日志系统使用文档地址
站内搜索 [记录日志系统的安装->部署->配置->使用文档(3)]
服务器
ES, Logstash, Kibana
内存: 8G
磁盘: 500G
处理器: 4/8核
带宽: 2m
以上配置是原来写的,在之后的线上环境很快就得到了验证,结果就是直接崩溃。
建议每天产生 20-30GB 日志的环境至少需要以下配置:
- 内存:16G
- 磁盘:500GB-1TB(硬盘不值钱)
- 处理器:4/8 核
- 带宽:5M
Filebeat(被抓取服务所在机器)
略...
端口
- ELK 服务器对外开放
5601 - ELK 服务器对 Filebeat 所在服务器内网开放
5044
安装(单点)
安装完 Filebeat 之后,需要给 inputs 下配置文件基于 root 权限或者
go+w权限:chown root /etc/filebeat/inputs/*或者chown go+w /etc/filebeat/inputs/*
Filebeat(基于 Docker)
1 | version: '3' |
Filebeat(基于 yum 源-官网)
被采集服务所在服务器
To add the Beats repository for YUM
1 | sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch |
Create a file with a .repo extension
在 /etc/yum.repos.d/ 目录下创建文件(例如 elastic.repo)并添加以下内容:
1 | cd /etc/yum.repos.d/ |
1 | [elastic-7.x] |
安装 Filebeat
1 | sudo yum install filebeat |
配置开机自启
1 | sudo systemctl enable filebeat |
如果系统不使用 systemd,则运行:
1 | sudo chkconfig --add filebeat |
问题:
Exiting: error loading config file: config file ("/etc/filebeat/filebeat.yml") must be owned by the user identifier (uid=0) or root解决方案见:https://www.elastic.co/guide/en/beats/libbeat/current/config-file-permissions.html
ELK(基于 Docker)
docker-compose.yml
1 | cd /opt/elk |
1 | version: '3' |
配置(配置文件已标示注释)
Filebeat && Logstash && Elasticsearch
参考:配置文件详细介绍
配置用户
1 | docker exec -it [es-id] bash |
各 user:
1 | Changed password for user apm_system |
启动
Filebeat
启动服务:
1 | sudo systemctl start filebeat |
查看状态:
1 | sudo systemctl status filebeat |
ELK(cd 到 docker-compose 文件所在路径)
1 | docker-compose up -d |
验证一下(查看索引):
1 | curl -XGET -H "Authorization:Basic base64Encode(user:password)" localhost:9200/_cat/indices |
注意的几个点
- 验证 Filebeat 成功连接 Logstash:
INFO [publisher_pipeline_output] pipeline/output.go:151 Connection to backoff(async(tcp://logstash:5044)) established- Kibana 没有数据(或是 ES 没正确存储):8 成可能是你存储的数据结构和之前配置的
template.json映射关系有差,比如我将createTime设置成date时候,docker logs [logstash id]时候发现 400 了,提示转换失败
日志系统权限/角色配置
- 管理员:all
- index-management:负责建立索引模式
- log-viewer:仅可查看日志
日志系统索引配置(以及开启日志流模式查看)
ES 日志定期自动清除策略 - Kibana Index Lifecycle Policies
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 小五的个人杂货铺!
微信- 支付宝
相关推荐
2026-03-25
ELK 配置 SSL【Docker 下操作】
介绍Elasticsearch 程序中提供 elasticsearch-certutil 命令来简化生成证书的过程。 该命令共有 3 种模式: CA 模式:用于生成一个新的证书颁发机构 CERT 模式:用于生成 X.509 证书和私钥 CSR 模式:用于生成证书签名请求,该请求指向受信任的证书颁发机构以获取签名的证书。签名证书必须为 PEM 或 PKCS#12 格式,才能与 Elasticsearch 安全功能一起使用 生成证书certutil 官方文档 如果集群部署,想为每个 node 都配置 SSL,就改 instance.yml 和 extra_hosts 参考:https://www.elastic.co/cn/blog/configuring-ssl-tls-and-https-to-secure-elasticsearch-kibana-beats-and-logstash 注意:证书位置必须写绝对路径 新建 instance.yml 以创建各容器的自签名证书123456789# name会对应到生成证书文件的路径名称# dns可以多个,对应其匹配域名in...
2026-03-25
Filebeat 多实例部署(守护进程方式 systemd)
安装好 Filebeat1站内搜索:记录日志系统的安装-部署-配置-使用文档(1) 复制两个子文件夹12cp -r /etc/filebeat{,1}cp -r /etc/filebeat{,2} 修改各自的 filebeat.yml1234...(省略 inputs 之类的)logging.files: # 这里修改文件夹路径 path: /var/log/filebeat1/2 查看机器 systemd 的 path 我这里是 /usr/lib/systemd/system 添加两份配置文件 vi /usr/lib/systemd/system/filebeat1.service 1234567891011121314151617[Unit]Description=Filebeat sends log files to Logstash or directly to Elasticsearch.Documentation=https://www.elastic.co/bea...
2026-03-25
Kibana Dashboard 结合 Filebeat 的使用
利用 Filebeat Module 监听/传输数据到 ES 并通过 Kibana 的面板显示要记得将 modules 功能打开 filebeat 安装完默认会在 /etc/filebeat/modules.d 下放着许多模块的 yml,需要哪个,就执行 filebeat modules enable xxx filebeat.yml 配置: 1234567891011121314151617181920212223filebeat.config: modules: enabled: true path: modules.d/*.yml reload.enabled: true reload.period: 10s# ------------------------------ Kibana Output -------------------------------output.elasticsearch: hosts: ["10.0.2.15:9200"] username: "elastic"...