起先,是出于了解我的网站逐步前行STEP的访问情况而做一个Nginx日志统计分析的功能,首选的就是ELK,但是,由于Logstash占用内存和CPU占有率都不是我的小服务器能承受的,转而将logstash换成filebeat,因为filebeat足够轻量级,我所需要的功能却都能满足:

  1. 收集日志发送到ES
  2. 按指定格式解析日志

我的个人博客逐步前行STEP

第1点是filebeat基本的功能,只要正确安装配置就能生效,在我的实践中,我不想要所有的日志都发送到ES,只要访问我的网站的请求,示例请求:

39.179.50.187 - - [05/Feb/2020:16:10:42 +0800] "GET /csdn_article-98609482 HTTP/1.1" 499 0 "http://www.hezehua.net/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"

这是标准的nginx日志格式,其中有一个我的网站逐步前行STEP域名http://www.hezehua.net,所以只要匹配这个域名即是我需要的日志,filebeat的include_lines配置可以满足我的需求,将该配置项设置如下:

include_lines: ["hezehua.net"]

即匹配了包含hezehua.net的行。

我的个人博客逐步前行STEP

要注意的是,第2点需求,只有Elasticsearch5.x才能实现,因为elasticsearch5.x开始引入了Ingest Node,使其具有预处理能力,即对存储在 Elasticsearch 里的数据在存储之前进行加工处理,之前的版本没有提供这一功能,在数据存储前做处理只能依赖于logstash,而官方将预处理功能集成到elasticsearch5.x这个功能就命名为Ingest,具有预处理功能的节点称为Ingest Node,要使用预处理功能,先要了解:Pipeline(管道)、Processors(处理器)。

1、pipeline
管道这个概念并不陌生,一般被命名于设计用来在拦截、处理、输出数据的功能,在这里也是一样,pipeline会用于处理通过它的所有数据,输出后就直接入elasticsearch。

2、processor
处理器是用于管道的,pipeline本身不具备处理能力,需要配置processor才能发挥特定的作用,常用的处理器有:

  • append 追加字段或者已有字段追加值
  • convert 转换字段类型
  • date 日期处理
  • foreach 遍历数组对数组元素使用处理器
  • grok 通过正则匹配将文本解析成指定格式
  • join 将数组转化成字符串
  • json 处理成json
  • kv 将k:v型数据解析成一个个字段
  • remove 删除字段
  • rename 重命名
  • set 设置或者新增
  • split 分割字符串
  • sort 数组元素排序
  • trim 消除两端空格
  • lowercase 转小写
  • uppercase 转大写

以上列举的处理器主要是数组、字符串的常用处理,加上字段增、减等,其中最重要的Grok处理器,这个处理器基本可以替代logstash处理日志格式的功能,语法和logstash一样。

要使用elasticsearch的预处理功能,首先需要在es中创建管道,指定的URL为:_ingest/pipelinePUT方式:

curl XPUT http://127.0.0.1:9200/_ingest/pipeline/pipeline-test{"description": "describe pipeline","processors": [{"grok": {"field": "message","patterns": ["%{IP:ip} - %{DATA:user} \\[%{HTTPDATE:date}\\] %{WORD:method} %{DATA:path} (?<http>HTTP/%{NUMBER}) %{NUMBER:code} %{NUMBER:length} %{DATA:referer} %{DATA:user_agent} %{DATA:x_forwarded_for}"]}}]
}

description字段是一个描述,processors定义了一组应用于该管道的处理器,这样就定义好了一个简单的pipeline了。

我的个人博客逐步前行STEP

将filebeat.yml中,output.elasticsearch下的配置项pipeline设置为上面新建的管道’pipeline-test’即可:

output.elasticsearch:# Array of hosts to connect to.hosts: ["localhost:9200"]pipeline: "pipeline-test"

最后,删除registry文件,和filebeat之前生成的索引,再启动filebeat,就可以在es中看到解析成指定字段的日志文档了:

{_index: "filebeat-2020.02.04",_type: "doc",_id: "AXAQe35OpxWsiKaUFgtz",_score: 1,_source: {date: "04/Feb/2020:21:53:54 +0800",referer: "http://www.hezehua.net/",code: "200",offset: 437,method: "GET",ip: "39.179.50.187",input_type: "log",length: "169909",source: "/usr/logs/blog.access.log",message: "39.179.50.187 - - [04/Feb/2020:21:53:54 +0800] "GET /favicon.ico HTTP/1.1" 200 169909 "http://www.hezehua.net/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"",type: "log",path: "/favicon.ico",@timestamp: "2020-02-04T13:54:48.214Z",beat: {hostname: "novalocal",name: "novalocal",version: "5.5.3"},http: "HTTP/1.1",user-agent: "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"}
},

我的个人博客逐步前行STEP

filebeat 解析日志 并发送到Elasticsearch相关推荐

  1. 使用filbeat从kafka中消费json格式日志并发送到ElasticSearch

    环境 filbeat 7.10 kafka 2.1 elasticsearch 7.4.2 windows 10 需求描述 Java程序生产Json格式的日志发送到kafka中,再由filebeat从 ...

