Filebeat modules 你真正理解了吗?

最新推荐文章于 2025-06-02 09:18:23 发布
原创 最新推荐文章于 2025-06-02 09:18:23 发布 · 6.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Filebeatmodules在日志收集、解析及可视化的应用,通过实例演示如何配置Nginx模块以采集特定日志,并对比了不同输出方式对日志格式的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

定义

Filebeat modules 简化了公共日志格式的收集、解析和可视化。一个典型的模块(例如,对于Nginx日志)是由一个或多个fileset组成的(以Nginx为例,access 和 error)。

一个fileset包含以下内容:

  • Filebeat 输入配置,其中包含要默认的查找或者日志文件路径。这些默认路径取决于操作系统。Filebeat配置还负责在需要的时候拼接多行事件。
  • Elasticsearch Ingest Node 管道定义,用于解析日志行。
  • 字段定义,用于为每个字段在Elasticsearch中配置正确类型。它们还包含每个字段的简短描述。
  • 简单的Kibana dashboards,用于可视化日志文件。

Filebeat会根据你的环境自动调整这些配置,并将它们加载到相应的 Elastic stack 组件中。Filebeat提供了一组预先构建的模块,你可以使用这些模块快速实现并部署一个日志监控解决方案,包括样例指示板和数据可视化,节省了你配置的时间。这些模块支持常见的日志格式,如Nginx、Apache2和MySQL等。

官方文档:

        https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-module-nginx.html

需求

比如我们有这样一个需求,我们需要把 Nginx的 access 日志采集到ElasticSearch,并且能细粒度化的控制。换句话说 我们需要切分Nginx的日志,比如 remote_addr,upstream_response_time 等需要切成JSON格式。

分析

对于这个需求,我们自然想到如下几个方案:

(1) 把 Access日志 定义成 logstash_json,那样数据流到es的时候自然是json格式。形如:

log_format logstash_json '{  "timestamp": "$time_local", '
                         '"remote_addr": "$remote_addr", '
                         '"status": "$status", '
                         '"request_time": "$request_time", '
                         '"upstream_response_time": "$upstream_response_time", '
                         '"body_bytes_sent":"$body_bytes_sent", '
                         '"request": "$request", '
                         '"http_referrer": "$http_referer", '
                         '"upstream_addr": "$upstream_addr", '
                         '"http_x_real_ip": "$http_x_real_ip", '
                         '"http_x_forwarded_for": "$http_x_forwarded_for", '
                         '"http_user_agent": "$http_user_agent",'
                         '"request_filename": "$request_filename" }';

(2) 我们可以通过Logstash 的Grok模块去实现。

 以上两种方法也是我们常用的,但是今天我们直接使用内置 Filebeat modules  的Nginx模块来实现

解决

 Filebeat  modules 常用命令:

./filebeat modules list   # 显示所有模块
./filebeat modules -h  # 显示modules帮助命令
./filebeat -h  # 显示帮助命令
./filebeat modules enable nginx  # 启用指定模块
./filebeat -e  # 前台执行

       当我们启用Nginx的模块的时候,modules下的后缀自动去掉了。

[www@me03 modules.d]$ pwd
/opt/application/elk/test-filebeat/modules.d
[www@me03 modules.d]$ ls
apache.yml.disabled         googlecloud.yml.disabled  kibana.yml.disabled    netflow.yml.disabled     redis.yml.disabled
auditd.yml.disabled         haproxy.yml.disabled      logstash.yml.disabled  nginx.yml                santa.yml.disabled
cisco.yml.disabled          icinga.yml.disabled       mongodb.yml.disabled   osquery.yml.disabled     suricata.yml.disabled
coredns.yml.disabled        iis.yml.disabled          mssql.yml.disabled     panw.yml.disabled        system.yml.disabled
elasticsearch.yml.disabled  iptables.yml.disabled     mysql.yml.disabled     postgresql.yml.disabled  traefik.yml.disabled
envoyproxy.yml.disabled     kafka.yml.disabled        nats.yml.disabled      rabbitmq.yml.disabled    zeek.yml.disabled
[www@me03 modules.d]$

我们编辑 nginx.yml ,指定采集的nginx的日志路径:

# Module: nginx
# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.3/filebeat-module-nginx.html

- module: nginx
  # Access logs
  access:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/home/data/logs/www.qq.cn/*.access.log"]

  # Error logs
  error:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths

本文博客地址: https://blog.csdn.net/knight_zhou/article/details/105412501

尝试方案一: 

我们把Filelebeat 采集的数据往Logstash去,再看看是否正常解析,标准输出是否正常。Logstash的配置如下:

input {
    beats {
        port => "5044"
    }
}


filter {

}

output {
        stdout { codec => rubydebug } 

}

结果输出如下:

