filebeat收集日志输出到logstash然后合并输出到同名文件(7.7.1)

文章来源原创   作者:临窗旋墨   发布时间:2020-09-30   阅读:1404   标签:日志

[toc]

filebeat收集日志输出到logstash然后合并输出到同名文件(7.7.1)

Vic.xu 20200930

目标:多台集群机器日志收集到一起,且同名输出,能记录来源机器

  1. 多台机器输出的日志名是相同的,比如机器A 输出的日志包括err.logsql.logcommon.log
  2. 希望收集多台机器的日志,输入到同名日志文件,比如把A机器和B机器的err.logsql.logcommon.log收集到C机器的err.logsql.logcommon.log
  3. 在日志中标识来自哪一台机器;
  4. 多行日志需要合并,比如一个堆栈信息;

前言:项目有点老了(着急的话,直接调到最后看结论吧)

​ 一说分布式日志收集分析系统,网上都有一大推的关于ELK的文章。 不过咱的项目比较老了,只是最近才真正做了集群部署,所以才会涉及到分布式的日志收集。

​ 不过,项目中暂时也不会做日志分析之类的东西。所以就准备先弄一个filebeat收集日志到logstash,然后通过logstash定向输出到文件即可。加上之前因为开发环境和测试环境的隔离,所以写了个实时页面查看日志的小项目,也是勉强够用了。

版本:(因为之前使用过ElasticSearch的版本是7.7.1)

  • Filebeat 7.7.1
  • Logstash 7.7.1

一 为什么不只使用Logstash,而是额外引入了Filebeat

  1. 因为logstashjvm跑的,资源消耗比较大,
  2. filebeat更轻量,占用资源更少
  3. 一般结构都是filebeat采集日志,然后发送到消息队列,rediskafaka。然后logstash去获取,利用filter功能过滤分析,然后存储到elasticsearch

二 基本思路 Filebeat + Logstash

  1. 在各个需要收集日志的机器上FileBeat , 配置输出到远程的Logstash

  2. 在接收日志文件的机器上安装Logstash,收集各个Filebeat发送来到日志,输出到文件

三 windows下简单测试Filebeat

  1. 官网下载windows版本

  2. 修改filebeat.yml,具体参考官网

    1. filebeat.inputs:
    2. - type: log
    4.   enabled: true
    5.   fields:
    6.     name: vic_first
    7.   paths:
    8.  #   - /var/log/*.log
    9.     - E:/space/idea/blog/logback/*.log
    11. output.file:
    12.   path: d:/filebeat
    13.   filename: filebeat_vic.log
    14.   codec.format:
    15.     string: '%{[fields][name]}%{[@timestamp]} %{[message]}'
    16.   rotate_every_kb: 10240
    18. # 是否开启多行合并
    19. multiline.type: pattern
    20. #multiline.pattern: '^\['
    21. multiline.pattern: '^vic-blog'
    22. multiline.negate: false
    23. multiline.match: after
    25. #============================= Filebeat modules ===============================
    26. filebeat.config.modules:
    27.   path: ${path.config}/modules.d/*.yml
    28.   reload.enabled: false
    30. processors:
    31.   - add_host_metadata: ~
    32.   - add_cloud_metadata: ~
    33.   - add_docker_metadata: ~
    34.   - add_kubernetes_metadata: ~
    • 如上:
      1. 配置了需要收集的日志文件的位置。
      2. fields 下是携带的额外的数据,一般作为标识使用
      3. 配置了日志的输出的文件
      4. 配置合并多行:因为默认是读取一行就发送,但是其实有的时候多行才算一个日志,比如堆栈信息等

  3. 启动Filebeat,然后测试写入日志,会被写入到输出位置

    .\filebeat.exe -e -c filebeat.yml

  4. 其他

    1. 输出到es

      1. output.elasticsearch:
      2.   # Array of hosts to connect to.
      3.   hosts: ["localhost:9200"]
      5.   # Protocol - either `http` (default) or `https`.
      6.   #protocol: "https"
      8.   # Authentication credentials - either API key or username/password.
      9.   #api_key: "id:api_key"
      10.   #username: "elastic"
      11.   #password: "changeme"

    2. 输出到logstash

      1. output.logstash:
      2.   # The Logstash hosts
      3. hosts: ["localhost:5044"]

四 windows下简单测试Logstash

  1. 官网下载zip解压,

  2. cofig下复制logstash.conf,然后配置成控制台输入输出:

    1. input {
    2.   beats {
    3.     port => 5044
    4.   }
    5. }
    7. filter {
    8.     ruby {
    9.         code => "
    10.             path = event.get('log')['file']['path']
    11.             puts format('path = %<path>s', path: path)
    12.             if (!path.nil?) && (!path.empty?)
    13.                 event.set('filename', path.split('/')[-1])
    14.             end
    15.         "
    16.     }
    17. }
    19. output {
    20.   file   {
    21. #    path => "/data/share/logs/output/logstash/%{+yyyy-MM-dd}/%{+HH}-vic.log" 
    22.     path => "/data/share/logs/output/logstash/%{+yyyy-MM-dd}/%{filename}"
    23.         codec => line { format => "%{filename} %{[fields][name]}: %{message}"}
    24.   }
    26.   stdout {
    27.     codec => rubydebug
    28.   }
    30. }