  2. Nginx容器日志收集方案fluentd+elasticsearch+kilbana

    容器技术在发展到今天已经是相当的成熟,但容器不同于虚拟机,我们在使用容器的同时也有很多相关的技术问题需要解决,比如:容器性能监控,数据持久化,日志监控与分析等.我们不能像平时使用虚拟机一样来管理容器, ...

  3. FileBeat + Pipeline 解析日志 保存至ElasticSearch(实战)

    文章目录 FileBeat + Pipeline 解析日志 保存至ElasticSearch(实战) 下载地址 目的 日志数据 模拟Pipeline 创建pipeline 查看Pipeline是否创建 ...

  4. 写给大忙人的ELK最新版6.2.4学习笔记-Logstash和Filebeat解析(java异常堆栈下多行日志配置支持)...

    接前一篇CentOS 7下最新版(6.2.4)ELK+Filebeat+Log4j日志集成环境搭建完整指南,继续对ELK. logstash官方最新文档https://www.elastic.co/g ...

  5. centos7安装Filebeat采集日志文件存到Elasticsearch

    概述 Filebeat是Beats家族的成员之一,是个轻量级的日志采集工具,通过收集日志信息,可以转发到 Elasticsearch 或者 Logstash进行索引存储. 工作原理 当启动Filebe ...

  6. 使用Filebeat采集日志结合logstash过滤出特定格式的日志至Elasticsearch

    使用Filebeat采集日志结合logstash过滤出特定格式的日志 文章目录 使用Filebeat采集日志结合logstash过滤出特定格式的日志 ELK搭建 什么是Filebeat 什么是Logs ...

  7. 写给大忙人的ELK最新版6.2.4学习笔记-Logstash和Filebeat解析(java异常堆栈下多行日志配置支持)

    写给大忙人的ELK最新版6.2.4学习笔记-Logstash和Filebeat解析(java异常堆栈下多行日志配置支持) 参考文章: (1)写给大忙人的ELK最新版6.2.4学习笔记-Logstash ...

  8. 通过Elasticsearch 8、Kibana、Filebeat实现日志的监控及统计

    下载地址:https://www.elastic.co/cn/downloads/elasticsearch 当前版本:8.3.3 一.环境准备 创建一个文件夹mkdir /elk,用于作为安装目录, ...

  9. Beats: 使用 Filebeat 进行日志结构化 - Python

    结构化日志背后的想法很简单:让应用程序直接编写 JSON 对象,而不是让应用程序将需要通过正则表达式解析的日志写入到你索引到 Elasticsearch 的 JSON 对象中. 举例来说,假设你正在编 ...

最新文章

  1. 无敌了,不需要操作系统就能运行 Python 了!
  2. 【安装】Linux系统(X64)安装Oracle 11g
  3. JavaScript实现Floyd-Warshall算法(附完整源码)
  4. HDU 2574 HDOJ 2574 Hdu Girls' Day ACM 2574 IN HDU
  5. volatile关键字的作用
  6. 插入法排序c语言程序,插入排序算法及C语言实现
  7. 机器学习原理与算法(六) 支持向量机
  8. Windows Phone 资源管理与换肤思考
  9. Python 中拼音库 PyPinyin 的用法,没错见名知意它就是用来翻译汉字的
  10. SpringCloud工作笔记036---oauth2微服务Establishing SSL connection without server's identity verification
  11. android 加载so 与内存的关系,Android动态调试so之dump内存数据
  12. Excel中CONCATENATE函数生成SQL insert 语句
  13. Beyond Compare设置文本文件和Delphi源码默认的打开格式为ANSI
  14. 教师资格证高中计算机资料,教师资格考试高中信息技术试题
  15. java linux 消息队列_我的第一个Linux程序----利用消息队列来实现IPC
  16. 人工智能“乐高模式”,人工智能进入变革时代
  17. python发微信红包_微信公众号开发小记——5.python微信红包
  18. 3 有限马尔可夫决策过程(Finite Markov Decision Processes)
  19. Android--TabLayout+ViewPager+Fragment实现切页展示
  20. 小虎电商浏览器:拼多多打单如何批量重打快递单

热门文章

  1. elementUI 分页组件的使用 - 踩坑篇
  2. html 实时预览在线,用HTML+CSS做一个实时预览的markdown编辑器
  3. XyPlayer 智能解析 X4 影视解析源码
  4. 求职简历介绍html5模板
  5. vue amp; nuxt 博客网站
  6. 最近很火的夏日便捷小空调源码(小程序版)
  7. [要记的]excel中把字母变为数字
  8. 通过DOS命令nslookup查域名DNS服务器
  9. 实战 Comet 应用程序开发
  10. Node.js OS 模块