ELFK的部署

目录

一、ELFK(Filebeat+ELK)

[1. Filebeat的作用](#1. Filebeat的作用)

[2. ELFK工作流程](#2. ELFK工作流程)

[3. ELFK的部署](#3. ELFK的部署)

[3.1 服务器配置](#3.1 服务器配置)

[3.2 服务器环境](#3.2 服务器环境)

安装filebeat

[​编辑 修改filebeat主配置文件](#编辑 修改filebeat主配置文件)

​编辑​编辑​编辑在logstash组件所在节点(apache节点)上新建一个logstash配置文件

浏览器验证

浏览器访问http://192.168.209.60看是否生成filebeat索引

​编辑

​编辑

二、总结


一、ELFK(Filebeat+ELK)

1. Filebeat的作用

由于logstash会大量占用系统的内存资源,一般我们会使用filebeat替换logstash收集日志的功能,组成ELFK架构。 或用fluentd替代logstash组成EFK(elasticsearch/fluentd/kibana),由于fluentd是由Go语言开发的,一般在K8S环境中使用较多。

2. ELFK工作流程

(1)filebeat将日志收集后交由logstash处理

(2)logstash进行过滤、格式化等操作,满足过滤条件的数据将发送给ES

(3)ES对数据进行分片存储,并提供索引功能

(4)kibana对数据进行图形化的web展示,并提供索引接口

3. ELFK的部署

3.1 服务器配置
服务器 主机名 ip地址 主要软件部署
node1节点 node1 192.168.209.60 ElasticSearch、Kibana
node2节点 node2 192.168.209.61 ElasticSearch
apache节点 apache 192.168.209.62 Logstash、Apache
filebeat节点 filebeat 192.168.209.63 Filebeat

在ELK的基础上,增加一台filebeat服务器,因此只需再前述ELK部署的前提下进一步操作。

3.2 服务器环境

filebeat节点

复制代码
[root@localhost ~]# hostnamectl set-hostname filebeat
[root@localhost ~]# bash
[root@filebeat ~]# systemctl stop firewalld
[root@filebeat ~]# systemctl disable firewalld
[root@filebeat ~]# setenforce 0
安装filebeat

filebeat节点

复制代码
[root@filebeat ~]# cd /opt
[root@filebeat opt]# rz -E
rz waiting to receive.
[root@filebeat opt]# ls
[root@filebeat opt]# rpm -ivh filebeat-6.6.1-x86_64.rpm 
修改filebeat主配置文件

filebeat节点

复制代码
[root@filebeat opt]# cd /etc/filebeat/
[root@filebeat filebeat]# cp filebeat.yml filebeat.yml.bak
[root@filebeat filebeat]# vim filebeat.yml
 
filebeat.prospectors:
##21行,指定log类型,从日志文件中读取消息
- type: log
##24行,开启日志收集功能,默认为false
  enabled: true
##28行,指定监控的日志文件
    - /var/log/*.log
##29行,添加收集/var/log/messages
    - /var/log/messages
##31行,添加以下内容,注意格式
  fields: 
    service_name: filebeat
    log_type: log
    service_id: 192.168.209.63
#-------------------------- Elasticsearch output ------------------------------
该区域内容全部注释
#----------------------------- Logstash output --------------------------------
##157行,取消注释
output.logstash:
##159行,取消注释,指定logstash的IP和端口号
  hosts: ["192.168.209.62:5044"]
 
[root@filebeat filebeat]# /usr/bin/filebeat -e -c filebeat.yml
#启动filebeat,-e记录到stderr并禁用syslog /文件输出,-c指定配置文件
在logstash组件所在节点(apache节点)上新建一个logstash配置文件
复制代码
[root@apache ~]# cd /etc/logstash/conf.d/
[root@apache conf.d]# vim logstash.conf
 
input {
    beats {
        port => "5044"
    }
}
output {
    elasticsearch {
        hosts => ["192.168.209.60:9200", "192.168.209.61:9200"]
        index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
    }
    stdout {
        codec => rubydebug
    }
}
 
[root@apache conf.d]# /usr/share/logstash/bin/logstash -f apache_log.conf 
浏览器验证
浏览器访问http://192.168.209.60看是否生成filebeat索引

浏览器访问http://192.168.209.60:5601登录kibana, 添加"filebeat-*"索引后在"Discover"中查看filebeat日志收集情况。

二、总结

这是一种更加完善和灵活的架构,适合处理复杂的日志数据

在这种模式下,filebeat (beats)负贵收日志文件,并将其发送到ogstash进行处理。logtash可以对日志数据进行更多的过滤、转换和增强的操作 ,并将其发送到Elasticsearch进行索引。kibana则可以用来查看和分析日志数据

相关推荐
2401_8979300618 小时前
使用Docker轻松部署Neo4j图数据库
数据库·docker·neo4j
summer_west_fish18 小时前
2023年系统分析师上半年论文试题分析
kubernetes
LeeZhao@19 小时前
【AI推理部署】Docker篇04—Docker自动构建镜像
人工智能·docker·容器
程思扬19 小时前
利用JSONCrack与cpolar提升数据可视化及跨团队协作效率
网络·人工智能·经验分享·docker·信息可视化·容器·架构
落日漫游20 小时前
dockercompose和k8s区别
docker·kubernetes
资源开发与学习21 小时前
kubernetes核心概念 Service
kubernetes
lllsure21 小时前
【Docker】存储卷
运维·docker·容器
有谁看见我的剑了?1 天前
k8s-容器探针和生命周期回调学习
学习·容器·kubernetes
纤瘦的鲸鱼1 天前
Docker 从入门到实践:容器化技术核心指南
java·docker·容器
邂逅星河浪漫1 天前
【Docker+Nginx+Ollama】前后端分离式项目部署(传统打包方式)
java·nginx·docker·部署