1、ELK安装

可以参考我上篇

2、filebeat安装

下载filebeat,可以到官网下载https://www.elastic.co/cn/downloads/beats/filebeat

解压后的目录如下

日志写入redis 日志写入elk_docker


下载后无需安装,不安装也可以直接使用。最好还是部署成winservice

在当前目录右键点击 PowerSHell 图标,选择『以管理员身份运行』,通过命令行 .\install-service-filebeat.ps1执行安装

可能需要额外授予执行权限。命令为:PowerShell.exe -ExecutionPolicy RemoteSigned -File .\install-service-filebeat.ps1

3、filebeat配置

配置有两种方式

3.1、直接写入ES中写

使用这种方式可以免去安装logstash了,因为filebeat本身可以直接向ES输出日志,但是有个缺点,没法对日志数据进行过滤及一些特殊处理。

filebeat配置如下
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - c:\logs\*   #扫描的日志目录
  fields:
    index: "mytestlog"
  multiline.pattern: '^DEBUG|ERROR|INFO|WARN|FATAL.*'
  multiline.negate: true
  multiline.match: after

#============================= Filebeat modules ===============================
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
#==================== Elasticsearch template setting ==========================
setup.template.settings:
  index.number_of_shards: 1
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
   hosts: ["192.168.22.188:9200"]
   indices:
    - index: "mytestlog-%{+YYYY-MM}"
      when.contains:
        fields:
          index: "mytestlog"
#================================ Processors =====================================
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

3.2、通过logstash再转入ES

通过filebeat输出到logstash可以对数据过滤及特殊处理。

filebeat配置如下
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - c:\logs\*  #扫描的日志目录
  tags: ["applog"] #tags在logstash中可以用来做判断
  fields:
    logtype: apploginfo #这样可以在es中添加这个字段
  multiline.pattern: '^[[:space:]]|^System.*|^---.*'
  multiline.negate: false
  multiline.match: after

#============================= Filebeat modules ===============================
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

#==================== Elasticsearch template setting ==========================
setup.template.settings:
  index.number_of_shards: 1
#----------------------------- Logstash output --------------------------------
output.logstash:
  hosts: ["192.168.22.188:5044"] #logstash的IP和端口

#================================ Processors =====================================
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

logstash配置

修改/home/elk/logstash/pipeline/pipeline/logstash.conf

input {
  beats {
    port => 5044 #注意要和filebeat的输出端口一致
  }
}
filter {
        grok {
                #过滤格式,从日志文件中提取特定的数据到ES的某个字段
                match => { "message" => "%{LOGLEVEL:level} - %{GREEDYDATA:message}" }
        }
}
output {
        #通过filebeat的tag来判断输出目标
        if "moonlog" in [tags] {
                elasticsearch {
                        hosts => [ "192.168.22.188:9200" ]
                        index => "applog-%{+YYYY.MM.dd}"
                 }
         }
        #同时输出日志到控制台
        stdout { codec => rubydebug }
}

配置说明,
filter 的match规则可以使用http://grokdebug.herokuapp.com/这个网址验证。
Logstash中过滤器Grok使用说明可以参照https://www.missshi.cn/api/view/blog/5ac6dea622890914df000001
比如要过滤的日志格式如下

2020-05-19 10:59:25.844  INFO 10724 [           main-1] o.s.j.e.a.AnnotationMBeanExporter        : Registering beans for JMX exposure on startup

这时配置的filter如下

filter {
	grok {
		match => { "message" => "%{TIMESTAMP_ISO8601:log_date}  %{LOGLEVEL:log_info} %{DATA:thread} %{NOTSPACE} %{SPACE} %{NOTSPACE} %{JAVACLASS:log_class} %{SPACE}: %{GREEDYDATA:log_message}" }
	}
}

最后,在C盘logs文件夹下创建日志文件,写入日志,打开kibana,可以在Kibana中看到日志,在kibana中创建index后即可对日志数据进行查询了。

参考链接:

https://www.jianshu.com/p/c801ec3a64e5https://www.jianshu.com/p/861091c71bcd