官方文档!!!!!!!!!
1.在Filebeat中配置info.log日志文件的路径,以及要将日志发送到Logstash的地址和端口,可以在Filebeat的配置文件
filebeat.yml中添加如下配置:
Copy
filebeat.inputs:
- type: log
paths:- /usr/logs/info.log
fields:
log_type: info
- /usr/logs/info.log
output.logstash:
hosts: ["localhost:5044"]
这里使用filebeat.inputs指定要监控的日志文件路径,使用fields添加一个自定义字段log_type,方便在Logstash中对不同类型的日志进行处理;使用output.logstash指定将日志发送到Logstash的地址和端口。
2.在Logstash中配置input、filter和output,可以在Logstash的配置文件
logstash.yml中添加如下配置:
input {
beats {
port => 5044
}
}
filter {
if [fields][log_type] == "info" {
grok {
match => { "message" => "%{TIME:time} [%{WORD:thread}] %{LOGLEVEL:level} %{JAVACLASS:class} - %{GREEDYDATA:message}" }
}
date {
match => [ "time", "HH:mm:ss.SSS" ]
}
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "logs-%{+YYYY.MM.dd}"
}
}
这里使用input指定从Filebeat接收日志;使用filter对日志进行处理,根据之前在Filebeat中添加的字段log_type判断日志类型,然后使用grok解析日志格式,提取时间、线程、日志级别、类名和消息等信息,使用date将时间字段转换为日期类型;最后使用output将处理后的日志发送到Elasticsearch,索引名为logs-YYYY.MM.dd,根据日期分别创建不同的索引。
3.在Kibana中配置Elasticsearch的地址,以及需要展示的日志类型和字段,可以在Kibana的管理界面中添加索引模式和可视化图表,具体操作可以参考Kibana的官方文档和教程。
这四个组件的配置文件默认位置如下:
1.Elasticsearch
:Elasticsearch的配置文件位于$ES_HOME/config/elasticsearch.yml,其中$ES_HOME是Elasticsearch的安装目录。
2.Logstash:Logstash的配置文件位于
$LS_HOME/config/logstash.yml,其中$LS_HOME是Logstash的安装目录。此外,Logstash还可能包含多个pipeline的配置文件,一般位于$LS_HOME/pipeline目录下。
3.Filebeat:Filebeat的配置文件位于
/etc/filebeat/filebeat.yml或/usr/share/filebeat/filebeat.yml,具体位置取决于操作系统和安装方式。
4.Kibana:Kibana的配置文件位于
$KIBANA_HOME/config/kibana.yml,其中$KIBANA_HOME是Kibana的安装目录。
启动顺序:应该是先启动Elasticsearch,然后启动Logstash,再启动Filebeat,最后启动Kibana。
数据源:filebeat->logstash->es->kibana 启动顺序:先启动Elasticsearch,然后启动Logstash,再启动Filebeat,最后启动Kibana。
5、kibana搜索:(就看分词器怎么分的一个单词)
"发生未知异常"、getQuadrantRank、com.performance.web.controller.index.dashboardperfsearch.DashboardPerfSearchController.getQuadrantRank(认为带点的整个的是一个词)、message : "发生未知异常"、approveTask
