面对成百上千台服务器产生的日志,试试这款轻量级日志搬运神器
以前咱们搭建的ELK日志收集系统,主要是用来收集SpringBoot应用的日志。其原理是应用经过Logstash插件,使用TCP向Logstash传输日志,从而存储到Elasticsearch中去。可是有不少中间件的日志都是直接存储在文件中的,好比Nginx、Elasticsearch和MySQL,此时咱们就须要一个搬运工来把日志搬到Elasticsearch中去,Filebeat正是这样一个日志搬运工,本文将详细介绍它的使用方法,但愿对你们有所帮助。css
Filebeat简介
Filebeat是一款轻量级日志采集器,可用于转发和汇总日志与文件。Filebeat内置有多种模块(Nginx、MySQL、Redis、Elasticsearch、Logstash等),可针对常见格式的日志大大简化收集、解析和可视化过程,只需一条命令便可。html
Filebeat安装及配置
安装Filebeat以前,咱们须要先安装好Elasticsearch和Kibana,具体参考《你竟然还去服务器上捞日志,搭个日志收集系统难道不香么 !》,注意使用7.6.2版本。mysql
咱们先下载Filebeat的安装包,下载地址:https://www.elastic.co/cn/downloads/past-releases/filebeat-7-6-2nginx
下载完成后解压到指定目录,注意图中所示的三个地方;sql
Kibana中早就提供好了Filebeat收集各类日志的教程,咱们先进入首页,访问地址:http://localhost:5601/app/kibana#/homebash
点击Add log data按钮,能够发现支持的中间件仍是很丰富的,涵盖了经常使用的;服务器
点开Nginx的日志收集教程看下,是否是很详细;app
接下来咱们就要开始配置Filebeat了,配置好Elasticsearch和Kibana的链接地址,修改Filebeat的安装目录下的配置文件filebeat.yml便可,修改内容以下。elasticsearch
output.elasticsearch: hosts: ["localhost:9200"]setup.kibana: host: "localhost:5601"
收集Nginx日志
咱们先拿Nginx来练练手,体验下Filebeat的日志收集功能吧。ide
使用以下命令开启Filebeat的Nginx日志收集模块;
filebeat modules enable nginx
开启完成后,进入modules.d目录下,你会发现nginx.yml的disable后缀没有了,说明已经被开启;
接下来修改nginx.yml文件,配置好Nginx的access和error日志路径;
# Module: nginx# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.6/filebeat-module-nginx.html- module: nginx access: enabled: true var.paths: ["I:/developer/env/nginx-1.8.1/logs/access.log"] error: enabled: true var.paths: ["I:/developer/env/nginx-1.8.1/logs/error.log"]
因为启用了Nginx日志收集模块,咱们须要经过以下命令对Filebeat进行设置;
filebeat setup
经过以下命令启动Filebeat服务;
filebeat -e
咱们能够经过以前使用的Kibana中的Nginx教程页面,检查下数据是否成功被收集了;
点击Nginx logs dashboard按钮能够查看收集到的Nginx日志,先看看概览日志;
再看看详细日志,今后不用再去服务器上捞Nginx日志了!
收集Elasticsearch日志
接下来咱们再试试收集Elasticsearch的日志。
使用以下命令开启Filebeat的Elasticsearch日志收集模块;
filebeat modules enable elasticsearch
接下来修改elasticsearch.yml配置,配置好Elasticsearch的日志路径;
# Module: elasticsearch# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.6/filebeat-module-elasticsearch.html- module: elasticsearch server: enabled: true var.paths: ["I:/developer/env/elasticsearch-7.6.2/logs/elasticsearch.log"] slowlog: enabled: true var.paths: ["I:/developer/env/elasticsearch-7.6.2/logs/elasticsearch_index_indexing_slowlog.log","I:/developer/env/elasticsearch-7.6.2/logs/elasticsearch_index_search_slowlog.log"] deprecation: enabled: true var.paths: ["I:/developer/env/elasticsearch-7.6.2/logs/elasticsearch_deprecation.log"]
设置并启动Filebeat服务;
filebeat setup filebeat -e
在Discover页面中查看Elasticsearch日志。
收集MySQL日志
再来试试收集MySQL的日志。
使用以下命令开启Filebeat的MySQL日志收集模块;
filebeat modules enable mysql
接下来修改mysql.yml配置,配置好MySQL的日志路径,主要是错误日志和慢查询日志;
# Module: mysql# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.6/filebeat-module-mysql.html- module: mysql error: enabled: true var.paths: ["C:/ProgramData/MySQL/MySQL Server 5.7/Data/DESKTOP-5NIMJ19.err"] slowlog: enabled: true var.paths: ["C:/ProgramData/MySQL/MySQL Server 5.7/Data/DESKTOP-5NIMJ19-slow.log"]
设置并启动Filebeat服务;
filebeat setup filebeat -e
点击MySQL logs dashboard按钮能够查看收集到的MySQL日志;
查看MySQL收集到的日志详情。
总结
本文主要介绍了使用Filebeat去收集Nginx、Elasticsearch和MySQL的文件日志,其余中间件的日志收集用法也基本相同,用Filebeat收集中间件日志是否是方便!