部署ELK+filebeat收集nginx日志
前言
简介
ELK(Elasticsearch、Logstash、Kibana)是开源的实时日志收集分析解决方案。
- Elasticsearch:开源搜索引擎,是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。Elasticsearch为所有类型的数据提供近乎实时的搜索和分析。无论是结构化文本还是非结构化文本,数字数据或地理空间数据,Elasticsearch都能以支持快速搜索的方式有效地对其进行存储和索引。在ELK中负责日志分析与存储。
- Logstash:日志收集、过滤、转发的日志收集引擎。能够从多个来源采集数据,转换数据,然后将数据发送到“存储库”中。Logstash能够动态地采集、转换和传输数据,不受格式或复杂度的影响。在本文中负责接收处理filebeat的数据
- Kibana:负责页面可视化展示。
- Filebeat:日志数据采集
完整日志系统的基本特征:
- 收集:能够采集多种来源的日志数据
- 传输:能够稳定的把日志数据解析过滤并传输到存储系统
- 存储:存储日志数据
- 分析:支持UI分析
- 警告:能够提供错误报告,监控机制
部署位置
| IP | 应用 | 版本 | 说明 |
|---|---|---|---|
| 192.168.2.249 | elasticsearch | 7.5.1 | 日志分析和存储,简称“es” |
| 192.168.2.249 | logstash | 7.5.1 | 日志处理 |
| 192.168.2.249 | kibana | 7.5.1 | 数据可视化 |
| 192.168.2.249 | filebeat | 7.5.1 | 日志采集 |
| 192.168.2.249 | nginx | 1.21.5 | 日志源 |
步骤
准备工作
- 安装docker和docker-compose,可参考 博客园 - 花酒锄作田 - linux离线安装docker与compose
- docker拉取es、logstash和kibana的docker镜像(version 7.5.1)
- 下载filebeat的二进制程序压缩包(官方下载地址)
- 安装nginx
记录的一些命令(使用普通用户admin,有docker的使用权限)
# 拉取镜像
docker pull elasticsearch:7.5.1
docker pull logstash:7.5.1
docker pull kibana:7.5.1
# 准备数据和配置文件目录
mkdir -p $HOME/apps/{elasticsearch,logstash,kibana}
安装elasticsearch
- 编辑
es-compose.yaml
version: '3'
services:
elasticsearch:
image: elasticsearch:7.5.1
container_name: es
environment:
- discovery.type=single-node
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms1024m -Xmx1024m"
ulimits:
memlock:
soft: -1
hard: -1
hostname: elasticsearch
ports:
- "9200:9200"
- "9300:9300"
- 创建docker容器
docker-compose -f es-compose.yaml
- 从容器中复制一些配置
docker cp es:/usr/share/elasticsearch/data $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/config $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/modules $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/plugins $HOME/apps/elasticsearch
- 修改es-compose.yaml(主要用于挂载数据持久化目录)
version: '3'
services:
elasticsearch:
image: elasticsearch:7.5.1
container_name: es
environment:
- discovery.type=single-node
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms1024m -Xmx1024m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- /etc/localtime:/etc/localtime:ro
- /etc/timezone:/etc/timezone:ro
- /home/admin/apps/elasticsearch/modules:/usr/share/elasticsearch/modules
- /home/admin/apps/elasticsearch/plugins:/usr/share/elasticsearch/plugins
- /home/admin/apps/elasticsearch/data:/usr/share/elasticsearch/data
- /home/admin/apps/elasticsearch/config:/usr/share/elasticsearch/config
hostname: elasticsearch
ports:
- "9200:9200"
- "9300:9300"
- 重新启动
docker-compose -f es-compose.yaml up -d
安装logstash
- 编辑logstash-compose.yaml
version: '3'
services:
logstash:
image: logstash:7.5.1
container_name: logstash
hostname: logstash
ports:
- "5044:5044"
- 启动docker容器
docker-compose -f logstash-compose.yaml up -d
- 从docker容器中复制配置
docker cp logstash:/usr/share/logstash/config $HOME/apps/logstash
docker cp logstash:/usr/share/logstash/pipeline $HOME/apps/logstash
- 修改
$HOME/apps/logstash.config/logstash.yml,示例如下
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://192.168.2.249:9200" ]
- 修改
$HOME/apps/logstash/pipeline/logstash.conf
input {
beats {
port => 5044
codec => "json"
}
}
output {
elasticsearch {
hosts => ["http://192.168.2.249:9200"]
index => "logstash-nginx-%{[@metadata][version]}-%{+YYYY.MM.dd}"
}
}
- 修改logstash-compose.yaml
version: '3'
services:
logstash:
image: logstash:7.5.1
container_name: logstash
hostname: logstash
ports:
- "5044:5044"
volumes:
- /etc/localtime:/etc/locatime:ro
