最终架构确定为  logs--->blieb--->redis/kafka--->logstash--->es--->kibana

注意:  geoip下载地址:

wget     http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz

filebeat  配置文件

filebeat-nginx

filebeat.prospectors:

- type: log

  paths:

    - /usr/local/nginx/logs/access.log              #nginx路径

  # tags: ["access"]

  fields:

    app: www                                        #所属于的项目

    type: nginx-access

  fields_under_root: true                           #目录制顶

- type: log

  paths:

    - /usr/local/nginx/logs/error.log

  # ags: ["error"]

  fields:

    app: www

    type: nginx-error

  fields_under_root: true

output.redis:                                     #输入的redis

  hosts: ["192.168.0.215"]                        #ip  密码  key  数据库 数据类型

  password: ""

  key: "filebeat"

  db: 0

  datatype: list

filebeat-tomcat

filebeat.prospectors:

- type: log

  paths:

    - /usr/local/tomcat/logs/catalina.out

  # tags: ["tomcat"]

  fields:

    app: www

    type: tomcat-catalina

  fields_under_root: true

  multiline:

    pattern: '^\['           #自定义正则

    negate: true

    match: after

output.redis:

  hosts: ["192.168.0.215"]

  password: ""

  key: "filebeat"

  db: 0

  datatype: list

nginx-json格式化

log_format json '{ "@timestamp": "$time_iso8601", '

         '"remote_addr": "$remote_addr", '

         '"remote_user": "$remote_user", '

         '"body_bytes_sent": "$body_bytes_sent", '

         '"request_time": "$request_time", '

         '"status": "$status", '

         '"request_uri": "$request_uri", '

         '"request_method": "$request_method", '

         '"http_referrer": "$http_referer", '

         '"http_x_forwarded_for": "$http_x_forwarded_for", '

         '"http_user_agent": "$http_user_agent"}';

logstash配置文件

logstash-to-es-nginxjson.com    (nginx json格式化日志)

input {  #进入的类型

    redis {

        host => "192.168.0.215"

        port => 6379

        password => ""

        db => ""

        data_type => "list"

        key => "filebeat"

    }

}

filter {

  if [app] == "www" {    #判断项目

    if [type] == "nginx-access" {  #判断类型

      json {

          source => "message"

          remove_field => ["message"]

      }

      geoip {

          source => "remote_addr"

          target => "geoip"

          database => "/opt/GeoLite2-City.mmdb"   #geoip  数据库地址  可以自定义

          add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]

          add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]

      }

      mutate {

          convert => ["[geoip][coordinates]", "float"]

      }

    }

  }

}

output {

  elasticsearch {

      hosts  => ["http://192.168.0.212:9200","http://192.168.0.213:9200","http://192.168.0.214:9200"]   #es集群

      index  => "logstash-%{type}-%{+YYYY.MM.dd}"

  }

  stdout{codec => rubydebug }

}

logstash-to-es-custom.conf    自定义格式化

input {

    redis {

        host => "192.168.0.215"

        port => 6379

        password => ""

        db => ""

        data_type => "list"

        key => "filebeat"

    }

}

filter {

  if [app] == "www" {

    if [type] == "nginx-access" {

      grok {

        match => {

          "message" => "%{IPV4:remote_addr} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:time_local}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:http_protocol}\" %{NUMBER:http_status} %{NUMBER:body_bytes_sent} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\" \"(%{IPV4:http_x_forwarded_for}|-)\""

        }   #自定义格式化

        overwrite => ["message"]

      }

      geoip {

          source => "remote_addr"

          target => "geoip"

          database => "/opt/GeoLite2-City.mmdb"

          add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]

          add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]

      }

      date {

          locale => "en"

          match => ["time_local", "dd/MMM/yyyy:HH:mm:ss Z"]

      }

      mutate {

          convert => ["[geoip][coordinates]", "float"]

      }

    }

  }

}

output {

  elasticsearch {

      hosts  => ["http://192.168.0.212:9200","http://192.168.0.213:9200","http://192.168.0.214:9200"]

      index  => "logstash-%{type}-%{+YYYY.MM.dd}"

  }

  stdout{codec => rubydebug }

}

elk-(七)的更多相关文章

  1. SpringBoot进阶教程(七十四)整合ELK

    在上一篇文章<SpringBoot进阶教程(七十三)整合elasticsearch >,已经详细介绍了关于elasticsearch的安装与使用,现在主要来看看关于ELK的定义.安装及使用 ...

  2. ELK系列七:Elasticsearch的集群配置和监控以及在部署ELK中踩的坑

    1.基本下载安装 #按照ELK系列一博客安装启动即可,没有大坑,注意一下权限即可 chmod -R 777 ./elasticsearch #此外没有java的,注意安装下JDK,我这次部署的环境是C ...

