ELK日志分析+白金版+告警-01

2020.10.

需求：收集所有业务日志和nginx日志+php日志

架构：filebeat+logstash+elasticsearch-7.9.1 + kibana-7.9.1

优先考虑问题：

1. agent 客户端（所有服务器都需要安装beats） 这里选择filebeat 

tar包

filebeat-7.4.2-linux-x86_64.tar.gz

1. 解压

2. 添加为系统服务（由于要经常添加日志路径，方便重启）

# Centos7 使用如下方式

vim  /usr/lib/systemd/system/filebeat.service 

[Unit]

Description=Filebeat sends log files to Logstash or directly to Elasticsearch.

Documentation=vim https://www.elastic.co/products/beats/filebeat

Wants=network-online.target

After=network-online.target

 

[Service]

# ExecStart 这一行  注意改成你自己的filebeat路径（我这里是 /home/elk/filebeat        之后是yml 文件     这里使用 /home/elk/filebeat.yml        数据目录data     日志文件 /var/log/filebeat）

ExecStart=/home/elk/filebeat/filebeat -c /home/elk/filebeat/filebeat.yml -path.home /home/elk/filebeat -path.config /home/elk/filebeat -path.data /home/elk/filebeat/data -path.logs /var/log/filebeat

# 下面一行指定启动用户，可按需更改

Restart=always

 

[Install]

WantedBy=multi-user.target

添加完成后，保存退出！

使用 systemctl enable filebeat   开启服务

使用systemctl restart filebeat  重启服务

使用systemctl status filebeat   查看服务状态

3. 备份配置文件， 并重新添加配置文件内容

我这里收集 nginx access log    nginx error log    applogs 

以上注意   修改log 路径

fields： index  表示可以添加一个字段   用来标识日志类型

output.logstash

这里注意填写logstash的ip   默认端口5044   如果不同请按自己设置的端口更改

 

 

日志收割机安装完成，请别忘了重启服务

systemctl restart filebeat

 

如果启动状态有异常，可查看filebeat log

 

默认为/var/log/filebeat/

 

 

 

结束。。。。

如有问题请留言，大家共同讨论

谢谢