logstash收集服务日志文件
一、logstash收集appache日志文件,转发到elasticsearch
1、建立在elk1、2、3搭建好elk架构基础之上
192.168.168.61 es1 2/4g
192.168.168.62 es2 2/4g
192.168.168.63 logstash kibana nginx/http 4/8g
三台开启服务
systemctl stop firewalld
setenforce 0
elk为主收集日志服务器
yum源安装httpd服务,logstash实现日志收集,elasticsearch实现存储,kibana实现可视化。
yum -y install httpd
cd /etc/logstash/conf.d
vim http.conf
input {
file{
path => "/etc/httpd/logs/access_log"
type => "access"
start_position => "beginning"
}
file{
path => "/etc/httpd/logs/error_log"
type => "error"
start_position => "beginning"
}
}
output {
if [type] == "access" {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "appache_access-%{+YYYY.MM.dd}"
}
}
if [type] == "error" {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "appache_error-%{+YYYY.MM.dd}"
}
}
}
logstash -f http.conf --path.data /opt/test3 &
API接口:软件内部代码之间通信的接口 代码的连接点。
端口是对外提供访问程序的内容接口。
进入谷歌浏览器
访问192.168.168.63访问httpd
刷新几次后,到kibana查看日志
----------------------------------------------------------------------------------以上是收集appache日志文件---------------------------------------------------------------
二、logstash收集nginx日志文件,转发到elasticsearch
--------编译安装的nginx主机部署filebeat收集日志文件发送给logstash,logstash转让es1和es2接收,再让kibana可视化阅读----------------
2.1、filebeat轻量级日志收集服务
1、可以在本机收集日志
2、也可以远程收集日志
3、轻量级的日志收集系统,可以在非java环境运行
logstash是在jvm环境下,资源消耗很大,启动一个logstash要消耗500M左右的内存。
filebeat只消耗10M左右的内存。
[root@nginx1 opt]# mv filebeat-6.7.2-linux-x86_64 /usr/local/filebeat
配置文件vim /usr/local/filebbeat/filebeat.yml ##配置文件因为编译安装移动软件
[root@nginx1 opt]# systemctl stop firewalld
[root@nginx1 opt]# setenforce 0
[root@nginx1 opt]# tar -xf filebeat-6.7.2-linux-x86_64.tar.gz
[root@nginx1 opt]# mv filebeat-6.7.2-linux-x86_64 /usr/local/filebeat
[root@nginx1 opt]# cd /usr/local/filebeat/
[root@nginx1 filebeat]# ls
fields.yml filebeat.yml module README.md
filebeat kibana modules.d
filebeat.reference.yml LICENSE.txt NOTICE.txt
[root@nginx1 filebeat]# vim filebeat.yml
21 - type: log
22 enabled: true
23 paths:
24 - /usr/local/nginx/logs/access.log
25 - /usr/local/nginx/logs/error.log
##开启日志收集,以及确定日志文本路径,指定标签和发送到目标主机的logstash
26 tags: ["nginx"]
27 fields:
28 service_name: 192.168.168.31_nginx
##定义日志的名称
29 log_type: nginx
30 from: 192.168.168.31
151 #output.elasticsearch: ##注释
152 # Array of hosts to connect to.
