国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

ELK安裝、部署、調(diào)試(五)filebeat的安裝與配置

2年前作者:ly4983分類:Toy博客閱讀(17)違法舉報

這篇具有很好參考價值的文章主要介紹了ELK安裝、部署、調(diào)試(五)filebeat的安裝與配置。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

1.介紹

logstash 也可以收集日志,但是數(shù)據(jù)量大時太消耗系統(tǒng)新能。而filebeat是輕量級的,占用系統(tǒng)資源極少。

Filebeat 由兩個主要組件組成:harvester 和 prospector。

采集器 harvester 的主要職責是讀取單個文件的內(nèi)容。讀取每個文件,并將內(nèi)容發(fā)送到 the output。 每個文件啟動一個 harvester,harvester 負責打開和關(guān)閉文件,這意味著在運行時文件描述符保持打開狀態(tài)。如果文件在讀取時被刪除或重命名,F(xiàn)ilebeat 將繼續(xù)讀取文件。

查找器 prospector 的主要職責是管理 harvester 并找到所有要讀取的文件來源。如果輸入類型為日志,則查找器將查找路徑匹配的所有文件,并為每個文件啟動一個 harvester。每個 prospector 都在自己的 Go 協(xié)程中運行。

ELK安裝、部署、調(diào)試(五)filebeat的安裝與配置,ELK,elk,filebeat

2.下載

下載地址:www.elastic.co/downloads/beats/filebeat

百度云elk

3.安裝

tar -zxvf filebeat-7.9.3-linux-x86_64.tar.gz -C /usr/local
cd /usr/local/
mv filebeat-7.9.3-linux-x86_64 filebeat
cd filebeat/
[root@node1 filebeat]# ls -l
fields.yml? ? ?filebeat? ? ??filebeat.reference.yml? ? ? ???filebeat.yml? ? ? ???kibana
LICENSE.txt? ? ? ??module? ? ? ???modules.d? ? ? NOTICE.txt? ? ? ???README.md

filebeat為應用程序
cd /usr/local/filebeat/filebeat.yml 是配置文件
modules.d的目錄下放置的日志收集模板,實現(xiàn)了模塊化的日志收集

[root@node1 modules.d]# ls
activemq.yml.disabled ? ?coredns.yml.disabled ? ? ? ?ibmmq.yml.disabled ? ? microsoft.yml.disabled?
okta.yml.disabled ? ? ? ?squid.yml.disabled? ? apache.yml.disabled ? ? ?crowdstrike.yml.disabled ? ?icinga.yml.disabled ? ?misp.yml.disabled? ? ? ?osquery.yml.disabled ? ? suricata.yml.disabled
auditd.yml.disabled ? ? ?cylance.yml.disabled ? ? ? ?iis.yml.disabled ? ? ? mongodb.yml.disabled ? ?
panw.yml.disabled ? ? ? ?system.yml.disabled? ?aws.yml.disabled ? ? ? ? elasticsearch.yml.disabled ?imperva.yml.disabled ? mssql.yml.disabled ? ? ?postgresql.yml.disabled ?tomcat.yml.disabled
azure.yml.disabled ? ? ? envoyproxy.yml.disabled ? ? infoblox.yml.disabled ?mysql.yml.disabled ? ? ?
rabbitmq.yml.disabled ? ?traefik.yml.disabled? ?barracuda.yml.disabled ? f5.yml.disabled ? ? ? ? ? ? iptables.yml.disabled ?nats.yml.disabled? ? ? ? radware.yml.disabled ? ? zeek.yml.disabled
bluecoat.yml.disabled ? ?fortinet.yml.disabled ? ? ? juniper.yml.disabled ? netflow.yml.disabled ? ?
redis.yml.disabled ? ? ? zscaler.yml.disabled? ?cef.yml.disabled ? ? ? ? googlecloud.yml.disabled ? ?kafka.yml.disabled ? ? netscout.yml.disabled? ? ?santa.yml.disabled
checkpoint.yml.disabled ?gsuite.yml.disabled ? ? ? ? kibana.yml.disabled ? ?nginx.yml.disabled ? ? ?
sonicwall.yml.disabled? cisco.yml.disabled ? ? ? haproxy.yml.disabled ? ? ? ?logstash.yml.disabled ?o365.yml.disabled ? ? ?
sophos.yml.disabled

4.配置

配置filebeat.yml
注意 以下使用“-” 為首字母的,要求前面不能使用tab做縮進,

filebeat.inputs: ?                    #定義日志輸入的開始
- type: log ? ? ? ?

