#### 请先看看结尾的坑
### logstash注意事项
- ##### logstash可以启动多个端口接收数据
- ##### 重启logstash可能会卡住,一般由于输出到其他服务导致(Reids服务没启动,验证没通过),一般会选择kill
- ##### 执行前先检查语法,并前台测试启动
#### 检查logstash语法
```shell
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system.conf -t
# logstash前台启动
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system.conf
```
测试阶段可以将收集的日志输出到本地文件中,调试后发往目标
### 收集日志,存储在本地文件
```shell
#cat /etc/logstash/conf.d/system.conf
input{
file {
type => "systemlog"
path => "/var/log/messages"
start_position => "beginning"
stat_interval => "5"
}
}
output {
file {
path => "/tmp/systemlog.log"
}
}
```
### 使用logstash收集系统messages日志
文件无权限报错
```shell
[2017-08-29T16:50:00,834][INFO ][logstash.pipeline ] Pipeline main started
[2017-08-29T16:50:00,852][WARN ][logstash.inputs.file ] failed to open /var/log/messages: Permission denied - /var/log/messages
[2017-08-29T16:50:00,886][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
```
```shell
#系统日志,默认600,会报错
chmod 644 /var/log/messages
```
#### logstash中增加配置(/etc/logstash/conf.d/systemlog.conf)
```shell
#cat /etc/logstash/conf.d/system.conf
input{
file {
type => "systemlog"
path => "/var/log/messages"
start_position => "beginning"
stat_interval => "5"
}
}
output{
elasticsearch{
hosts => ["192.168.0.231:9200"]
index => "logstash-systemlog-%{+YYYY.MM.dd}"
}
}
```
### logstash收集Nginx日志
#### Nginx配置成Json格式日志
配置摘自[jack.zhang的博客](http://www.cnblogs.com/zhang-shijie/p/5384624.html "jack.zhang的博客"),感谢分享
```json
log_format logstash_json '{"@timestamp":"$time_local",'
'"remote_addr":"$remote_addr",'
'"remote_user":"$remote_user",'
'"body_bytes_sent":"$body_bytes_sent",'
'"request_time":"$request_time",'
'"status":"$status",'
'"request":"$request",'
'"request_method":"$request_method",'
'"http_referrer":"$http_referer",'
'"body_bytes_sent":"$body_bytes_sent",'
'"http_x_forwarded_for":"$http_x_forwarded_for",'
'"http_user_agent":"$http_user_agent"}';
access_log /var/log/nginx/access.log logstash_json;
```
json日志
```json
{
"@timestamp": "30/Aug/2017:10:18:59 +0800",
"remote_addr": "192.168.2.64",
"remote_user": "-",
"body_bytes_sent": "0",
"request_time": "0.000",
"status": "304",
"request": "GET /nginxweb/ HTTP/1.1",
"request_method": "GET",
"http_referrer": "-",
"http_x_forwarded_for": "-",
"http_user_agent": "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
}
```
logstash中增加配置(/etc/logstash/conf.d/nginx.conf)
```json
input {
file {
path => "/var/log/nginx/access.log"
type => "nginx-accesslog"
start_position => "beginning"
}
}
output {
if [type] == "nginx-accesslog" {
elasticsearch {
hosts => ["192.168.0.231:9200"]
index => "nginx-accesslog-%{+YYYY.MM.dd}"
}
}
}
```
### logstash收集Tomcat访问日志
#### 配置Tomcat日志为Json格式
配置摘自[jack.zhang的博客](http://www.cnblogs.com/zhang-shijie/p/5384624.html "jack.zhang的博客"),感谢分享
#### 修改tomcat/conf/server.xml结尾部分的日志配置
修改日志名称,结尾格式,和pattern
```xml
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="tomcat_access" suffix=".log"
