AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Filebeat限制采集的日志大小实际应用验证

2023-10-23 337
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
推荐场景:
通过缓存加速数据库访问
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
Elasticsearch Serverless通用抵扣包,测试体验金 200元
简介: Filebeat限制采集的日志大小实际应用验证

本文是根据上一篇文章拓展的,观看时请结合上一篇文章:容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana)


- 验证1:


  当我们的Nginx日志文件大小超过在filebeat.yml文件中限制的日志大小时,Filebeat在采集时是不会采集超过限制大小的日志的。


准备Nginx日志

[root@es-master21 ~]# ll -h /var/log/nginx/
总用量 69M
-rwxr-xr-x. 1 root root  68M 12月 13 15:15 access.log
-rwxr-xr-x. 1 root root 1.8M 12月  7 23:09 error.log

可以看到目前 /var/log/nginx/ 目录下的 access.log 日志文件大小是68M,而 error.log 日志文件大小是1.8M。


搭建Filebeat


注意:


  Filebeat要采集的日志目录必须挂载至Filebeat容器中,不然可能无法正常采集。

[root@es-master21 ~]# mkdir -p /mnt/filebeat/
[root@es-master21 ~]# cd /mnt/
[root@es-master21 mnt]# vim docker-compose.yml
  ......
  ......
    filebeat:
    image: store/elastic/filebeat:7.10.1   #镜像依然选择与elk的版本一致
    container_name: filebeat
    restart: always
    volumes:
      - /var/log/nginx/:/var/log/nginx      #filebeat需要采集的nginx日志目录(必须要挂载至容器中)
      - /mnt/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro    #filebeat的配置文件
      - /etc/localtime:/etc/localtime

编写filebeat.yml文件

[root@es-master21 mnt]# cd filebeat/
[root@es-master21 filebeat]# vim filebeat.yml   (使用时删除文件中带#的配置项,不然yml文件格式不对) 
filebeat.inputs:         #inputs为复数,表名type可以有多个
- type: log         #输入类型
  access:
  enabled: true         #启用这个type配置
  max_bytes: 20480     #单条日志的大小限制,建议限制(默认为10M,上面的设置表示超过20M就不会采集了)
  paths:
    - /var/log/nginx/access.log     #监控nginx的access日志,建议采集日志时先采集单一nginx的access日志。
  fields:       #额外的字段(表示在filebeat收集Nginx的日志中多增加一个字段source,其值是nginx-access-21,用来在logstash的output输出到elasticsearch中判断日志的来源,从而建立相应的索引,也方便后期再Kibana中查看筛选数据,结尾有图)
    source: nginx-access-21    
- type: log
  access:
  enabled: true
  paths:
    - /var/log/nginx/error.log
  fields:
    source: nginx-error-21     #额外的字段(表示在filebeat收集Nginx的日志中多增加一个字段source,其值是nginx-error-21,用来在logstash的output输出到elasticsearch中判断日志的来源,从而建立相应的索引,也方便后期再Kibana中查看筛选数据,结尾有图)
setup.ilm.enabled: false
output.redis:       #输出到redis
  hosts: ["192.168.1.21:6379"]    #redis地址及端口
  password: "123456"           #redis密码
  db: 0               #redis的库
  key: "nginx_log"    #定义输入到redis的key名
[root@es-node22 mnt]# docker-compose -f docker-compose.yml up -d
[root@es-master21 mnt]# docker-compose ps
       Name                     Command               State                      Ports
---------------------------------------------------------------------------------------------------------
elasticsearch        /tini -- /usr/local/bin/do ...   Up      0.0.0.0:9200->9200/tcp,:::9200->9200/tcp,
                                                              0.0.0.0:9300->9300/tcp,:::9300->9300/tcp
elasticsearch-head   /bin/sh -c grunt server          Up      0.0.0.0:9100->9100/tcp,:::9100->9100/tcp
filebeat             /usr/local/bin/docker-entr ...   Up
kibana               /usr/local/bin/dumb-init - ...   Up      0.0.0.0:5601->5601/tcp,:::5601->5601/tcp
logstash             /usr/local/bin/docker-entr ...   Up      0.0.0.0:5044->5044/tcp,:::5044->5044/tcp,
                                                              9600/tcp
redis                docker-entrypoint.sh redis ...   Up      0.0.0.0:6379->6379/tcp,:::6379->6379/tcp