#注意格式,收集日志類型為日志,還可以是redis,UDP,TCP,docker,syslog,stdin等
? enabled: true? ? ? ? ? ? ? ? ? ? ? ?#使用手動模式,如果false將使用modules.d目錄下的模塊方式
? paths:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #要收集的日志的路徑
? ?- /var/log/messages
? ?- /var/log/secure
?#如果日志較多,可以模糊的填寫,如 - /data/nginx/logs/ngix_*.log
?# - /var/log/*.log 的配置會獲取/var/log下所有子目錄中以.log結(jié)尾的日志,而不會查找/var/log/目錄下的.log文件。
? fields:
? ?log_topic:osmessages? ? ? ?       #osmessages是自己定義主體的名字
name: "10.10.10.56"? ? ? ? ? ? ?     #指定名字,不配置時默認使用主機名
output.kafka:
? eanbled: true
? hosts: ["10.10.10.71:9092","10.10.10.72:9092","10.10.10.73:9092"] ? #kafka集群的地址和端口號
? version: 2.0.1? ? ? ? ? ? ? ? ? ? ?#kafka的版本號
? topic: '%{[fields][log_topic]}' ? ?#也可以fields.log_topic的寫法
? partition.round_robin:? ? ? ? ? ? ?#采用輪詢的方式
?   reachable_only: true
? worker: 2
? required_acks: 1? ? ? ? ? ? ? ? ? ? #有1,2,3等可寫,1最大限度保證
? compression: gzip
? max_message_bytes: 10000000
 logging.level: debug? ? ? ? ? ? ? ?  #info,warming,error等可寫,定義 ?日志級別

配置里還包含一些過濾條件,如行排除,行包含,文件排除等
exclude_lines: ['^DBG']
include_lines: ['^ERR', '^WARN']
exclude_files: ['.gz$']

以上配置使用了kafka作為filebeat的輸出,

配置

# ============================== Filebeat modules ==============================

filebeat.config.modules:
? # Glob pattern for configuration loading
? path: ${path.config}/modules.d/*.yml

? # Set to true to enable config reloading
? reload.enabled: false

? # Period on which files under path should be checked for changes
? #reload.period: 10s

# ======================= Elasticsearch template setting =======================

文檔中還有一些模塊的配置,如上
由于我們在
filebeat.inputs:?
- type: log ? ? ? ?
? enabled: true ? ? ?這里我們設(shè)置為了true,使用了手動配置的方式,屏蔽了快速模塊,這里配置為false時,才使用模塊配
置


使用./filebeat test config 或者./filebeat -c filebeat.yml -configtest 對配置文件進行格式測試。檢查啟動filebeat

more filebeat.yml

nohup /usr/local/filebeat/filebeat -e -c /usr/local/filebeat/filebeat.yml &

測試
tail -f nohup.out 查看收集的日志


? "@timestamp": "2023-08-28T07:56:14.266Z", ?時間戳
? "@metadata": {
? ? "beat": "filebeat", ? ? ? ? ? ? ? ? ? ? ??
? ? "type": "_doc",
? ? "version": "7.9.3"
? },
? "log": { ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 類型
? ? "file": {
? ? ? "path": "/var/log/secure"
? ? },
? ? "offset": 508431 ? ? ? ? ? ? ? ? ? ? ? ? 位置,偏移量
? },
? "message": "Aug 28 15:56:12 node1 sshd[31513]: pam_limits(sshd:session): invalid line 'End of file' -
skipped",
? "fields": { ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 自定義的域
? ? "log_topic": "osmessages"
? },
? "input": { ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?類型
? ? "type": "log"
? },
? "agent": {
? ? "id": "a5a5cdf5-42f5-40a8-8c4c-068b76a2b22c",
? ? "name": "10.10.10.56",
? ? "type": "filebeat",
? ? "version": "7.9.3",
? ? "hostname": "node1",
? ? "ephemeral_id": "826d8757-65f0-4838-b915-409eba0cd6bf"
? },
? "ecs": {
? ? "version": "1.5.0"
? },
? "host": {
? ? "name": "10.10.10.56"
? }
}