pattern="{"client":"%h","client user":"%l", "authenticated":"%u", "access time":"%t", "method":"%r", "status":"%s","send bytes":"%b","Query?string":"%q","partner":"%{Referer}i","Agent version":"%{User-Agent}i"}"/>
```
重启Tomcat,查看日志格式
```json
{
"client": "192.168.2.64",
"client user": "-",
"authenticated": "-",
"access time": "[31/Aug/2017:09:48:29 +0800]",
"method": "GET /web/index.html HTTP/1.1",
"status": "304",
"send bytes": "-",
"Query?string": "",
"partner": "-",
"Agent version": "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
}
```
logstash中增加配置(/etc/logstash/conf.d/tomcat.conf)
```json
input{
file {
path => "/app/tomcat1/logs/tomcat_access.*.log"
type => "tomcatlog"
start_position => "beginning"
stat_interval => "5"
}
}
output{
if[type] == "tomcatlog" {
elasticsearch {
hosts => ["192.168.0.231:9200"]
index => "tomcatlog-%{+YYYY.MM.dd}"
}
}
}
```
### rsyslog收集HAproxy日志,发送到logstash
#### haproxy日志配置
设置HAproxy日志输出到local6
```shell
global
...(略)
log 127.0.0.1 local6 info
...(略)
```
#### rsyslog配置
将local6的所有日志发送到logstash的5555端口
```shell
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
local6.* @@192.168.0.230:5555
```
#### logstash配置
```shell
input {
syslog {
type => "rsyslog-haproxy-8888"
port => "5555"
}
}
output{
if [type] == "rsyslog-haproxy-8888" {
elasticsearch {
hosts => ["192.168.0.232:9200"]
index => "haproxy-%{+YYYY.MM.dd}"
}
}
}
```
### 一个logstash配置文件中,收集多个日志,建立不同索引
#### logstash中增加配置(/etc/logstash/conf.d/systemlog.conf)
```shell
input{
file {
#定义type类型,用于输出判断
type => "systemlog"
path => "/var/log/messages"
start_position => "beginning"
stat_interval => "5"
}
file {
path => "/var/log/lastlog"
#定义type类型,用于输出判断
type => "system-last"
start_position => "beginning"
stat_interval => "5"
}
}
output{
#判断输入类型,输出不同索引名称
if [type] == "systemlog" {
elasticsearch{
hosts => ["192.168.0.231:9200"]
index => "logstash-systemlog-%{+YYYY.MM.dd}"
}
}
#判断输入类型,输出不同索引名称
if [type] == "system-last" {
elasticsearch {
hosts => ["192.168.0.231:9200"]
index => "logstash-lastlog-%{+YYYY.MM.dd}"
}
}
}
```
### logstash收集beats组件信息,并转发到不同的目标
```shell
input {
beats {
port => 5044
}
}
output {
if [type] == "web02-tomcat-info" {
redis {
host => ["192.168.0.106"]
data_type => "list"
db => "3"
key => "web02-tomcat-info"
port => "6400"
password => "123456"
batch => "true"
}
}
if [type] == "web02-tomcat-error" {
elasticsearch {
hosts => ["192.168.0.231:9200"]
index => "web02-tomcat-error"
}
}
}
```
### logstash消费redis中的日志
```shell
input {
redis {
data_type => "list"
db => "3"
host => "192.168.0.106"
port => "6400"
key => "web02-tomcat-info"
password => "123456"
}
}
output {
if [type] == "web02-tomcat-info" {
elasticsearch {
hosts => ["192.168.0.231:9200"]
index => "tomcat-info-%{+YYYY.MM.dd}"
}
}
}
```
### 跳坑
#### 坑1. A数据,写入到了B索引中,造成数据混乱
##### ELK版本: 5.5.2
现状描述:logstash的配置中,如果有A日志配置中使用了if [type]判断,B日志收集配置未指定if[type],那么,B的索引中,会写入A中的数据(如果有C配置,设置了if[type],C的数据也会写入到B中)
目前只判断了type,其他判断未测试
结论:如果logstash中使用了if[type]判断,所有配置中都要使用判断
#### 坑2. 644也无法读取日志
也许有时候需要777,rpm装的nginx,日志目录和文件644也没权限读