注意:


  由于我们在filebeat.yml文件中限制了Filebeat要采集的日志大小最大不超过20M,所以在Filebeat采集日志时是不会采集access.log日志的。


验证1:


1.查看error.log日志文件行数

[root@es-master21 mnt]# cat /var/log/nginx/error.log | wc -l
7166

2.查看Redis中由Filebeat采集后写进来的nginx日志数据

[root@es-master21 mnt]# docker exec -it redis bash
root@d5a4be90c7f6:/# redis-cli -h 192.168.1.21
192.168.1.21:6379> AUTH 123456
OK
192.168.1.21:6379> SELECT 0
OK
192.168.1.21:6379> KEYS *     #创建的key为nginx_log
1) "nginx_log"
192.168.1.21:6379> LLEN nginx_log
(integer) 7166             #可以看到redis的nginx_log中有7166条数据未被消费

  可以看到在Redis中只有7167条数据被写入,说明Filebeat只采集了error.log的日志数据。


3.查看Logstash日志,输出从Redis消费并处理的日志数据

[root@es-master21 mnt]# docker-compose logs -f logstash
...
...
logstash              |        "message" => 2021/10/21 15:27:19 [error] 27216#0: *357254 open() "/usr/local/nginx/html/dist/.well-known/security.txt" failed (2: No such file or directory), client: 11.64.24.136, server: localhost, request: "GET /.well-known/security.txt HTTP/1.1", host: "32.91.142.93", referrer: "http://32.91.142.93/.well-known/security.txt"
logstash              | }
logstash              | {
logstash              |            "log" => {
logstash              |           "file" => {
logstash              |             "path" => "/var/log/nginx/error.log"      #可以看到采集的日志为error.log
logstash              |         },
logstash              |         "offset" => 1863165
logstash              |     },
logstash              |     "@timestamp" => 2021-12-27T09:22:37.192Z,
logstash              |           "host" => {
logstash              |         "name" => "7fddb131a96b"
logstash              |     },
logstash              |         "fields" => {
logstash              |         "source" => "nginx-error-21"
logstash              |     },
logstash              |       "@version" => "1",
logstash              |          "input" => {
logstash              |         "type" => "log"
logstash              |     },
logstash              |            "ecs" => {
logstash              |         "version" => "1.6.0"
logstash              |     },
logstash              |          "agent" => {
logstash              |             "hostname" => "7fddb131a96b",
logstash              |              "version" => "7.10.1",
logstash              |                 "name" => "7fddb131a96b",
logstash              |                   "id" => "95b7e319-228c-4eed-b9c8-26fad0c59d3b",
logstash              |                 "type" => "filebeat",
logstash              |         "ephemeral_id" => "76ec6bc4-39e9-4364-94fb-20f0a7f49122"
logstash              |     },
......
......

4.查看Elasticsearch集群中由Logstash写入了多少条日志数据

1.png2.png

5.访问Kibana并创建索引模式,展示ES中的Nginx日志数据

3.png4.png

结论:


  当我们的Nginx日志文件大小超过在filebeat.yml文件中限制的日志最大值时,Filebeat在采集日志时是不会采集超过限制大小的日志文件的。


- 验证2:


  将Nginx的access.log日志切割一部分,让其小于filebeat.yml文件中限制的20M,再验证采集结果。


1.切割access.log日志文件


  由于是测试,我就直接将access.log日志备份后删除部分内容,让其小于20M。(推荐用脚本和信号对Nginx日志进行自动切割)

[root@es-master21 mnt]# ll -h /var/log/nginx/
总用量 19M
-rwxr-xr-x. 1 root root  17M 12月 30 09:09 access.log
-rwxr-xr-x. 1 root root 1.8M 12月 30 08:58 error.log