  3. 启动Logstash

    bin\logstash -f config\logstash.conf

    • 启动成功后可访问localhost:9600,看到版本等信息,则表示启动成功
    • 测试:在启动控制台输入信息, 可看到相关输出信息

一些问题:

  1. 在logstash中获取Filebeat中的日志原文件名,然后输出到同名文件:通过filter实现

    如下,获取输入的日志文件的文件名filename,通过%{filename}获取

    1. filter {
    2.     ruby {
    3.         code => "
    4.             path = event.get('log')['file']['path']
    5.             puts format('path = %<path>s', path: path)
    6.             if (!path.nil?) && (!path.empty?)
    7.                 event.set('filename', path.split('/')[-1])
    8.             end
    9.         "
    10.     }
    11. }

  1. filebeat携带额外的信息到,标志来自哪台机器,通过fields携带(如下,携带的key是name,value是server1)

    1. filebeat.inputs:
    2. - type: log
    3.   enabled: true
    4.   fields:
    5.     name: server1

  2. logstash获取filebeat携带的额外的信息

    1. %{[fields][name]}

  3. filebeat 不发送最后一行

    Filebeat使用换行符来检测事件的结束。 如果将行逐渐添加到正在采集的文件中,则在最后一行之后需要换行符,否则Filebeat将不会读取文件的最后一行。

五 总结: linux下的启动脚本和最终配置文件

linux下的安装和window下没什么区别,logstash需要确保安装了jdk1.8+;

启动也是一样的, 只是本人比较懒, 所以写了两个启动脚本start.sh ;运行时带参数的话则输出日志到catalina.out,不带参数则不输出日志

linux下的filebeat的启动脚本

  1. #!/bin/bash
  3. log="/dev/null"
  4. # if input paramter is not null ,then output log to catalina.out. else to /dev/null
  6. if [ $1 != '' ];then
  7.   log="catalina.out"    
  8. fi
  10. nohup ./filebeat -e -c filebeat.yml >$log 2>&1 &
  12. echo "start   filebeat.......... ----> $log"
linux下的logstash的启动脚本
  1. #!/bin/bash
  3. log="/dev/null"
  4. # if input paramter is not null ,then output log to catalina.out. else to /dev/null
  6. if [ $1 != '' ];then
  7.   log="catalina.out"    
  8. fi
  9. nohup bin/./logstash -f config/logstash.conf >$log 2>&1 & 
  10. echo "start logstash.......... ----> $log"
filebeat.yaml最终配置文件(见注释)
  1. # 输入日志
  2. filebeat.inputs:
  3. - type: log
  4.   enabled: true
  5.   # 携带的额外的数据,标识来自哪个机器
  6.   fields:
  7.      name: wsl-ubuntu      
  8.   # 日志的所在位置
  9.   paths:
  10.     - /data/share/logs/input/*.log  
  11.     - /data/share/logs/input2/*.log  
  12. #=========================== 是否开启多行合并================================
  13. multiline.type: pattern
  14. #多行合并的正则,以[ 开头
  15. multiline.pattern: '^\['
  16. # 是否不合并多行合并: 负负得正 表示开启
  17. multiline.negate: false
  18. multiline.match: after
  19. #==========================输出日志到logstash==============================
  20. output.logstash:
  21.   # The Logstash hosts
  22.   hosts: ["localhost:5044"]
logstash.conf最终配置文件(见注释)
  1. #======从filebeat获取日志==============================
  2. input {
  3.   beats {
  4.     port => 5044
  5.   }
  6. }
  8. #=====解析出来源日志的文件名===================================
  9. filter {
  10.     ruby {
  11.         code => "
  12.             path = event.get('log')['file']['path']
  13.             puts format('path = %<path>s', path: path)
  14.             if (!path.nil?) && (!path.empty?)
  15.                 event.set('filename', path.split('/')[-1])
  16.             end
  17.         "
  18.     }
  19. }
  20. #======输出日志==============================
  21. output {
  22. #  输出日志到文件,在日志的开头打印filebeat中携带的name属性,标识来自哪个文件
  23.   file   {
  24.     path => "/data/share/logs/output/logstash/%{+yyyy-MM-dd}/%{filename}"
  25.     codec => line { format => "%{[fields][name]}: %{message}"}
  26.   }
  27.   # 输出日志到控制台  可删除掉
  28.   stdout { 
  29.     codec => rubydebug
  30.   }
  32. }

文章来源:临窗旋墨的博客,转载注明出处。

时间: 20200930

发表评论

目录