  3. 中小型研发团队架构实践七:集中式日志ELK

    一.集中式日志 日志可分为系统日志.应用日志以及业务日志,系统日志给运维人员使用,应用日志给研发人员使用,业务日志给业务操作人员使用.我们这里主要讲解应用日志,通过应用日志来了解应用的信息和状态,以及 ...

  4. Spring Cloud Sleuth+ZipKin+ELK服务链路追踪(七)

    序言 sleuth是spring cloud的分布式跟踪工具,主要记录链路调用数据,本身只支持内存存储,在业务量大的场景下,为拉提升系统性能也可通过http传输数据,也可换做rabbit或者kafka ...

  5. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  6. ELK Packetbeat 部署指南(15th)

    原文链接:http://www.ttlsa.com/elk/elk-packetbeat-deployment-guide/ Packetbeat 是一个实时网络数据包分析工具,与elasticsea ...

  7. ELK 之二:ElasticSearch 和Logstash高级使用

    一:文档 官方文档地址:1.x版本和2.x版本 https://www.elastic.co/guide/en/elasticsearch/guide/index.html 硬件要求: 1.内存,官方 ...

  8. 云计算Docker全面项目实战(Maven+Jenkins、日志管理ELK、WordPress博客镜像)

    2013年,云计算领域从此多了一个名词“Docker”.以轻量著称,更好的去解决应用打包和部署.之前我们一直在构建Iaas,但通过Iaas去实现统一功  能还是相当复杂得,并且维护复杂.将特殊性封装到 ...

  9. ELK日志管理搭建

    目录: 一.介绍 二.安装JDK 三.安装Elasticsearch 四.安装Kibana 五.安装Nginx 六.安装Logstash 七.安装Logstash-forwarder 八.测试 系统环 ...

  10. [原创]ubuntu14.04部署ELK+redis日志分析系统

    ubuntu14.04部署ELK+redis日志分析系统 [环境] host1:172.17.0.4 搭建ELK+redis服务 host2:172.17.0.3 搭建logstash+nginx服务 ...

随机推荐

  1. Apache Kafka 快速入门

    概述 Apache Kafka是一个分布式发布-订阅消息系统和强大的队列,可以处理大量的数据,将消息从一个端点传递到另一个端点.Kafka适合离线和在线消息消费,Kafka消息保存在磁盘上,并在集群内 ...

  2. css-animate制作列表鼠标移动覆盖透明层

    效果 比列使用bootcdn加速 html <!DOCTYPE html> <!-- saved from url=(0065)javascript:; --> <htm ...

  3. Spark2.2(三十九):如何根据appName监控spark任务,当任务不存在则启动(任务存在当超过多久没有活动状态则kill,等待下次启动)

    业务需求 实现一个根据spark任务的appName来监控任务是否存在,及任务是否卡死的监控. 1)给定一个appName,根据appName从yarn application -list中验证任务是 ...

  4. update使用inner join

    一.update 基础语法 UPDATE 表名称 SET 列名称 = 新值 WHERE 列名称 = 某值 上面是我们常见的更新表的方式,其实我们还可以去另外一张表的数据来更新当前的表数据,如现在就有这 ...

  5. NYOJ127 星际之门(一)【定理】

    星际之门(一) 时间限制:3000 ms  |  内存限制:65535 KB 难度:3 描写叙述 公元3000年,子虚帝国统领着N个星系,原先它们是靠近光束飞船来进行旅行的,近来,X博士发明了星际之门 ...

  6. [Python设计模式] 第15章 如何兼容各种DB——抽象工厂模式

    github地址:https://github.com/cheesezh/python_design_patterns 题目 如何让一个程序,可以灵活替换数据库? 基础版本 class User(): ...

  7. Could not parse multipart servlet request; nested exception is org.apache.commons.fileupload.FileUploadBase$IOFileUploadException: Processing of multipart/form-data request failed.

    org.springframework.web.multipart.MultipartException: Could not parse multipart servlet request; nes ...

  8. Xcode No account for team "". Add a new account in the Accounts preference pane or verify that your accounts have valid credentials.

    问题背景 Xcode报错误信息:No account for team "QMP96B5DPW". Add a new account in the Accounts prefer ...

  9. Java 设计模式专栏

    Java 设计模式之工厂模式学习心得 转:Java 设计模式之单例模式 转:  Java设计模式之建造者模式 转:Java设计模式之代理模式

  10. 试试SQLServer 2014的内存优化表

    SQL Server2014存储引擎:行存储引擎,列存储引擎,内存引擎 SQL Server 2014中的内存引擎(代号为Hekaton)将OLTP提升到了新的高度. 现在,存储引擎已整合进当前的数据 ...