{
       "message" => "[02/Jan/2020:20:32:24 +0800] 192.168.106.162 200 0.000 - 10 \"GET / HTTP/1.1\" \"-\" - - \"-\"  curl/7.29.0\" /home/data/webroot/www.qq.cn/xxooo.html ",
         "event" => {
          "module" => "nginx",
         "dataset" => "nginx.access",
        "timezone" => "+08:00"
    },
    "@timestamp" => 2020-04-09T08:13:09.487Z,
         "input" => {
        "type" => "log"
    },
          "host" => {
        "name" => "me03"
    },
       "fileset" => {
        "name" => "access"
    },
         "agent" => {
            "hostname" => "me03",
                  "id" => "2046309e-6157-4114-890a-65dc8142264b",
        "ephemeral_id" => "b6e4a023-cc9a-4257-9d45-7f710d2d3425",
             "version" => "7.3.0",
                "type" => "filebeat"
    },
           "log" => {
          "file" => {
            "path" => "/home/data/logs/www.qq.cn/www.qq.cn.access.log"
        },
        "offset" => 4702
    },
           "ecs" => {
        "version" => "1.0.1"
    },
      "@version" => "1",
          "tags" => [
        [0] "beats_input_codec_plain_applied"
    ],
       "service" => {
        "type" => "nginx"
    }
}

结果并没有正常切成json。

尝试方案二: 

Filebeat 直接输出ElasticSearch,配置如下:

## 输出到es
output:
  elasticsearch:
    hosts: ["localhost:9200"]

然后执行 ./filebeat setup 生效:

[www@me03 test-filebeat]$ ./filebeat setup
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded machine learning job configurations
Loaded Ingest pipelines

我们再看看ELasticSeach的索引:

Dev Tools 查询ElasticSearch的数据:

创建index pattern,使用filebeat-*,然后在Kibana进行查询该索引结果:

发现并没有把Nginx的日志进行json切割了。

我们再来看看Kibana的Dashboard:

大盘图如下:

这个大盘,我们猜想是在使用 ./filebeat  setup 创建的。

结论  

 从上面的尝试我们得出了结论: Filebeat提供了一组预先构建的模块,但并不是万能的解析你的日志格式,并切成你想要的json格式.

