详解EFK搭建过程及ES的生命周期管理

发布时间：2019-10-29 01:05:36 所属栏目：建站来源：波波说运维

导读：副标题#e# 概述今天主要介绍下EFK搭建过程及ES的生命周期管理，平台采用EFK(ElasticSearch-6.6.1 + FileBeat-6.6.2 + Kibana-6.6.1)架构。建议三个组件主次版本保持一致。 EFK概念 EFK采用集中式的日志管理架构 elasticsearch：一个开源分布式搜索引擎，提

/etc/filebeat/filebeat.yml

filebeat.inputs: 
  
# Each - is an input. Most options can be set at the input level, so 
# you can use different inputs for various configurations. 
# Below are the input specific configurations. 
  
- type: log 
  
 # Change to true to enable this input configuration. 
 enabled: true 
  
 # Paths that should be crawled and fetched. Glob based paths. 
 paths: 
 - d:/ams_logs/*.log 
 encoding: gbk 
  
# 输出配置 
output.elasticsearch: 
 # Array of hosts to connect to. 
 hosts: ["ES服务器IP:9200"]

3、重启服务

service filebeat restart

效果图如下：

四、ES生命周期管理

对于日志数据，由于单个索引的存储量的瓶颈，ES一般推荐使用时间作为后缀为同一份日志数据创建多个索引，而用户则通过一个定时器来定时删除过期的索引。ES在6.6之后，在x-pack中推出了索引生命周期管理相关的API来简化与增强类似日志数据索引的管理。该方案基于时间将索引数据分为四个阶段：Hot、Warm、Cold、Delete，对于这四种并给不同的数据阶段，ES也给出了不同的数据处理方式，最终实现日志的生命周期管理

1、策略配置

管理→Index Lifecycle Policies，Create Policy,

2、日志生成

filebeat提供了两种日志生成方式。一般情况下，建议使用默认生成策略

2.1、默认生成策略

打开filebeat配置文件，添加如下内容。使用本方案所对应的策略配置名称，必须为 beats-default-policy

output.elasticsearch: 
 hosts: ["ES服务器IP:9200"] 
 ilm.enabled: true 
 ilm.rollover_alias: "fsl.ams" 
 ilm.pattern: "{now/d}-000001"

2.2、高级生成策略

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

2/4

首页

尾页