153 # hosts: ["localhost:9200"] ##注释
164 output.logstash:
165 # The Logstash hosts
166 hosts: ["192.168.168.63:5045"] ##日志发送到此日志收集服务器logstash
5044 logstash默认的端口
端口范围是计算机网络通信中的一个重要概念,用于标识网络通信中的不同应用程序或服务。端口号通过一个16位的数字来表示,因此其范围是从0到65535。这些端口号可以根据其用途和分配方式进一步细分为不同的类别,具体如下:
### 端口号分类
1. 系统或保留端口(Well-Known Ports)
:
- 范围:从0到1023。
- 用途:这些端口号通常分配给系统级或者熟知的服务和应用。例如,HTTP服务通常运行在端口80上,而HTTPS则是443。普通用户通常不拥有权限来绑定这些端口。
2. 注册端口(Registered Ports)
:
- 范围:从1024到49151。
- 用途:这些端口号没有固定的用途,但对于一些无法使用系统端口的服务来说,这些端口号是预留的。有些软件企业会为自己的服务预留一些端口号。
3. 动态和/或私有端口(Dynamic or Private Ports)
:
- 范围:从49152到65535。
- 用途:这些端口不被ICANN或IANA管理,可供任意使用,常用于客户端软件临时通讯,比如临时的端点。
### 端口号的特殊用途
- **端口0**:通常不用于常规网络通信,但在某些特殊情况下用作服务请求的占位标识。
- **端口号80和443**:分别是HTTP和HTTPS通信的标准端口。
- **端口号25**:通常用于SMTP,即简单邮件传输协议,用于电子邮件发送。
- **端口号53**:通常用于DNS服务,即域名解析服务。
### 端口号的使用注意事项
- 尽管每个端口号通常与某些特定的服务相关联,但任何端口都可以被任何服务或应用程序使用,前提是操作系统和网络策略允许。
- 管理员可以根据安全要求或配置更改端口号的分配,但应确保相关服务或应用程序能够正确识别和使用新的端口号。
### 总结
端口范围是从0到65535,根据端口号的分配和使用方式,可以将其分为系统或保留端口、注册端口和动态或私有端口。这些端口号在计算机网络通信中起着至关重要的作用,用于标识不同的服务和应用程序。了解端口号的分类和用途有助于更好地管理和维护网络通信环境。
2.2、logstash设置文件识别标签,接收文件
logstash收集nginx的日志,接收filebeat发送过来的日志文件,识别指定的标签,进行接收。
1、建立在elk1、2、3搭建好elk架构基础之上
192.168.168.61 es1 2/4g
192.168.168.62 es2 2/4g
192.168.168.63 logstash kibana nginx/http 4/8g
[root@elk3 ~]# cd /etc/logstash/conf.d/
[root@elk3 conf.d]# vim nginx_31.conf
input {
beats { port => "5045"}
}
output {
if "nginx" in [tags] {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
}
[root@nginx1 filebeat]# pwd
/usr/local/filebeat
nohup ./filebeat -e -c filebeat.yml > filebeat.out & ##先启动nginx的filebeat轻量级收集日志服务
##解释:
nohup ./filebeat -e -c filebeat.yml > filebeat.out &
-e:输出到标准输出
-c:指定配置文件
nohup:在系统的后台运行,不会因为终端的额关闭而停止,关闭xhell也不会关闭
可以把运行的日志保存到指定文件
[root@elk3 conf.d]# logstash -f nginx_31.conf --path.data /opt/test3 &
浏览器打开访问192.168.168.31(也就是nginx,filebeat服务器)
ps -aux | grep logstash ##查看logstash开启的后台进程
三、filebeat实现收集转发httpd、nginx、msqld的日志到logstash,logstash发送到es存储,kibana实现可视化读
1、建立在elk1、2、3搭建好elk架构基础之上
192.168.168.61 es1 2/4g
192.168.168.62 es2 2/4g
192.168.168.63 logstash kibana nginx/http 4/8g
192.168.168.11 编译安装mysql 编译安装nginx yum源安装httpd 编译拿安装filebeat
远程收集发送到logstash主机
192.168.168.11_mysqld-* ##mysql的日志需要在/etc/my.cnf下配置打开
192.168.168.11_nginx-*
192.168.168.11_httpd-*
-------------------以下操作均对nginx+mysql+http进行操作--------------------
vim /etc/my.cnf
max_allowed_packet=16M
general_log=ON
general_log_file=/usr/local/mysql/data/mysql_general.log ##数据库日志存储位置
server-id = 1
systemctl restart mysqld ##改完配置文件重启服务
yum -y install httpd ##yum源安装httpd
nginx端口和httpd服务端口一致
vim /usr/local/nginx/conf/nginx.conf ##编译安装nginx的配置文件目录
vim /etc/nginx/nginx.conf ##yum源安装的nginx的配置文件目录
server {
listen 81;##避免端口冲突,设置监听端口为81;
systemctl restart nginx.service ##改完配置文件重启服务
systemctl restart httpd ##重启服务
测试服务开启状态
