ELK日志分析+白金版+告警-01
2020.10.
需求:收集所有业务日志和nginx日志+php日志
架构:filebeat+logstash+elasticsearch-7.9.1 + kibana-7.9.1
优先考虑问题:
1. agent 客户端(所有服务器都需要安装beats) 这里选择filebeat
tar包
filebeat-7.4.2-linux-x86_64.tar.gz
1. 解压
2. 添加为系统服务(由于要经常添加日志路径,方便重启)
# Centos7 使用如下方式
vim /usr/lib/systemd/system/filebeat.service
[Unit]
Description=Filebeat sends log files to Logstash or directly to Elasticsearch.
Documentation=vim https://www.elastic.co/products/beats/filebeat
Wants=network-online.target
After=network-online.target
[Service]
# ExecStart 这一行 注意改成你自己的filebeat路径(我这里是 /home/elk/filebeat 之后是yml 文件 这里使用 /home/elk/filebeat.yml 数据目录data 日志文件 /var/log/filebeat)
ExecStart=/home/elk/filebeat/filebeat -c /home/elk/filebeat/filebeat.yml -path.home /home/elk/filebeat -path.config /home/elk/filebeat -path.data /home/elk/filebeat/data -path.logs /var/log/filebeat
# 下面一行指定启动用户,可按需更改
Restart=always
[Install]
WantedBy=multi-user.target
添加完成后,保存退出!
使用 systemctl enable filebeat 开启服务
使用systemctl restart filebeat 重启服务
使用systemctl status filebeat 查看服务状态
3. 备份配置文件, 并重新添加配置文件内容
我这里收集 nginx access log nginx error log applogs
以上注意 修改log 路径
fields: index 表示可以添加一个字段 用来标识日志类型
output.logstash
这里注意填写logstash的ip 默认端口5044 如果不同请按自己设置的端口更改
日志收割机安装完成,请别忘了重启服务
systemctl restart filebeat
如果启动状态有异常,可查看filebeat log
默认为/var/log/filebeat/
结束。。。。
如有问题请留言,大家共同讨论
谢谢