Κοινή χρήση τεχνολογίας

Συχνά χρησιμοποιούμενα πρόσθετα και ανάπτυξη ELFK της μονάδας φίλτρου logstash ELfK

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Συνήθως χρησιμοποιούμενα πρόσθετα για τη μονάδα φίλτρου της ELK

Συνήθως χρησιμοποιούμενα πρόσθετα για τη μονάδα φίλτρου logstash:

φίλτρο: αντιπροσωπεύει το επίπεδο επεξεργασίας δεδομένων, συμπεριλαμβανομένης της μορφοποίησης δεδομένων, της μετατροπής τύπων δεδομένων, του φιλτραρίσματος δεδομένων κ.λπ., και υποστηρίζει κανονικές εκφράσεις

  1. Το grok υποδιαιρεί πολλά μεγάλα πεδία κειμένου σε μικρά πεδία (?<όνομα πεδίου>κανονική έκφραση) Όνομα πεδίου: περιεχόμενο που αντιστοιχεί στην κανονική έκφραση
  2. Η ημερομηνία ενοποιεί και μορφοποιεί τη μορφή ώρας στα δεδομένα
  3. mutate μπορεί να μετονομάσει, να διαγράψει, να αντικαταστήσει και να τροποποιήσει πεδία σε συμβάντα.Για παράδειγμα, καταργήστε ορισμένα άχρηστα πεδία ή προσθέστε προσαρμοσμένα πεδία.
  4. multiline τακτοποιεί ομοιόμορφα πολλαπλές σειρές δεδομένων και συνοψίζει πολλές σειρές δεδομένων σε μία μόνο σειρά

GROK: κανονικό πρόσθετο λήψης

Χρησιμοποιήστε την τμηματοποίηση τμημάτων κειμένου για να τμηματοποιήσετε συμβάντα καταγραφής, τα οποία χωρίζονται σε ενσωματωμένους κανονικούς κανόνες και προσαρμοσμένους κανονικούς κανόνες.

Κλήση ενσωματωμένης τυπικής έκφρασης: % (ενσωματωμένη τυπική έκφραση: όνομα πεδίου)
 

Κλήση προσαρμοσμένης τυπικής έκφρασης: (?<όνομα πεδίου>προσαρμοσμένη τυπική έκφραση)

         

multiline: Ενοποιήστε πολλαπλές σειρές δεδομένων και συνοψίστε πολλές σειρές δεδομένων σε μία μόνο σειρά

μοτίβο (ταίριασμα γραμμών μέσω κανονικής έκφρασης)
negate(false|true, αν πρέπει να αρνηθεί. False σημαίνει να μην αναιρείται, και οι γραμμές που ταιριάζουν με την κανονική έκφραση θα συγχωνευθούν σύμφωνα με τις ρυθμίσεις του
true σημαίνει άρνηση και οι γραμμές που ταιριάζουν με την κανονική έκφραση δεν θα συγχωνευθούν σύμφωνα με τη ρύθμιση του τι)
what(previous|next, previous σημαίνει συγχώνευση προς τα πάνω, επόμενο σημαίνει συγχώνευση προς τα κάτω

ημερομηνία: Ενοποιήστε τη μορφή της χρονικής σφραγίδας @timestamp των συμβάντων καταγραφής που συλλέγονται από το logstash με τον πραγματικό χρόνο εκτύπωσης του αρχείου καταγραφής.

1. Πρώτα διαμορφώστε την προσθήκη grok για να διαχωρίσει τα πεδία χρόνου καταγραφής και χρόνου εκτύπωσης.
2. Χρησιμοποιήστε την αντιστοίχιση στη διαμόρφωση της προσθήκης ημερομηνίας για να ταιριάζει με τη μορφή ώρας του πεδίου ώρας καταγραφής.
3. Στη συνέχεια, χρησιμοποιήστε το target για έξοδο στο πεδίο @timestamp για να ενοποιήσετε τη μορφή ώρας.
 

ELK Optimized Filebeat Deployment

διεύθυνση κεντρικού υπολογιστήόνομαΣερβίρισμα
192.168.73.80es01elasticsearch
192.168.73.100es02elasticsearch
192.168.73.110es03elasticsearch
192.168.73.120ngixn01nginx kibana
192.168.73.130ΑΡΧΕΙΟngixn filebeat

Εγκαταστήστε το NGINX

  1. cd /etc/yum.repos.d/
  2. 上传nginx.repo文件
  3. yum install -y nginx
  4. systemctl enable --now nginx
  5. cd /usr/share/nginx/html
  6.   #准备测试页面
  7. echo '<h1>this is web page</h1>' > test.html
  8. echo '<h1>this is web2 page</h1>' > test1.html

Εγκαταστήστε το Filebeat

  1. 上传软件包 filebeat-6.7.2-linux-x86_64.tar.gz 到/opt目录
  2. tar xf filebeat-6.7.2-linux-x86_64.tar.gz
  3. mv filebeat-6.7.2-linux-x86_64 /usr/local/filebeat

Ορίστε το κύριο αρχείο ρυθμίσεων του filebeat

  1. cd /usr/local/filebeat
  2. cp filebeat.yml filebeat.yml.bak
  3. vim filebeat.yml
  4. filebeat.inputs:
  5. - type: log         #指定 log 类型,从日志文件中读取消息
  6.   enabled: true     #24
  7.   paths:
  8.     - /var/log/nginx/access.log       #28行指定监控的日志文件
  9.     - /var/log/nginx/error.log
  10.   tags: ["filebeat"]		#设置索引标签
  11.   fields:           #46行可以使用 fields 配置选项设置一些参数字段添加到 output
  12.     service_name: nginx
  13.     log_from: 192.168.73.130 
  14.  
  15. --------------output-------------------
  16. (全部注释掉)
  17.  
  18. ----------------Logstash output---------------------
  19. output.logstash:    #162
  20.   hosts: ["192.168.73.120:5044"]      #164行指定 logstash 的 IP 和端口

Τροποποίηση της διαμόρφωσης Logstash

  1. cd /etc/logstash/conf.d
  2. vim filebeat.conf
  3. input {
  4.     beats {
  5.         port => "5044"
  6.     }
  7. }
  8.  
  9. #filter {}
  10.  
  11. output {
  12.      elasticsearch {
  13.                   hosts => ["192.168.73.80:9200", "192.168.73.100:9200", "192.168.73.110:9200"]   #集群els地址
  14.                   index => "nginx-%{+yyyy.MM.dd}"
  15.      }
  16.  
  17. }
  18.  
  19.  
  20. logstash -t -f filebeat.conf  #检查文件

Έναρξη αρχείου ρύθμισης παραμέτρων

192.168.73.130

Έναρξη ./filebeat -e -c filebeat.yml

Ξεκινήστε το logstash

192.168.73.120

Ξεκινήστε το logstashlogstash -f filebeat.conf

Προσωπικό προφίλ

Έχει αφοσιωθεί στην έρευνα της τεχνολογίας για περισσότερα από 30 χρόνια και είναι ικανός σε διάφορες γλώσσες όπως java, linux, javascript, php, css κ.λπ. Έχει κάνει πολλές συνεισφορές στον τομέα του ανοιχτού κώδικα τεκμηρίωσης προγραμματιστή για να μοιραστείτε ορισμένα ζητήματα στην ανάπτυξη τεχνολογίας για μελλοντική αναφορά

τα στοιχεία επικοινωνίας μου

Ταχυδρομείο