我們看到,很多信息都是filebeat附帶的一些信息。?? ?我們可以通過配置參數(shù)的過濾掉一些信息。

# ================================= Processors =================================
processors:
# ?- add_host_metadata:
# ? ? ?when.not.contains.tags: forwarded
# ?- add_cloud_metadata: ~
# ?- add_docker_metadata: ~
# ?- add_kubernetes_metadata: ~

? - drop_fields:
? ? ? fields: ["host","input","offset","ecs","log","agent.id"]

drop_fields:所定義的就是不需要在日志中顯示的filebeat自帶的一些信息。
上面的配置信息agent.id ,因為agent下有很多個屬性,僅過濾掉id這個屬性

?"agent": {
? ? "id": "a5a5cdf5-42f5-40a8-8c4c-068b76a2b22c",
? ? "name": "10.10.10.56",
? ? "type": "filebeat",
? ? "version": "7.9.3",
? ? "hostname": "node1",
? ? "ephemeral_id":?

這樣配置后,將在日志文件中過濾掉 以上屬性的內(nèi)容,僅顯示留下的內(nèi)容。


通過tail -f nohup.out查看本機產(chǎn)生的日志
通過在kafka機器上用過消費來開傳到kafka上的日志
cd /usr/local/kafka/bin
./kafka-console-consumer.sh ?--bootstrap-server 10.10.10.71:9092,10.10.10.72:9092,10.10.10.73:9092 --topic
osmessages
?文章來源地址http://www.zghlxwxcb.cn/news/detail-688227.html

到了這里,關(guān)于ELK安裝、部署、調(diào)試(五)filebeat的安裝與配置的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務器費用

相關(guān)文章

  • ELK之Filebeat安裝配置及日志抓取

    ELK之Filebeat安裝配置及日志抓取

    輕量型日志采集器 無論您是從安全設(shè)備、云、容器、主機還是 OT 進行數(shù)據(jù)收集,F(xiàn)ilebeat 都將為您提供一種輕量型方法,用于轉(zhuǎn)發(fā)和匯總?cè)罩九c文件,讓簡單的事情不再繁雜。 Filebeat 隨附可觀測性和安全數(shù)據(jù)源模塊,這些模塊簡化了常見格式的日志的收集、解析和可視化過程

    2024年02月02日
    瀏覽(24)
  • 私有部署ELK,搭建自己的日志中心(二)-- filebeat的介紹與安裝

    私有部署ELK,搭建自己的日志中心(二)-- filebeat的介紹與安裝

    在搭建ELK系統(tǒng)之前,你有必要去了解下,為何大家在agent端普遍青睞filebeat,而把logstash放置于更加靠后端。 輕量級的filebeat,作為agent角色,是安裝在每臺虛擬機上。 filebeat的學習分為兩大部分: 安裝(二進制或docker) 配置文件filebeat.yml 本文主要介紹docker安裝方式,對于其

    2024年02月03日
    瀏覽(20)
  • ELK (一)部署ELK+Filebeat日志收集分析系統(tǒng)

    ELK (一)部署ELK+Filebeat日志收集分析系統(tǒng)

    說明:此安裝流程只適用于8.0.0以下的版本 1.1 下載ElasticSearch的wget指令: 1.2 解壓安裝包到指定目錄 指定解壓縮到 /usr/local 目錄下 1.3 修改配置文件 (1)elasticsearch.yml 分別創(chuàng)建 path.data、path.logs 對應的 data、logs文件夾。 詳細配置: (2)limits.conf 末尾追加以下內(nèi)容: (3)s

    2024年02月08日
    瀏覽(26)
  • ELK安裝、部署、調(diào)試 (二) ES的安裝部署

    ELK安裝、部署、調(diào)試 (二) ES的安裝部署

    ElasticSearch是一個基于Lucene的搜索服務器。它提供了一個分布式多用戶能力的全文搜索引擎,基于RESTful web接口操作ES,也可以利用Java API。Elasticsearch是用Java開發(fā)的,并作為Apache許可條款下的開放源碼發(fā)布,是當前流行的企業(yè)級搜索引擎。設(shè)計用于云計算中,能夠達到實時搜索

