基本流程:
1)Logstash-Shipper获取日志信息发送到redis。
2)Redis在此处的作用是防止ElasticSearch服务异常导致丢失日志,提供消息队列的作用。[注意,测试时如果写到redis里的日志量比较小,则很快就会被输送到elasticsearch,输送完之后,届时在redis里的key就没有了,也就查看不到了.]
3)logstash是读取Redis中的日志信息发送给ElasticSearch。
4)ElasticSearch提供日志存储和检索。
5)Kibana是ElasticSearch可视化界面插件。
1 Redis设置密码 #redis-cli -h 192.168.1.230 -p 6379 >config set requirepass 123456 >auth 123456 >config get requirepass 说明:redis必须设置密码,否则启动filebeat报错 2.修改filebaet配置文件 #cat /etc/filebeat/filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log - /var/log/messages tags: ["system-log-5611"] exclude_lines: ['^DBG','^$'] filebeat.config.modules: path: ${path.config}/modules.d/*.yml reload.enabled: true setup.template.settings: index.number_of_shards: 1 output.redis: hosts: ["192.168.1.226:6379"] db: "0" password: "123456" key: "system-log-5611" #重启filebeat #systemctl restart filebeat #查看redis中生产的key
3 配置使用logstash取出redis里面的数据 # cd /etc/logstash/conf.d # cat logstash‐simple.conf input{ redis { host => "192.168.1.226" port => "6379" password => "123456" db => "0" data_type => "list" key => "system-log-5611" } } output{ if "system-log-5611" in [tags] { elasticsearch { hosts => ["192.168.1.224:9200"] index => "system-log-5611-%{+YYYY.MM.dd}" } stdout{ codec => rubydebug } } } #测试配置文件 #/usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/logstash‐simple.conf --config.test_and_exit Config Validation Result: OK #代表配置文件没有问题 #将日志输出到当前的终端上显示 #/usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/logstash‐simple.conf
同时elasticsearch也收到索引信息
5.添加到kibana展示
创建索引模式,创建好之后,在Discover中展示
参考链接: