## 一、开启审计日志功能
确保功能开启,并生成出审计日志,具体参考:[开发说明-基础功能-审计日志](https://ihavenolimitations.xyz/zlt2000/microservices-platform/1224748#_94)
![](https://img.kancloud.cn/e0/5a/e05a85e1b42604910de98b9644674fc5_1845x397.png)
## 二、ELK部署
相关信息请查看[统一日志中心详解](https://ihavenolimitations.xyz/zlt2000/microservices-platform/919434)
## 三、定义es索引模板
执行下面的ssh脚本创建`审计日志`的索引模板,ip改为自己的服务器地址
~~~
curl -XPUT http://192.168.28.130:9200/_template/template_audit_log -H 'Content-Type: application/json' -d '
{
"index_patterns" : ["audit-log-*"],
"order" : 0,
"settings" : {
"number_of_replicas" : 0
},
"mappings": {
"doc": {
"properties": {
"operation": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
},
"analyzer": "ik_max_word"
}
}
}
}
}'
~~~
## 四、Logstash配置
### 4.1. 修改10-syslog.conf配置,在filter里增加以下内容
如下图 就不是根据空格,而是 | 号分隔
~~~
if [fields][docType] == "audit-log" {
grok {
patterns_dir => ["/opt/logstash/patterns"]
match => {
"message" => "%{TIMESTAMP_ISO8601:logTime}\|%{MYAPPNAME:appName}\|%{MYTHREADNAME:className}\|%{WORD:methodName}\|%{MYAPPNAME:userId}\|%{MYAPPNAME:userName}\|%{MYAPPNAME:clientId}\|%{GREEDYDATA:operation}"
}
}
date {
match => ["logTime","yyyy-MM-dd HH:mm:ss.SSS Z"]
}
date {
match => ["logTime","yyyy-MM-dd HH:mm:ss.SSS"]
target => "timestamp"
locale => "en"
timezone => "+08:00"
}
mutate {
remove_field => "message"
remove_field => "logTime"
remove_field => "@version"
remove_field => "host"
remove_field => "offset"
}
}
~~~
### 4.2. 修改30-output.conf配置,增加以下内容
~~~
if [fields][docType] == "audit-log" {
elasticsearch {
hosts => ["localhost"]
manage_template => false
index => "audit-log-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
~~~
## 五、Filebeat配置
修改配置文件`filebeat.yml`,在`filebeat.inputs`里添加以下内容,抓取日志内容
~~~
- type: log
enabled: true
paths:
- D:\workspaces\projects\logs\audit\*.log
fields:
docType: audit-log
project: microservices-platform
~~~
## 六、查看数据
配置好elk之后日志数据就能同步到es了并自动创建索引
![](https://img.kancloud.cn/25/7b/257b9063353bb43c700aad2f58ae08c6_1371x117.png)
通过页面展示数据
![](https://img.kancloud.cn/06/b3/06b30b1a7c65fef6f454b8b774c50a49_2492x807.png)
- springcloud
- springcloud的作用
- springboot服务提供者和消费者
- Eureka
- ribbon
- Feign
- feign在微服务中的使用
- feign充当http请求工具
- Hystrix 熔断器
- Zuul 路由网关
- Spring Cloud Config 分布式配置中心
- config介绍与配置
- Spring Cloud Config 配置实战
- Spring Cloud Bus
- gateway
- 概念讲解
- 实例
- GateWay
- 统一日志追踪
- 分布式锁
- 1.redis
- springcloud Alibaba
- 1. Nacos
- 1.1 安装
- 1.2 特性
- 1.3 实例
- 1. 整合nacos服务发现
- 2. 整合nacos配置功能
- 1.4 生产部署方案
- 环境隔离
- 原理讲解
- 1. 服务发现
- 2. sentinel
- 3. Seata事务
- CAP理论
- 3.1 安装
- 分布式协议
- 4.熔断和降级
- springcloud与alibba
- oauth
- 1. abstract
- 2. oauth2 in micro-service
- 微服务框架付费
- SkyWalking
- 介绍与相关资料
- APM系统简单对比(zipkin,pinpoint和skywalking)
- server安装部署
- agent安装
- 日志清理
- 统一日志中心
- docker安装部署
- 安装部署
- elasticsearch 7.x
- logstash 7.x
- kibana 7.x
- ES索引管理
- 定时清理数据
- index Lifecycle Management
- 没数据排查思路
- ELK自身组件监控
- 多租户方案
- 慢查询sql
- 日志审计
- 开发
- 登录认证
- 链路追踪
- elk
- Filebeat
- Filebeat基础
- Filebeat安装部署
- 多行消息Multiline
- how Filebeat works
- Logstash
- 安装
- rpm安装
- docker安装Logstash
- grok调试
- Grok语法调试
- Grok常用表达式
- 配置中常见判断
- filter提取器
- elasticsearch
- 安装
- rpm安装
- docker安装es
- 使用
- 概念
- 基础
- 中文分词
- 统计
- 排序
- 倒排与正排索引
- 自定义dynamic
- 练习
- nested object
- 父子关系模型
- 高亮
- 搜索提示
- kibana
- 安装
- docker安装
- rpm安装
- 整合
- 收集日志
- 慢sql
- 日志审计s
- 云
- 分布式架构
- 分布式锁
- Redis实现
- redisson
- 熔断和降级