2.查看Logstash日志,输出从Redis消费并处理的日志数据

[root@es-master21 mnt]# docker-compose logs -f logstash
...
...
logstash              |        "message" => "42.75.14.10 - - [06/Aug/2021:07:16:41 +0800] \"HEAD /\\xD7\\xEE\\xD0\\xC2.txt HTTP/1.1\" 301 0 \"-\" \"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)\""
logstash              | }
logstash              | {
logstash              |            "log" => {
logstash              |           "file" => {
logstash              |             "path" => "/var/log/nginx/access.log"
logstash              |         },
logstash              |         "offset" => 61173368
logstash              |     },
logstash              |     "@timestamp" => 2021-12-30T01:08:23.839Z,
logstash              |           "host" => {
logstash              |         "name" => "7fddb131a96b"
logstash              |     },
logstash              |         "fields" => {
logstash              |         "source" => "nginx-access-21"
logstash              |     },
logstash              |       "@version" => "1",
logstash              |          "input" => {
logstash              |         "type" => "log"
logstash              |     },
logstash              |          "agent" => {
logstash              |             "hostname" => "7fddb131a96b",
logstash              |              "version" => "7.10.1",
logstash              |                 "name" => "7fddb131a96b",
logstash              |                   "id" => "95b7e319-228c-4eed-b9c8-26fad0c59d3b",
logstash              |                 "type" => "filebeat",
logstash              |         "ephemeral_id" => "2d9ae3f6-e506-4332-a986-dff8b4aa5e47"
logstash              |     },
logstash              |            "ecs" => {
logstash              |         "version" => "1.6.0"
logstash              |     },

3.查看Elasticsearch集群中由Logstash写入了多少条日志数据

5.png

4.访问Kibana并创建索引模式,展示ES中的Nginx日志数据

6.png7.png结论:


  在我们将Nginx的access.log日志切割一部分,让其小于filebeat.yml文件中限制的20M后,Filebeat马上就开始采集并写入Redis中供Logstash消费,然后再写入ES集群中,最后由Kibana展示出来。


文章标签:
日志服务
检索分析服务 Elasticsearch版
云数据库 Tair(兼容 Redis)
应用服务中间件
nginx
NoSQL
Redis
索引
关键词:
日志服务采集
日志服务应用
采集日志服务
filebeat日志服务
filebeat采集日志服务
相关实践学习
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
非著名运维
目录
相关文章
游客wkqymr43luqiu
|
4月前
|
数据采集 存储 大数据
大数据之路:阿里巴巴大数据实践——日志采集与数据同步
本资料全面介绍大数据处理技术架构,涵盖数据采集、同步、计算与服务全流程。内容包括Web/App端日志采集方案、数据同步工具DataX与TimeTunnel、离线与实时数仓架构、OneData方法论及元数据管理等核心内容,适用于构建企业级数据平台体系。
游客wkqymr43luqiu
303 1
阿里云云原生
|
2月前
|
SQL 人工智能 监控
SLS Copilot 实践:基于 SLS 灵活构建 LLM 应用的数据基础设施
本文将分享我们在构建 SLS SQL Copilot 过程中的工程实践,展示如何基于阿里云 SLS 打造一套完整的 LLM 应用数据基础设施。
阿里云云原生
470 50
探索云世界
|
5月前
|
存储 运维 开发工具
警惕日志采集失败的 6 大经典雷区:从本地管理反模式到 LoongCollector 标准实践
本文总结了日志管理中的六大反模式及优化建议,涵盖日志轮转、存储选择、并发写入等常见问题,帮助提升日志采集的完整性与系统可观测性,适用于运维及开发人员优化日志管理策略。
探索云世界
147 5
赵渝强老师
|
9天前
|
数据采集 缓存 大数据
【赵渝强老师】大数据日志采集引擎Flume
Apache Flume 是一个分布式、可靠的数据采集系统,支持从多种数据源收集日志信息,并传输至指定目的地。其核心架构由Source、Channel、Sink三组件构成,通过Event封装数据,保障高效与可靠传输。
赵渝强老师
72 1
蓝易云
|
2月前
|
存储 Kubernetes 监控
Kubernetes日志管理:使用Loki进行日志采集
通过以上步骤,在Kubernetes环境下利用LoKi进行有效率且易于管理地logs采集变成可能。此外,在实施过程中需要注意版本兼容性问题,并跟进社区最新动态以获取功能更新或安全补丁信息。
蓝易云
151 16
墨祤
|
3月前
|
存储 缓存 Apache
StarRocks+Paimon 落地阿里日志采集:万亿级实时数据秒级查询
A+流量分析平台是阿里集团统一的全域流量数据分析平台,致力于通过埋点、采集、计算构建流量数据闭环,助力业务提升流量转化。面对万亿级日志数据带来的写入与查询挑战,平台采用Flink+Paimon+StarRocks技术方案,实现高吞吐写入与秒级查询,优化存储成本与扩展性,提升日志分析效率。
墨祤
378 1
阿里云云原生
|
4月前
|
JSON 安全 网络安全
LoongCollector 安全日志接入实践:企业级防火墙场景的日志标准化采集
LoonCollector 是一款轻量级日志采集工具,支持多源安全日志的标准化接入,兼容 Syslog、JSON、CSV 等格式,适用于长亭 WAF、FortiGate、Palo Alto 等主流安全设备。通过灵活配置解析规则,LoonCollector 可将原始日志转换为结构化数据,写入阿里云 SLS 日志库,便于后续查询分析、威胁检测与合规审计,有效降低数据孤岛问题,提升企业安全运营效率。
阿里云云原生
231 0
叮叮当当就是我
|
4月前
|
存储
WGLOG日志管理系统可以采集网络设备的日志吗
WGLOG日志审计系统提供开放接口,支持外部获取日志内容后发送至该接口,实现日志的存储与分析。详情请访问:https://www.wgstart.com/wglog/docs9.html
叮叮当当就是我
93 0
阿里云云原生
|
6月前
|
监控 容灾 算法
阿里云 SLS 多云日志接入最佳实践:链路、成本与高可用性优化
本文探讨了如何高效、经济且可靠地将海外应用与基础设施日志统一采集至阿里云日志服务(SLS),解决全球化业务扩展中的关键挑战。重点介绍了高性能日志采集Agent(iLogtail/LoongCollector)在海外场景的应用,推荐使用LoongCollector以获得更优的稳定性和网络容错能力。同时分析了多种网络接入方案,包括公网直连、全球加速优化、阿里云内网及专线/CEN/VPN接入等,并提供了成本优化策略和多目标发送配置指导,帮助企业构建稳定、低成本、高可用的全球日志系统。
阿里云云原生
696 54

