借助Elastic Agent，TCP 日志收集更容易，Observability 体验升级

引言

在当今数字化时代，企业需要有效收集和分析日志数据，以实现对系统性能和用户行为的全面洞察。Observability 是一个综合性的数据收集和分析方法，它通过收集、分析和可视化系统产生的日志、指标和追踪数据，帮助企业实时了解系统运行状况，并快速定位和解决问题。

Elastic Agent 是一款轻量级的代理工具，它可以帮助用户轻松收集和发送日志、指标和追踪数据到 Elastic Stack 中。Elastic Stack 是一个开源的数据分析和可视化平台，它包含 Elasticsearch、Kibana、Logstash、Beats 和 X-Pack 等组件。

在本文中，我们将介绍如何使用 Elastic Agent 收集定制的 TCP 日志，并将其发送到 Elasticsearch 中，以实现 Observability 的升级。

前提条件

在开始之前，请确保您已经满足以下前提条件：

• 您拥有一个 Elastic Stack 环境，其中包括 Elasticsearch、Kibana 和 Elastic Agent。
• 您拥有一个可以发送 TCP 日志的应用程序或设备。
• 您已经安装了 Elastic Agent。

步骤 1：创建自定义日志包

首先，我们需要创建一个自定义日志包来收集 TCP 日志。为此，请执行以下步骤：

1. 打开 Elastic Agent 配置文件，通常位于 /etc/elastic-agent/elastic-agent.yaml。
2. 在配置文件中添加以下内容：

processors:
  - add_host_metadata: {}
output.elasticsearch:
  hosts: ["localhost:9200"]

3. 保存并关闭配置文件。

步骤 2：启动自定义日志包

现在，我们需要启动自定义日志包。为此，请执行以下步骤：

1. 打开终端窗口。
2. 导航到 Elastic Agent 安装目录，通常位于 /usr/share/elastic-agent。
3. 运行以下命令启动自定义日志包：

./elastic-agent -c /etc/elastic-agent/elastic-agent.yaml

步骤 3：配置应用程序或设备发送 TCP 日志

接下来，我们需要配置应用程序或设备发送 TCP 日志到 Elastic Agent。为此，请执行以下步骤：

1. 打开应用程序或设备的配置界面。
2. 找到 TCP 日志输出设置。
3. 将 TCP 日志输出地址设置为 Elastic Agent 的 IP 地址，端口设置为 5044。
4. 保存并关闭配置界面。

步骤 4：验证日志是否已发送到 Elasticsearch

现在，我们可以通过 Kibana 来验证日志是否已发送到 Elasticsearch 中。为此，请执行以下步骤：

1. 打开 Kibana。
2. 在左侧菜单栏中，单击“Discover”选项。
3. 在“Index patterns”字段中，选择包含 TCP 日志的索引模式。
4. 在“Time range”字段中，选择一个时间范围。
5. 单击“Search”按钮。

如果一切正常，您应该可以在 Kibana 中看到 TCP 日志。

结论

在本文中，我们介绍了如何使用 Elastic Agent 收集定制的 TCP 日志，并将其发送到 Elasticsearch 中。通过这种方式，我们可以实现 Observability 的升级，从而对系统性能和用户行为有更全面的洞察。