuth+ZipKin+ELK服务链路追踪(七)

    序言 sleuth是spring cloud的分布式跟踪工具,主要记录链路调用数据,本身只支持内存存储,在业务量大的场景下,为拉提升系统性能也可通过http传输数据,也可换做rabbit或者kafka ...

  5. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  6. ELK Packetbeat 部署指南(15th)

    原文链接:http://www.ttlsa.com/elk/elk-packetbeat-deployment-guide/ Packetbeat 是一个实时网络数据包分析工具,与elasticsea ...

  7. ELK 之二:ElasticSearch 和Logstash高级使用

    一:文档 官方文档地址:1.x版本和2.x版本 https://www.elastic.co/guide/en/elasticsearch/guide/index.html 硬件要求: 1.内存,官方 ...

  8. 云计算Docker全面项目实战(Maven+Jenkins、日志管理ELK、WordPress博客镜像)

    2013年,云计算领域从此多了一个名词“Docker”.以轻量著称,更好的去解决应用打包和部署.之前我们一直在构建Iaas,但通过Iaas去实现统一功  能还是相当复杂得,并且维护复杂.将特殊性封装到 ...

  9. ELK日志管理搭建

    目录: 一.介绍 二.安装JDK 三.安装Elasticsearch 四.安装Kibana 五.安装Nginx 六.安装Logstash 七.安装Logstash-forwarder 八.测试 系统环 ...

  10. [原创]ubuntu14.04部署ELK+redis日志分析系统

    ubuntu14.04部署ELK+redis日志分析系统 [环境] host1:172.17.0.4 搭建ELK+redis服务 host2:172.17.0.3 搭建logstash+nginx服务 ...

随机推荐

  1. Map network drive遇到报错“The network folder specified is currently mapped using a different user name and password”,怎么办?

    --------------------------- Windows --------------------------- The network folder specified is curr ...

  2. vue 父子组件的方法调用

    $emit 子组件触发父组件的方法: <!-- 子组件 --> <template> <div id="child"> <button @ ...

  3. lsof 查看文件被哪个进程占用

    lsof 是什么意思? 答: list open files 查看某个文件被哪些进程在读写 lsof 文件名 查看某个进程打开了哪些文件lsof –c 进程名lsof –p 进程号 lsof用法小全 ...

  4. 同步IO、异步IO、阻塞IO、非阻塞IO之间的联系与区别

    POSIX 同步IO.异步IO.阻塞IO.非阻塞IO,这几个词常见于各种各样的与网络相关的文章之中,往往不同上下文中它们的意思是不一样的,以致于我在很长一段时间对此感到困惑,所以想写一篇文章整理一下. ...

  5. vue改变了数据却没有自动刷新

    有两个按钮,按钮上有个number属性,当此值为偶数时,按钮显示为红色. 最初的数据如下:"a": [{ name: "one" },{ name: " ...

  6. Python的虚拟机安装已经如何配置Scrapy for Mac

    时间:2018年2月21日 因为时间问题,以下笔记就粗略记录.仅作为个人笔记为用 安装virtualenv和virtualenvwrapper 如何安装的细节下面这篇也有介绍,包括如何使用切换虚拟机也 ...

  7. Introducing DataFrames in Apache Spark for Large Scale Data Science(中英双语)

    文章标题 Introducing DataFrames in Apache Spark for Large Scale Data Science 一个用于大规模数据科学的API——DataFrame ...

  8. OFTP简介

    OFTP协议由欧洲汽车标准组织Odette创建,第一个版本于1986年发布,旨在用于当时可用的网络服务,主要是X.25服务.Odette还考虑到VAN(增值网络)服务可能是通信链的一部分.OFTP是汽 ...

  9. Atitit uke公司简介与基本制度建设草案v11 r66 .docx

    Atitit uke公司简介与基本制度建设草案v11 r66 .docx Uke  org prj Author撰写人: 作者:: 绰号:老哇的爪子claw of Eagle 偶像破坏者Iconocl ...

  10. amqp笔记

    1.exchange message的生产者可以将消息发送给exchange,然后由exchange路由到不同的queue中. exchange有4种类型: direct exchange:msg只会 ...