Logstash收集日志 依赖于Java环境,用来收集日志比较重,占用内存和CPU高 Filebeat相对轻量,占用服务器资源小,不依赖于JAVA 一般选用Filebeat来进行日志收集 Filebeat 可以直接把日志发给 Elasticsearch,并且不依赖于Java 环境,占用内存小。Filebeat的安装:本次实验filebeat 是安装在189.84上,与logstash nginx 在同一台 下载二进制文件 cd /opt wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.0-linux-x86_64.tar.gz 下载速度很慢 wget http://www.xchinagroup.top/softdown/centos7/13_elk/filebeat-6.6.0-linux-x86_64.tar.gz 解压移到/usr/local下面,完成安装 。 tar zxf filebeat-6.6.0-linux-x86_64.tar.gz mv filebeat-6.6.0-linux-x86_64 /usr/local/filebeat-6.6.0 编辑filebeat配置文件: cd /usr/local/filebeat-6.6.0 cp filebeat.yml filebeat.yml.bak vim filebeat.yml filebeat.inputs: - type: log tail_files: true backoff: "1s" paths: - /usr/local/nginx/logs/access.log output: elasticsearch: hosts: ["192.168.189.83:9200"]
启动Filebeat 1、前台启动: /usr/local/filebeat-6.6.0/filebeat -e -c /usr/local/filebeat-6.6.0/filebeat.yml 2、后台启动: nohup /usr/local/filebeat-6.6.0/filebeat -e -c /usr/local/filebeat-6.6.0/filebeat.yml >/tmp/filebeat.log 2>&1 & 在其他的服务器上访问 192.168.189.84 的nginx curl 192.168.189.84 curl 192.168.189.84/test.html
Kibana上查看日志数据
查看日志数据:
创建索引观察
Filebeat -> ES -> Kibana 这种架构: 适合查看日志,日志数据不会经过任何处理。不适合具体日志的分析