- /etc/timezone:/etc/timezone:ro
- /home/admin/apps/logstash/pipeline:/usr/share/logstash/pipeline
- /home/admin/apps/logstash/config:/usr/share/logstash/config
- 重新启动
docker-compose -f logstash-compose.yaml up -d
安装kibana
- 编辑kibana-compose.yaml
version: '3'
services:
kibana:
image: kibana:7.5.1
container_name: kibana
hostname: kibana
ports:
- "5601:5601"
- 启动
docker-compose -f kibana-compose.yaml up -d
- 从docker容器中复制配置
docker cp kibana:/usr/share/kibana/config $HOME/apps/kibana
- 修改
$HOME/apps/kibana/config/kibana.yml,修改es地址和指定中文
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://192.168.2.249:9200" ]
xpack.monitoring.ui.container.elasticsearch.enabled: true
i18n.locale: "zh-CN"
- 修改kibana-compose.yaml
version: '3'
services:
kibana:
image: kibana:7.5.1
container_name: kibana
hostname: kibana
ports:
- "5601:5601"
volumes:
- /etc/localtime:/etc/locatime:ro
- /etc/timezone:/etc/timezone:ro
- /home/admin/apps/kibana/config:/usr/share/kibana/config
- 重新启动
docker-compose -f kibana-compose.yaml up -d
修改nginx日志格式
log_format json '{"@timestamp": "$time_iso8601", '
'"connection": "$connection", '
'"remote_addr": "$remote_addr", '
'"remote_user": "$remote_user", '
'"request_method": "$request_method", '
'"request_uri": "$request_uri", '
'"server_protocol": "$server_protocol", '
'"status": "$status", '
'"body_bytes_sent": "$body_bytes_sent", '
'"http_referer": "$http_referer", '
'"http_user_agent": "$http_user_agent", '
'"http_x_forwarded_for": "$http_x_forwarded_for", '
'"request_time": "$request_time"}';
在http块中设置:access_log logs/access.log json;
安装filebeat
- 假设filebeat的压缩包已下载并解压,解压和重命名之后,二进制文件所在目录为
/home/admin/apps/filebeat - 编辑
filebeat.yaml,找到以下内容,取消输出到es,改为输出到logstash,示例:
#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
# Array of hosts to connect to.
#hosts: ["localhost:9200"]
# Optional protocol and basic auth credentials.
#protocol: "https"
#username: "elastic"
#password: "changeme"
#----------------------------- Logstash output --------------------------------
output.logstash:
# The Logstash hosts
hosts: ["192.168.2.249:5044"]
- 启用nginx模块
./filebeat modules enable nginx
- 配置nginx模块。修改
./modules.d/nginx.yml,主要修改nginx日志的路径,示例如下
# Module: nginx
# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.5/filebeat-module-nginx.html
- module: nginx
# Access logs
access:
enabled: true
# Set custom paths for the log files. If left empty,
# Filebeat will choose the paths depending on your OS.
var.paths: ["/home/admin/apps/nginx/logs/*access.log"]
# Error logs
error:
enabled: true
# Set custom paths for the log files. If left empty,
# Filebeat will choose the paths depending on your OS.
var.paths: ["/home/admin/apps/nginx/logs/*error.log"]
- 检查配置
./filebeat test config
./filebeat test output
- 验证通过后,启动
nohup ./filebeat -e -c ./filebeat.yml > /dev/null 2>&1 &
kibana展示
- 打开kibana的web页面,端口5061
- 打开左侧菜单栏的设置(management) - 索引模式 - 创建索引模式
- 输入
logstash-nginx-*,点击下一步(如果点不了,选择timestamp) - 打开左侧菜单栏的discover,选择
logstash-nginx-*就可以试试查看nginx输出日志了
参考资料
- 搞懂ELK并不是一件特别难的事
- 王小东:《Nginx应用与运维实战》
部署ELK+filebeat收集nginx日志的更多相关文章
- ELK Stack (2) —— ELK + Redis收集Nginx日志
ELK Stack (2) -- ELK + Redis收集Nginx日志 摘要 使用Elasticsearch.Logstash.Kibana与Redis(作为缓冲区)对Nginx日志进行收集 版本 ...
- Kubernetes实战之部署ELK Stack收集平台日志
主要内容 1 ELK概念 2 K8S需要收集哪些日志 3 ELK Stack日志方案 4 容器中的日志怎么收集 5 K8S平台中应用日志收集 准备环境 一套正常运行的k8s集群,kubeadm安装部署 ...
- ELK日志系统之使用Rsyslog快速方便的收集Nginx日志
常规的日志收集方案中Client端都需要额外安装一个Agent来收集日志,例如logstash.filebeat等,额外的程序也就意味着环境的复杂,资源的占用,有没有一种方式是不需要额外安装程序就能实 ...