    2024年02月10日
    瀏覽(42)
  • Filebeat+ELK 部署

    Filebeat+ELK 部署

    Node1節(jié)點(2C/4G):node1/192.168.8.10? ? ? ? ? ? ? ? ? ?Elasticsearch ?Kibana Node2節(jié)點(2C/4G):node2/192.168.8.11? ? ? ? ? ? ? ? ? ? Elasticsearch Apache節(jié)點:apache/192.168.8.13? ? ? ? ? ? ? ? ? ? ? Logstash ?Apache Filebeat節(jié)點:filebeat/192.168.8.20? ? ? ? ? ? ? ? ? ? Filebeat ? //在 Node1 節(jié)

    2024年02月14日
    瀏覽(13)
  • 【ELK企業(yè)級日志分析系統(tǒng)】部署Filebeat+ELK詳解

    【ELK企業(yè)級日志分析系統(tǒng)】部署Filebeat+ELK詳解

    接上文安裝與部署ELK詳解 (1)在Filebeat節(jié)點上,安裝Apache服務 (2)修改Apache服務的配置文件 (3)開啟Apache服務 (4)瀏覽器訪問,驗證Apache服務 (1) 安裝Filebeat (2)設(shè)置filebeat的主配置文件 (3)啟動filebeat (4)在Logstash組件所在節(jié)點上,新建一個Logstash配置文件(CentOS 7-3) (

    2024年02月16日
    瀏覽(29)
  • 【ELFK】Filebeat+ELK 部署

    【ELFK】Filebeat+ELK 部署

    Filebeat+ELK 部署 在 Filebeat 節(jié)點上操作 環(huán)境準備 1)安裝 Filebeat #上傳軟件包 filebeat-6.2.4-linux-x86_64.tar.gz 到/opt目錄 解壓 rpm 默認會安裝到/etc/ 目錄下;tar安裝的filebeat 文件要移動到/user/local/ 下? 2)設(shè)置 filebeat 的主配置文件 先備份再修改 修改filebeat.yml 配置文件 1 1 1 1 1 啟動

    2024年04月15日
    瀏覽(20)
  • ELK安裝、部署、調(diào)試(一)設(shè)計規(guī)劃及準備

    ELK安裝、部署、調(diào)試(一)設(shè)計規(guī)劃及準備

    一、整體規(guī)劃如圖: 【filebeat】 需要收集日志的服務器,安裝filebeat軟件,用于收集日志。logstash也可以收集日志,但是占用的系統(tǒng)資源過大,所以使用了filebeat來收集日志。 【kafka】 接收filebeat的日志,進行隊列及緩存,kafka使用集群的方式搭建,避免了filebeat直接向logstas

    2024年02月10日
    瀏覽(25)

  • ELK集群部署---LogStash,F(xiàn)ilebeat的部署

    1.? 環(huán)境規(guī)劃: 主機名 IP地址 角色 node1 192.168.56.111 ElasticSearch(master) Zookeeper Kafka node2 192.168.56.112 ElasticSearch(slave) Kibana Zookeeper Kafka node3 192.168.56.113 ElasticSearch(slave) Zookeeper Kafka node4 192.168.56.114 Logstash Filebeat

    2023年04月18日
    瀏覽(31)
  • ELK安裝、部署、調(diào)試(四)KAFKA消息隊列的安裝和部署

    ELK安裝、部署、調(diào)試(四)KAFKA消息隊列的安裝和部署

    Kafka是一種高吞吐量的分布式發(fā)布訂閱消息系統(tǒng),它可以處理消費者在網(wǎng)站中的所有動作流數(shù)據(jù)。 這種動作(網(wǎng)頁瀏覽,搜索和其他用戶的行動)是在現(xiàn)代網(wǎng)絡(luò)上的許多社會功能的一個關(guān)鍵因素。 這些數(shù)據(jù)通常是由于吞吐量的要求而通過處理日志和日志聚合來解決。 Kafka?

    2024年02月10日
    瀏覽(21)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包