nginx(rpm)日志权限
```shell
Nginx yum安装,日志位置:/var/log/nginx/access.log
/var/log/nginx/权限为700
/var/log/nginx/access.log权限为644
以上情况获取不到日志
把/var/log/nginx权限调整为644,依然获取不到日志,直到调整为777,获取日志正常。
```
- 献给乐于奉献的你
- 一、工作感悟
- 1.1 工作感悟
- 1.2 数据库工作总结
- 二、运维专题(非技术)
- 2.1 公有云运维
- 2.1.1 阿里云采坑记.md
- 三、运维专题(技术类)
- 3.1 Linux(操作系统)
- 3.1.1 常见工作总结
- 3.1.2 常见服务使用和部署
- 3.1.3 操作系统优化
- 3.1.4 常用命令(Centos8)
- 3.2 Docker & K8s(容器技术)
- 3.2.1 Docker
- 1. Docker
- 1-1 容器基础
- 1-2 部署和加速
- 1-3 常用命令
- 1-4 Dockerfile编写
- 1-5 容器网络
- 1-6 数据持久化
- 2. docker-compose
- 2-1 基础
- 3.2.2 kubernetes
- 1. 导读-请先看我
- 2. kubeadm部署集群
- 1-1 k8s-1.14-基于calico
- 1-2 k8s-1.17-基于flanne
- 3. 二进制部署集群
- 4. 日常工作及故障处理
- 4-1 常用命令
- 4-2 故障处理
- 3.2.3 依赖服务部署
- 1. Harbor(镜像仓库)
- 1-1 harbor-2.1.0(单节点)
- 3.3 CICD(持续集成/部署)
- 3.3.1 GitLab
- 1. 服务部署
- 1-1 Gitlab-CE-13.3.4(单节点)
- 2. Git基础
- 3.3.2 Ansible
- 1. 服务部署
- 1-2 ansible-2.5(pip部署)
- 3. ansible-playbook
- 3-1 基于Roles的Playbook
- 3-3 循环语法
- 3.3.3 Jnekins
- 1. Jenkins部署
- 1-1 Jenkins-2.65部署
- 1-2 Jenkins-2.249部署
- 2. Jenkins项目初始化
- 3. Jenkins集成
- 3-1 Jenkins-2.65集成Sonar
- 3.4 LB/HA(负载均衡,反向代理)
- 3.4.1 LVS+Keepalive
- 1. LVS为MySQL读提供负载均衡
- 3.4.2 Pacemaker(HA)
- 1. 常用命令(转)
- 3.5 Runtime(代码运行环境)
- 3.5.1 Tomcat(Web中间件)
- 1. Tomcat部署手册
- 1-1 Tomcat-7.0.76部署
- 2. Tomcat常用脚本
- 3.6 NoSQL(非关系型数据库)
- 3.6.1 redis(非关系数据库)
- 1. Redis 基础
- 2. Redis 4.0变化
- 3. Codis实现Redis的集群
- 4. Redis故障处理
- 5. redis安全第一步
- 6. Redis集群搭建
- 7. CacheCloud部署
- 3.6.1 Redis挑战
- 3.6.2 MongoDB(文档数据库)
- 1. Mongodb基础
- 1-1 Mongodb4.0新特性
- 1-2 支持多大数据量
- 2. Mongodb安装
- 2-1 Mac OS安装Mongodb
- 2-2 Yum安装Mongodb
- 2-3 二进制安装Mongodb
- 2-4 docker容器安装Mongodb
- 2-5 Mongodb 配置文件详解
- 2-6 Mongodb 生产安全清单
- 2-7 用户身份认证和授权
- 3. Mongodb副本集
- 3-1 副本集搭建
- 3-2 用户身份认证与授权
- 4. 日常维护工作
- 4-1 Mongodb磁盘回收
- 4-2 Mongodb备份恢复到任意时间点
- 4-3 Mongodb慢查询分析
- 4-4 Mongodb版本升级
- 4-5 Mongodb副本集成员状态
- 4-6 Mongodb备份恢复工具使用
- 4-7 Mongodb服务启动和停止
- 4-8 修改副本集成员oplog大小
- 4-9 Mongodb 副本集Oplog
- 3.7 MQ(消息队列)
- 3.7.1 Zookeeper(分布式协调系统)
- 1. ZooKeeper基础
- 2. ZooKeeper集群搭建
- 2-1 ZK-3.4.10部署
- 3.2 RabbitMQ(消息队列)
- 1. 服务部署
- 1-1 RabbitMQ-3.8部署
- 2. 常用命令
- 3.8 Monitor(数据收集,监控)
- 3.8.1 Zabbix(运维监控)
- 1. 服务部署
- 1-1 服务端部署
- 1-2 客户端部署
- 2. 监控服务
- 2-1 监控Apache
- 2-2 监控IIS
- 2-3 监控Ningx
- 2-4 监控Tomcat(6/7/8)
- 2-5 监控WebSphere 7
- 2-6 监控MySQL
- 2-7 监控Oracle
- 2-8 监控SQL Servre
- 2-9 监控Weblogic
- 2-10 监控Windows
- 2-11 自定义监控项
- 3. 告警推送
- 3-1 邮件告警
- 3-2 短信告警
- 3-3 告警推到Syslog
- 4. 日常工作
- 4-1 数据库优化(TokuDB)
- 4-2 数据库优化(分区表)
- 4-3 前端定制(Grafana)
- 5. 与Grafana结合
- 3.8.2 ELKBstack(日志收集展示)
- 1. 服务部署
- 1-1 ELK 5.5部署及配置
- 1-1-1 ELKBstack介绍
- 1-1-2 Elasticsearch部署
- 1-1-3 Logstash部署
- 1-1-4 Kibana部署
- 1-1-5 X-pack部署
- 1-1-6 Filebeat部署
- 2. ELK高级配置
- 1. Elasticsearch实战
- 2. Logstash实战
- 3. Filebeat实战
- 5. 引入队列
- 3.9 Virtualization(虚拟化)
- 3.10 Basic(基础服务)
- 3.10.1 Piwik-Matomo(用户行为分析)
- 1. Piwik前期分析
- 2. Piwik介绍和部署
- 2-1 Piwik-3.x版本(早期)
- 3. Piwik 功能配置
- 4. Piwik 模拟数据和压测
- 5. Piwik运转原理
- 6. Piwik数据库模式(一)
- 6-1 第一部分
- 6-2 第二部分
- 3.10.2 Cobbler(系统自动部署)
- 1. Cobbler 可以干什么?