- ELK整合Filebeat监控nginx日志
ELK 日志分析 1. 为什么用到 ELK 一般我们需要进行日志分析场景:直接在日志文件中 grep. awk 就可以获得自己想要的信息.但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如 ...
- ELK 二进制安装并收集nginx日志
对于日志来说,最常见的需求就是收集.存储.查询.展示,开源社区正好有相对应的开源项目:logstash(收集).elasticsearch(存储+搜索).kibana(展示),我们将这三个组合起来的技 ...
- ELK学习实验018:filebeat收集docker日志
Filebeat收集Docker日志 1 安装docker [root@node4 ~]# yum install -y yum-utils device-mapper-persistent-data ...
- ELK学习实验016:filebeat收集tomcat日志
filebeat收集tomcat日志 1 安装tomcat [root@node4 ~]# yum -y install tomcat tomcat-webapps tomcat-admin-weba ...
- ELK filter过滤器来收集Nginx日志
前面已经有ELK-Redis的安装,此处只讲在不改变日志格式的情况下收集Nginx日志. 1.Nginx端的日志格式设置如下: log_format access '$remote_addr - $r ...
- Docker 部署 elk + filebeat
Docker 部署 elk + filebeat kibana 开源的分析与可视化平台logstash 日志收集工具 logstash-forwarder(原名lubmberjack)elastics ...
- ELK+FileBeat+Log4Net搭建日志系统
ELK+FileBeat+Log4Net搭建日志系统 来源:https://www.zybuluo.com/muyanfeixiang/note/608470 标签(空格分隔): ELK Log4Ne ...
随机推荐
- CD的认知与学习
cd命令的作用 ●ls可以理解成当前而cd是切换到那一层 ls查看当前目录下的所有文件(不包含隐藏): ls /查看/下的所有文件 cd 切换到哪个文件下 pwd命令的作用 通过ls来验证当前的工作目 ...
- 音视频八股文(11)-- ffmpeg 音频重采样
1重采样 1.1 什么是重采样 所谓的重采样,就是改变⾳频的采样率.sample format.声道数等参数,使之按照我们期望的参数输出. 1.2 为什么要重采样 为什么要重采样?当然是原有的⾳频参数 ...
- 2022-08-18:每一个序列都是[a,b]的形式,a < b 序列连接的方式为,前一个序列的b,要等于后一个序列的a 比如 : [3, 7]、[7, 13]、[13, 26]这三个序列就可以依次连
2022-08-18:每一个序列都是[a,b]的形式,a < b 序列连接的方式为,前一个序列的b,要等于后一个序列的a 比如 : [3, 7].[7, 13].[13, 26]这三个序列就可以 ...
- 2022-06-02:一开始在0位置,每一次都可以向左或者向右跳, 第i次能向左或者向右跳严格的i步。 请问从0到x位置,至少跳几次可以到达。 来自字节。 力扣754. 到达终点数字。
2022-06-02:一开始在0位置,每一次都可以向左或者向右跳, 第i次能向左或者向右跳严格的i步. 请问从0到x位置,至少跳几次可以到达. 来自字节. 力扣754. 到达终点数字. 答案2022- ...
- IDP 与 DevOps平台:相似之处与关键差异
软件开发是一个复杂而动态的过程,涉及许多工具.技术和实践.为了更快.更好地交付软件,开发人员需要有效地协作,自动执行任务,并管理环境.然而,由于软件架构的日益复杂,工具和平台的多样性,以及对安全和合规 ...
- 华为Atlas 200I DK A2开箱!
摘要:Atlas 200I DK A2是Atlas 200DK之后的一款产品,从2022年一直酝酿至今,终于在2023年5月6日-7日昇腾AI开发者峰会2023正式发布. 本文分享自华为云社区< ...
- vscode 注释快捷键 一键注释和取消注释快捷键
// 注释:ctrl+/ /**/ 注释:alt+shift+a
- GPT大模型下,如何实现网络自主防御
GPT大模型下,如何实现网络自主防御 本期解读专家 李智华 华为安全AI算法专家 近年来,随着GPT大模型的出现,安全领域的攻防对抗变得更加激烈.RSAC2023人工智能安全议题重点探讨了人工 ...
- ChatGPT在线体验原理课-概览:ChatGPT 与自然语言处理
# 概览:ChatGPT 与自然语言处理 本文将介绍 ChatGPT 与自然语言处理的相关知识. ## ChatGPT 与图灵测试 图灵测试是人工智能领域的一个经典问题,它旨在检验计算机是否能够表现出 ...
- Python实现猜拳小游戏的多种方式
简介 猜拳小游戏是一个经典的小游戏项目,也是初学者学习编程的必要练手题目之一.在 Python 中,我们可以使用多种方式来实现一个简单的猜拳小游戏. 本文将依次介绍六种Python实现猜拳小游戏的方法 ...