整体流程--filebeat收集日志后 kibana对收集的filebear日志做可持续化的分析
在上文中 可以登陆kibana的logs界面搜索相关日志信息 不知道大家发现没有 搜索相关关键字时 往往搜索结果都不一样 命中率比较低 究其原因 没有为日志进行索引规则的匹配
1.filebeat收集日志
2.kibana+elasticsearch正常启动
3.kibana配置
1.Home--Analytics--discover--正常该目录下是没有任何配置的(导入系统的飞行数据和web log除外)
2.在devtools内 运行GET _cat/indices?v命令 如果有filebeat-7.15.日期的前缀命名的索引代表是我们的filebeat所监控的日志文件--可以执行第三步
3.Home--Management--stack management--kibana--index patterns目录--create index pattern
成功匹配到对应索引 最终选择create index pattern完成加载即可
.验证--回到最开始第一点的路径 home/analytics/discover--选中自己想查询的索引文件 如下图
5.只显示对应的相关行(只显示日志内容 其他非关键信息不要显示)--使用左侧selected fields和available fields来配合筛选
6.配合筛选相关词项---search--message:"RedisKeyExpirationListener"--会命中对应的关键字
filebeat对目录下的文件实时获取实时发送到elasticsearch
elasticsearch对数据进行检索 存储 分析
kibana对数据进行可视化及展现
大家可以通过此处配置对日志文件进行分析 减少cat grep less tail 等命令的使用了
4.查看某条日志的上下文数据--例如上下100条日志
使用kibana--discover
既可以完成对某条日志上下相关行数内日志的搜索了--这个比较便捷 避免输入命令了