ELFK的部署

目录

一、ELFK(Filebeat+ELK)

[1. Filebeat的作用](#1. Filebeat的作用)

[2. ELFK工作流程](#2. ELFK工作流程)

[3. ELFK的部署](#3. ELFK的部署)

[3.1 服务器配置](#3.1 服务器配置)

[3.2 服务器环境](#3.2 服务器环境)

安装filebeat

[​编辑 修改filebeat主配置文件](#编辑 修改filebeat主配置文件)

​编辑​编辑​编辑在logstash组件所在节点(apache节点)上新建一个logstash配置文件

浏览器验证

浏览器访问http://192.168.209.60看是否生成filebeat索引

​编辑

​编辑

二、总结


一、ELFK(Filebeat+ELK)

1. Filebeat的作用

由于logstash会大量占用系统的内存资源,一般我们会使用filebeat替换logstash收集日志的功能,组成ELFK架构。 或用fluentd替代logstash组成EFK(elasticsearch/fluentd/kibana),由于fluentd是由Go语言开发的,一般在K8S环境中使用较多。

2. ELFK工作流程

(1)filebeat将日志收集后交由logstash处理

(2)logstash进行过滤、格式化等操作,满足过滤条件的数据将发送给ES

(3)ES对数据进行分片存储,并提供索引功能

(4)kibana对数据进行图形化的web展示,并提供索引接口

3. ELFK的部署

3.1 服务器配置
服务器 主机名 ip地址 主要软件部署
node1节点 node1 192.168.209.60 ElasticSearch、Kibana
node2节点 node2 192.168.209.61 ElasticSearch
apache节点 apache 192.168.209.62 Logstash、Apache
filebeat节点 filebeat 192.168.209.63 Filebeat

在ELK的基础上,增加一台filebeat服务器,因此只需再前述ELK部署的前提下进一步操作。

3.2 服务器环境

filebeat节点

复制代码
[root@localhost ~]# hostnamectl set-hostname filebeat
[root@localhost ~]# bash
[root@filebeat ~]# systemctl stop firewalld
[root@filebeat ~]# systemctl disable firewalld
[root@filebeat ~]# setenforce 0
安装filebeat

filebeat节点

复制代码
[root@filebeat ~]# cd /opt
[root@filebeat opt]# rz -E
rz waiting to receive.
[root@filebeat opt]# ls
[root@filebeat opt]# rpm -ivh filebeat-6.6.1-x86_64.rpm 
修改filebeat主配置文件

filebeat节点

复制代码
[root@filebeat opt]# cd /etc/filebeat/
[root@filebeat filebeat]# cp filebeat.yml filebeat.yml.bak
[root@filebeat filebeat]# vim filebeat.yml
 
filebeat.prospectors:
##21行,指定log类型,从日志文件中读取消息
- type: log
##24行,开启日志收集功能,默认为false
  enabled: true
##28行,指定监控的日志文件
    - /var/log/*.log
##29行,添加收集/var/log/messages
    - /var/log/messages
##31行,添加以下内容,注意格式
  fields: 
    service_name: filebeat
    log_type: log
    service_id: 192.168.209.63
#-------------------------- Elasticsearch output ------------------------------
该区域内容全部注释
#----------------------------- Logstash output --------------------------------
##157行,取消注释
output.logstash:
##159行,取消注释,指定logstash的IP和端口号
  hosts: ["192.168.209.62:5044"]
 
[root@filebeat filebeat]# /usr/bin/filebeat -e -c filebeat.yml
#启动filebeat,-e记录到stderr并禁用syslog /文件输出,-c指定配置文件
在logstash组件所在节点(apache节点)上新建一个logstash配置文件
复制代码
[root@apache ~]# cd /etc/logstash/conf.d/
[root@apache conf.d]# vim logstash.conf
 
input {
    beats {
        port => "5044"
    }
}
output {
    elasticsearch {
        hosts => ["192.168.209.60:9200", "192.168.209.61:9200"]
        index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
    }
    stdout {
        codec => rubydebug
    }
}
 
[root@apache conf.d]# /usr/share/logstash/bin/logstash -f apache_log.conf 
浏览器验证
浏览器访问http://192.168.209.60看是否生成filebeat索引

浏览器访问http://192.168.209.60:5601登录kibana, 添加"filebeat-*"索引后在"Discover"中查看filebeat日志收集情况。

二、总结

这是一种更加完善和灵活的架构,适合处理复杂的日志数据

在这种模式下,filebeat (beats)负贵收日志文件,并将其发送到ogstash进行处理。logtash可以对日志数据进行更多的过滤、转换和增强的操作 ,并将其发送到Elasticsearch进行索引。kibana则可以用来查看和分析日志数据

相关推荐
衍余未了3 小时前
k8s 内置的containerd配置阿里云个人镜像地址及认证
java·阿里云·kubernetes
九章云极AladdinEdu3 小时前
Kubernetes设备插件开发实战:实现GPU拓扑感知调度
人工智能·机器学习·云原生·容器·kubernetes·迁移学习·gpu算力
泡沫冰@3 小时前
K8S集群管理(4)
云原生·容器·kubernetes
蒋星熠3 小时前
深入 Kubernetes:从零到生产的工程实践与原理洞察
人工智能·spring boot·微服务·云原生·容器·架构·kubernetes
泡沫冰@4 小时前
K8S集群管理(2)
云原生·容器·kubernetes
敲上瘾4 小时前
Docker 存储卷(Volume)核心概念、类型与操作指南
linux·服务器·数据库·docker·容器·架构
IT利刃出鞘5 小时前
Docker--宿主机和容器相互拷贝文件
运维·docker·容器
Elastic 中国社区官方博客5 小时前
使用 cloud-native Elasticsearch 与 ECK 运行
大数据·数据库·elasticsearch·搜索引擎·kubernetes·k8s·全文检索
学Linux的语莫7 小时前
kubekey离线搭建k8s高版本>23安装,cri-dockerd通信
云原生·容器·kubernetes
Ribou15 小时前
Ubuntu 24.04.2安装k8s 1.33.4 配置cilium
linux·ubuntu·kubernetes