curl 192.168.168.11 ##查看appache服务开启状态
或者浏览器访问
curl 192.168.168.11:81 ##查看nginx服务开启状态
编译安装filebeat,并配置文件
[root@mysql1 opt]# systemctl stop firewalld
[root@mysql1 opt]# setenforce 0
[root@mysql1 opt]# tar -xf filebeat-6.7.2-linux-x86_64.tar.gz
[root@mysql1 opt]# mv filebeat-6.7.2-linux-x86_64 /usr/local/filebeat
[root@mysql1 opt]# cd /usr/local/filebeat/
[root@mysql1 filebeat]# ls
fields.yml filebeat.yml module README.md
filebeat kibana modules.d
filebeat.reference.yml LICENSE.txt NOTICE.txt
[root@mysql1 filebeat]# vim /usr/local/filebeat/filebeat.yml
21 - type: log
22 enabled: true
23 paths:
24 - /var/log/httpd/access_log
25 - /var/log/httpd/error_log
26 tags: ["httpd"]
27 fields:
28 service_name: 192.168.168.11_http
29 log_type: httpd
30 from: 192.168.168.11
31
32 - type: log
33 enabled: true
34 paths:
35 - /usr/local/nginx/logs/access.log
36 - /usr/local/nginx/logs/error.log
37 tags: ["nginx"]
38 fields:
39 service_name: 192.168.168.11_nginx
40 log_type: nginx
41 from: 192.168.168.11
42
43 - type: log
44 enabled: true
45 paths:
46 - /usr/local/mysql/data/mysql_general.log
47 tags: ["mysqld"]
48 fields:
49 service_name: 192.168.168.11_mysqld
50 log_type: mysqld
51 from: 192.168.168.11
171 #output.elasticsearch:
172 # Array of hosts to connect to.
173 # hosts: ["localhost:9200"]
184 output.logstash:
185 # The Logstash hosts
186 hosts: ["192.168.168.63:5048"]
--------------------以上配置好filebeat的日志收集转发到logstash-----------------------
-----------------------------下面配置logstash的日志接收文件--------------------------
[root@elk3 ~]# cd /etc/logstash/conf.d/
[root@elk3 conf.d]# ls
http.conf nginx_31.conf nmh_11.conf system.conf
[root@elk3 conf.d]# vim nginx_31.conf
input {
beats { port => "5048"}
}
output {
if "nginx" in [tags] {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
if "mysqld" in [tags] {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
if "httpd" in [tags] {
elasticsearch {
hosts => ["192.168.168.61:9200","192.168.168.62:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
}
}
-------------------------以上配置文件已完成,下面开始启动,需要先启动filebeat服务,转发到logstash,再启动logstash--------------------------------
在filebeat主机上后台启动filebeat文件
[root@mysql1 ~]# cd /usr/local/filebeat/
[root@mysql1 filebeat]# ls
data filebeat.out kibana modules.d
fields.yml filebeat.reference.yml LICENSE.txt NOTICE.txt
filebeat filebeat.yml module README.md
[root@mysql1 filebeat]# nohup ./filebeat -e -c filebeat.yml > filebeat.out &
在logstash主机上启动,实现接收filebeat的日志文件
[root@elk3 conf.d]# pwd
/etc/logstash/conf.d
[root@elk3 conf.d]# logstash -f nmh_11.conf --path.data /opt/test3 &
-----------------------------------以上服务全部启动完成----------------------------
测试:
浏览器打开访问192.168.168.31(也就是mysqld,httpd,nginx,filebeat服务器,此时http服务设置的是80端口,nginx设置81端口,mysqld的端口为3306)
logstash -f nginx_11.conf --path.data /opt/test3 &
