当前位置：首页>数据库>正文

filebeat索引前缀去不掉 filebeat 多索引

数据库2024-04-30 21:52:42

整体流程--filebeat收集日志后 kibana对收集的filebear日志做可持续化的分析

在上文中可以登陆kibana的logs界面搜索相关日志信息不知道大家发现没有搜索相关关键字时往往搜索结果都不一样命中率比较低究其原因没有为日志进行索引规则的匹配

1.filebeat收集日志

2.kibana+elasticsearch正常启动

3.kibana配置

1.Home--Analytics--discover--正常该目录下是没有任何配置的(导入系统的飞行数据和web log除外)

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_kibana,第1张

2.在devtools内运行GET _cat/indices?v命令如果有filebeat-7.15.日期的前缀命名的索引代表是我们的filebeat所监控的日志文件--可以执行第三步

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_elasticsearch_02,第2张

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_可视化_03,第3张

3.Home--Management--stack management--kibana--index patterns目录--create index pattern

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_kibana_04,第4张

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_可视化_05,第5张

成功匹配到对应索引最终选择create index pattern完成加载即可

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_kibana_06,第6张

.验证--回到最开始第一点的路径 home/analytics/discover--选中自己想查询的索引文件如下图

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_可视化_07,第7张

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_elasticsearch_08,第8张

5.只显示对应的相关行(只显示日志内容其他非关键信息不要显示)--使用左侧selected fields和available fields来配合筛选

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_kibana_09,第9张

6.配合筛选相关词项---search--message:"RedisKeyExpirationListener"--会命中对应的关键字

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_filebeat索引前缀去不掉_10,第10张

filebeat对目录下的文件实时获取实时发送到elasticsearch

elasticsearch对数据进行检索存储分析

kibana对数据进行可视化及展现

大家可以通过此处配置对日志文件进行分析减少cat grep less tail 等命令的使用了

4.查看某条日志的上下文数据--例如上下100条日志

使用kibana--discover

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_可视化_11,第11张

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_elasticsearch_12,第12张

filebeat索引前缀去不掉 filebeat 多索引,filebeat索引前缀去不掉 filebeat 多索引_filebeat索引前缀去不掉_13,第13张

既可以完成对某条日志上下相关行数内日志的搜索了--这个比较便捷避免输入命令了