wazuh
Devotedakura的博客
08-20 2517
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
linux内核bug问题排查过程详细报告
热门推荐
BruceWoo的专栏
12-16 3万+
Linux Kernel BUG:soft lockup CPU#1 stuck分析 1.线上内核bug日志 kernel: Deltaway too big! 18428729675200069867 ts=18446743954022816244 write stamp =18014278822746377  kernel:------------[ cut here ]--------
19filebeat使用modules收集nginx日志.md
10-29
19filebeat使用modules收集nginx日志.md
filebeat使用modules模板收集nginx日志(十)
江晓龙的博客
06-30 2716
filebeat使用modules收集nginx日志 1.为什么要使用modules收集日志 modules只是filebeat的一个小功能,由于像mysql、redis等这种日志无发输出成json格式,filebeat无法将收集来的普通日志转换为json格式,从而进行细致的统计 logstash可以做到将普通日志转换成json格式,但是配置十分复杂,且容易出错 介于种种不便,elk官方推出了filebeat modules模块功能,将常用服务的日志转换做成了模板,只需要启动模板,配置日志路径即可将普通文
Elastic Logstash 整合 Filebeat 模块与 Kafka 的完整指南
gitblog_00367的博客
06-02 416
Elastic Logstash 整合 Filebeat 模块与 Kafka 的完整指南 前言 在现代日志处理架构中,Kafka 常被用作消息队列来缓冲和传输日志数据。本文将详细介绍如何配置 Elastic Stack 中的 Logstash 与 Filebeat 模块,通过 Kafka 实现高效的日志收集、处理和可视化方案。 核心组件介绍 Filebeat 模块 Filebeat 模块是预定义的...
Filebeat 使用 Modules 方式收集日志
王清欢的博客
03-11 5328
01 Filebeat模块配置 FilebeatModules配置官方文档:官方配置文档 filebeat配置文件/etc/filebeat/filebeat.yml,配置模块路径 # =========================== Filebeat modules ================================ filebeat.config.modules: # Glob pattern for configuration loading path: ${path.c
ELK之使用filebeat收集系统数据及其他程序并生成可视化图表
abtmh02622的专栏
03-30 280
  当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。   1,安装filebeat rpm -ivh /nas/nas/softs/elk/6.5.4/filebeat-6.5.4-x86_64.rpm   查看模块 [root@pr...
Beats:运用 Filebeat module 分析 nginx 日志
Elastic 中国社区官方博客
09-28 7389
在之前的文章中,我介绍了如何使用Filebeat把一个日志文件直接写入到Elasticsearch中,或通过Logstash的方法写到Elasticsearch中。在今天的文章中,我们来介绍如何运用Filebeat模块来把nginx日志导入到Elasticsearch中,并进行分析。 Filebeat模块为您提供了一种快速处理常见日志格式的快速方法。 它们包含默认配置,Elasticsearch...
filebeat.service - Filebeat sends log files to Logstash or directly to Elasticsearch. Loaded: loaded (/usr/lib/systemd/system/filebeat.service; disabled; vendor preset: disabled) Active: failed (Result: exit-code) since Tue 2025-06-10 16:30:09 CST; 6s ago Docs: https://www.elastic.co/products/beats/filebeat Process: 236601 ExecStart=/usr/share/filebeat/bin/filebeat --environment systemd $BEAT_LOG_OPTS $BEAT_CONFIG_OPTS $BE> Main PID: 236601 (code=exited, status=2) 6月 10 16:30:09 hd-3 filebeat[236601]: cs 0x33 6月 10 16:30:09 hd-3 filebeat[236601]: fs 0x0 6月 10 16:30:09 hd-3 filebeat[236601]: gs 0x0 6月 10 16:30:09 hd-3 systemd[1]: filebeat.service: Main process exited, code=exited, status=2/INVALIDARGUMENT 6月 10 16:30:09 hd-3 systemd[1]: filebeat.service: Failed with result 'exit-code'. 6月 10 16:30:09 hd-3 systemd[1]: filebeat.service: Scheduled restart job, restart counter is at 5. 6月 10 16:30:09 hd-3 systemd[1]: Stopped Filebeat sends log files to Logstash or directly to Elasticsearch.. 6月 10 16:30:09 hd-3 systemd[1]: filebeat.service: Start request repeated too quickly. 6月 10 16:30:09 hd-3 systemd[1]: filebeat.service: Failed with result 'exit-code'. 6月 10 16:30:09 hd-3 systemd[1]: Failed to start Filebeat sends log files to Logstash or directly to Elasticsearch.. ~ 怎么成功启动
06-11
基于您提供的引用信息(尤其是引用[^1]、[^2]和[^3],这些引用提到服务启动失败时常见的提示和错误消息),我理解您的问题是Filebeat服务启动失败,并出现错误代码“exit-code”和状态“2/INVALIDARGUMENT”。...
Exiting: Failed to start crawler: starting input failed: Error while initializing input: Error creating input. No such input type exist:
最新发布
07-20
./filebeat modules enable mysql # 启用mysql模块(如果支持) ``` - 更新程序到最新版本:`sudo apt update && sudo apt upgrade filebeat`(Debian系统)。 - 如果插件缺失,参考工具文档安装依赖。例如,...
TraceId 搭配 ELK ,碉堡了!
Chenhui98的博客
09-17 1533
内容看着比较多,实际很容易实现,但真正生产环境要复杂的多,还需不断思考。
filebeat修改自带modules模版
工具人的博客
11-18 1539
filebeat 更新自带模版
filebeat使用module收集nginx.system日志
爱吃鱼的小明的博客
09-12 438
filebeat 1启用module filebeat modules enable system filebeat modules enable nginx 2.编辑filebeat.yml [filebeat]# cat filebeat.yml filebeat.config.modules: path: ${path.config}/modules.d/system.yml reload.enabled: false output.logstash: hosts: ["10.0.
关于Filebeat模块配置详解
weixin_48226988的博客
12-01 5190
1. 关于Filebeat 当你要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧!Filebeat 将为你提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。 关于Filebeat,记住两点: 轻量级日志采集器 输送至 Elasticsearch 或 Logstash,在 Kibana 中实现可视化 2. Filebeat是如何工作的 Filebeat由两个主要组件组成:inputs 和 harvesters (直译:收割机,采集器)。这些组件一起工作
filebeat使用module收集mysql慢查询日志(十一)
江晓龙的博客
07-07 2024
filebeat使用module收集mysql日志 mysql主要收集慢查询日志和error日志 1.安装mysql 1.安装mysql [root@mysql ~]# yum -y install mariadb-server 2.修改配置文件制定数据存放路径 [root@mysql ~]# vim /etc/my.cnf [mysqld] datadir=/data/mysql socket=/var/lib/mysql/mysql.sock symbolic-links=0 [mysqld_safe
ELK - Filebeats - Modules
chuckchen1222的博客
12-25 442
Filebeat modules 简化了常见日志格式的收集、解析和可视化。 典型的模块(例如,对于Nginx日志)由一个或多个文件集组成(对于Nginx,访问和错误)。文件集包含以下内容:   Filebeat 输入配置,其中包含查找日志文件的默认路径。这些默认路径取决于操作系统。Filebeat配置还负责在需要时将多行事件拼接在一起。 Elasticsearch Ingest Node流...
ELK之Filebeat使用
zc190692107的博客
01-08 1204
ELK 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录ELK前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一
Filebeat-modules 日志分析
Kason_iWiki
01-18 1306
filebeat module 将非结构化数据,转为结构化数据. module logstash filebeat module --> ES. 1. 使用filebeat module采集Nginx日志 (Nginx日志是非结构数据) 1)修改filebeat配置文件 [root@web01 ~]# cat /etc/filebeat/filebeat.yml filebea...
Configuring Filebeat
wxlkeepmoving的专栏
07-06 286
Filebeat modules provide a quick way for you to get started processing common log formats. They contain default configurations, Elasticsearch ingest node pipeline definitions, and Kibana dashboards to...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叱咤少帅(少帅)

如果文章对你有帮助就打赏下吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值