- 2. Cobbler 基础原理
- 3. Cobbler 安装
- 3-1 Cobbler-2.8部署
- 4. Cobbler 基础配置
- 5. Cobbler 配置文件
- 6. 一键优化脚本
- 3.10.3 Rsync(数据同步服务)
- 1. Rsync基础
- 2. 案例:页面部署(服务端拉取)
- 3.10.4 NFS(共享存储)
- 1. NFS部署手册
- 2. 客户端NFS备份脚本
- 3.10.5 Grafana(可视化)
- 1. 安装(8.2.x)
- 3.11 Tools(软件工具)
- 3.11.1 基准测试
- 1. 基准测试方法论
- 2. 压测工具 - Siege
- 3. 压测工具 - http_load
- 3.12 DB(关系型数据库)
- 3.12.1 MySQL(关系数据库)
- 1. MySQL部署
- 1-1 MySQL-5.7部署
- 1-2 Percona-5.7 + TokuDB 部署
- 2. MySQL复制
- 2-1 MySQL异步复制
- 3. MySQL备份恢复
- 3-1 xtrabackup 备份恢复
- 4. MySQL 高可用
- 4-1 MHA(HA)
- 4-1-1 MHA 架构介绍和原理
- 4-1-2 MHA日常管理
- 4-1-3 MHA 自动Failover
- 4-1-4 MHA常用参数
- 4-1-5 MHA 报错
- 4-1-6 MHA相关配置文件和脚本
- 4-2 MyCAT
- 4-2-1 MyCAT 介绍和部署
- 4-1-3 MyCAT读写分离案例解析
- 5. MySQL 常用脚本
- 5-1 MySQL常用统计语句
- 5-2 MySQL性能分析脚本
- 6. MySQL 日常及故障处理
- 6-1 MySQL死锁排查
- 6-2 复制故障
- 6-3 MySQL 升级注意事项
- 6-3 MySQL授权
- 3.12.2 Oracle(关系数据库)
- 1. Oracle部署
- 1-1 Oracle11g单实例部署
- 1-2 Oracle12c单实例部署
- 2. Oracle常用脚本
- 3. Oracle 知识点
- 六、Ansible开源项目
- 6.1 项目初始化手册
- 6.1.1 Ansible错误处理
- 6.1.2 一种预先判断是否操作的方法
- 6.2 System初始化
- 6.3 Nginx/Tnginx部署
- 6.4 Python部署
- 6.5 PHP部署
- 6.6 MySQL部署
- 6.7 Docker部署
- 6.8 Haproxy部署
- 6.9 Redis部署
- 1. 变量和tags信息
- 3. Redis主从部署
- 4. Redis集群部署
- 5. 清理数据
- 6.10 Software软件部署
- 6.11 Zabbix部署
- 6.12 Elastic部署
- 6.13 Tomcat
- 6.14 Kafka部署
- 6.15 Zookeeper部署
- 6.16 Etcd集群部署
- 6.17 M3DB部署
- 6.18 Pormetheus部署
- 七、学习资源推荐
- 八、从瞎搞到放弃
- 8.1 CodeQL(语义代码分析引擎)
- 8.1.1 背景及计划
- 8.1.2 CodeQL概述
- 8.1.3 简单部署和使用
- 8.1.4 后续
- 8.2 dbdeployer(轻松部署MySQL)
- 归档笔记
- 三、常用服务部署(迁移中)
- 3.4 Nginx & PHP(Web服务)
- 3.4.1 Nginx(Web)
- 1. Nginx基础和部署
- 2. Nginx 我的一些思考
- 3. Nginx(Web)配置
- 4. Nginx(Proxy)配置
- 5. Nginx日常管理
- 3.4.3 PHP
- 1. PHP 7.1 部署
- 2. PHP5.6 部署
- 4. PHP原理
- 5. PHP 常用模块
- 二、运维项目实战(迁移中)
- 2.1 标准化 & 工具化项目
- 2.1.1 系统部署和优化
- 2.1.5 全网日志收集展示平台项目
- 1. 项目需求
- 2. 整体方案规划
- 3. 日志收集配置
- 4. 消息缓冲队列
- 5. 日志处理转发
- 6. 日志数据展示(待补充)
- 7. ELK安全配置(上)
- 8. ELK安全配置(下)
- 9. 项目总结
- 2.2 高性能Web项目
- 2.2.1 网站需求(完善中)