标签:ELK filebeat index setup 索引 template 日志
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了Filebeat 、Elasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。
这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。
下面直接上重点!
Filebeat使用rpm包安装,安装后的配置目录为/etc/filebeat/,这里我们需要为filebeat服务的首次启动创建配置信息。下面两处标红的配置,是网上铺天盖地使用的配置,但是实际测试发现,加上之后,在Kibana里面无法展示自定义的索引,但是并不影响索引模板的展示。
# vi /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: filestream
enabled: false
paths:
- /var/log/*.log- type: log
enable: true
paths:
- /app/tomcat/logs/access.*.log
# json.keys_under_root: true
# json.overwrite_keys: true
fields:
index: hawebfilebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: falsesetup.ilm.enabled: false
setup.template.name: "tomcat-haweb-log"
setup.template.pattern: "tomcat-*"
setup.template.overwrite: true
setup.template.enabled: truesetup.template.settings:
index.number_of_shards: 1setup.kibana:
host: "192.168.223.10:5601"output.elasticsearch:
hosts: ["192.168.223.10:9200"]
index: "tomcat-%{[fields.index]}-*"
indices:
- index: "tomcat-haweb-%{+yyyy-MM-dd}"
when.equals:
fields:
index: "haweb"
username: "elastic"
password: "3d8h#5v0M"processors:
- add_host_metadata:
when.not.contains.tags: forwarded
- add_cloud_metadata: ~
- add_docker_metadata: ~
- add_kubernetes_metadata: ~
配置好以后,执行下面的命令
# filebeat setup
# systemctl start filebeat.service然后,在kibana的管理页面中就可以看到我们创建的索引和索引模板了。
首页 - 管理 - Stack Management - 数据 - 索引管理
创建索引模式
根据自定义的索引,查看对应的服务日志信息
标签:ELK,filebeat,index,setup,索引,template,日志 来源: https://blog.csdn.net/cnskylee/article/details/122135873
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。