热门文章

最新文章

  • 1
    Python日志模块配置:从print到logging的优雅升级指南
  • 2
    SQL日志优化策略:提升数据库日志记录效率
  • 3
    局域网网络监控软件的设备连接日志哈希表 C++ 语言算法
  • 4
    16 倍性能提升,成本降低 98%! 解读 SLS 向量索引架构升级改造
  • 5
    【赵渝强老师】大数据日志采集引擎Flume
  • 6
    防止员工泄密软件中文件访问日志管理的 Go 语言 B + 树算法
  • 7
    搭建ELK日志收集,保姆级教程
  • 8
    SLS Copilot 实践:基于 SLS 灵活构建 LLM 应用的数据基础设施
  • 9
    Spring Boot配置优化:Tomcat+数据库+缓存+日志,全场景教程
  • 10
    基于docker搭建监控系统&日志收集
  • 1
    AWK在网络安全中的高效应用:从日志分析到威胁狩猎
    144
  • 2
    警惕日志采集失败的 6 大经典雷区:从本地管理反模式到 LoongCollector 标准实践
    798
  • 3
    Aipy实战:分析apache2日志中的网站攻击痕迹
    137
  • 4
    【Application Insights】Application Insights存储的Function App的日志存在"Operation Link" 为空的情况
    113
  • 5
    StarRocks+Paimon 落地阿里日志采集:万亿级实时数据秒级查询
    498
  • 6
    日志与追踪的完美融合:OpenTelemetry MDC 实践指南
    389
  • 7
    MySQL日志分析:binlog、redolog、undolog三大日志的深度探讨。
    243
  • 8
    阿里云发布可观测MCP!支持自然语言查询和分析多模态日志
    639
  • 9
    兄弟,你还在翻日志看故障?AI都快替你写日报了!
    365
  • 10
    Tomcat运行日志字符错乱/项目启动时控制台日志乱码问题
    1102

    • 相关课程

    更多
  • 基于MongoDB构建实时日志分析平台
  • 日志服务SLS 构建可观测体系实战
  • 日志服务 SLS 可观测数据分析平台介绍
  • 大数据知识图谱系列—基于ELK+Flink日志全观测最佳实践
  • 场景实践-基于阿里云Quick BI 对MOOC网站日志分析

    • 相关电子书

    更多
  • PostgresChina2018_赖思超_PostgreSQL10_hash索引的WAL日志修改版final
  • Kubernetes下日志实时采集、存储与计算实践
  • 日志数据采集与分析对接
    • 下一篇
    开通oss服务