Logstash6.x 入门

最新推荐文章于 2024-03-14 16:11:53 发布
置顶 最新推荐文章于 2024-03-14 16:11:53 发布
阅读量7.6k 收藏 3
点赞数
分类专栏: 运维 文章标签: elk stack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ghost_leader/article/details/79114490
版权

简介

        Logstash是一个开源的服务器端数据处理管道,可以同时从多个源获取数据。面对海量的日志量,rsyslog和sed,awk等日志收集,处理工具已经显的力不从心。logstash是一个整合型的框架,可以用以日志的收集,存储,索引构建(一般这个功能被ES取代)。

工作机制



   logstash 的服务器端从redis/kafka/rabbitmq等(broker)消息队列获取数据。一条数据一条数据的清洗。清洗完成后发送给elasticsearch集群。再在kibana上显示。

  对于logstash而言,他的所有功能都是基于插件来完成的。input,filter,output等等都是这样。

输入插件:
    提取所有的数据。 数据通常以多种格式散布或分布在各个系统上。logstash支持各种输入。可以从常见的各类源中获取事件。轻松从日志,指标,web应用程序和各种AWS服务中进行采集,所有的这些都是以连续流的方式进行。
        

过滤器:
    随着数据传输而来。logstash过滤器解析每一个事件,识别命名字段以构建结构。将它们转换为通用格式,从而更轻松,更快捷的分析。常用的过滤数据手段。(1)、用grok从非结构化数据导出结构。(2)、从IP地址解读地理坐标。(3)、匿名PII数据,完全排除敏感字段。 (4)、简化数据源,格式或模式。
            
 
产出:
  当然,elasticsearch是首选的输出对象,但是还有很多的选项。可根据需要路由。
          

安装

       由于Logstash使用Jruby研发,所以需要JVM。也就是需要安装java环境。其工作与agent/server模型下。

      这里也简单的演示一下JAVA的环境配置。首先准备好jdk的tar包。 
# mkdir /usr/java  
# tar xf jdk-8u151-linux-i586.tar.gz -C /usr/java  
# vim /etc/profile  
JAVA_HOME=/usr/java/jdk1.8.0_151  
export JRE_HOME=/usr/java/jdk1.8.0_151/jre  
export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib:$CLASSPATH  
export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH  
# update-alternatives --install /usr/bin/java java /usr/java/jdk1.8.0_151/bin/java 300  
# update-alternatives --install /usr/bin/javac javac /usr/java/jdk1.8.0_151/bin/javac 300  
# update-alternatives --config java  
  
共有 3 个程序提供“java”。  
  
  选择    命令  
-----------------------------------------------  
*+ 1           /usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/java  
   2           /usr/lib/jvm/jre-1.6.0-openjdk.x86_64/bin/java  
   3           /usr/java/jdk1.8.0_151/bin/java  
  
按 Enter 来保存当前选择[+],或键入选择号码:3
       若出现 -bash: /usr/java/jdk1.8.0_151/bin/java: /lib/ld-linux.so.2: bad ELF interpreter: 没有那个文件或目录  这个错误, 则执行 yum install glibc.i686  即可。

安装logstash。在logstash官网上去下载rpm包。 
# yum -y install logstash-6.1.2.rpm
这就安装完成了,但是 logstash的命令由于是rpm包安装。默认安装到了/usr/share/logstash下。所以可以把这个路径引入一下。

插件介绍

      常见的插件。在诸多的input插件当中有file,udp,http,kafka,rabbitmq,beats等等

   file:
    文件流事件。类似与 tail -n 1 -f 开始阅读。当然也可以从头开始阅读。利用了sincedb记录文件的状态,包括文件的inode号,主设备号,从设备号,文件内字节偏移量。所以文件不能改名字。一改名字就会使用新的sincedb。 
input {
        file {
                path => ["/var/log/messages"]
                type => "system"
                start_position => "beginning"
             }
}
  udp:
    通过udp将消息作为事件通过网络读取。唯一需要的配置项是port,它指定udp端口logstash将监听事件流。
演示一下。
    先安装 collectd(epel源中)    yum -y install collectd      collectd是一个性能监控程序。
编辑配置文件 /etc/collectd.conf
将想要监控的内容取消注释。 (一定要取消 network) 
Hostname    "node-1"
LoadPlugin syslog
LoadPlugin battery
LoadPlugin cpu
LoadPlugin df
LoadPlugin disk
LoadPlugin interface
LoadPlugin load
LoadPlugin memory
LoadPlugin network
<Plugin network>
	<Server "192.168.40.133" "25826"> #192.168.40.133 是logstash监听的地址,25826 是logstash监听端口
 	</Server>
</Plugin>
Include "/etc/collectd.d"

启动即可。
systemctl  start   collectd
接下来写一个udp.conf  
input {
        udp {
                port => 25826
                codec => collectd {}
                type  => "collectd"
        }
}

output {
        stdout {
                codec   => rubydebug
        }
}
执行命令。开始收集。

# logstash -f udp.conf
开始收集,内容如下

Filter插件:

    用于在将event发往output之前,对其实现一定的处理功能。

grok:
    用于分析并结构化文本数据。目前是logstash中非结构化数据转化为结构化数据的不二之选。可处理 syslog,Apache,nginx格式的日志。

80.91.33.133 - - [17/May/2015:08:05:41 +0000] "GET /downloads/product_1 HTTP/1.1" 304 0 "-" "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu10.16)"

上面是一段nginx的访问日志。
%remote_ip  自动替换  80.91.33.133  以此类推。

%{IPORHOST:remote_ip} - %{DATA:user_name} \[%{HTTPDATE:time}\] "%{WORD:request_action} %{DATA:request} HTTP/%{NUMBER:http_version}" %{NUMBER:response} %{NUMBER:bytes} "%{DATA:referrer}" "%{DATA:agent}"

相关的预定义 语法的查阅文件,在rpm包有安装

# vim /usr/share/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns
USERNAME [a-zA-Z0-9._-]+
USER %{USERNAME}
EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+
EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME}
INT (?:[+-]?(?:[0-9]+))
BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))
NUMBER (?:%{BASE10NUM})
BASE16NUM (?<![0-9A-Fa-f])(?:[+-]?(?:0x)?(?:[0-9A-Fa-f]+))
BASE16FLOAT \b(?<![0-9A-Fa-f.])(?:[+-]?(?:0x)?(?:(?:[0-9A-Fa-f]+(?:\.[0-9A-Fa-f]*)?)|(?:\.[0-9A-Fa-f]+)))\b
...
 语法格式
%{SYNTAX:SEMANTIC} 
  SYNTAX : 预定义模式名称(在grok-patterns文件中定义的)
  SEMANTIC:匹配到的文本的自定义标示符(匹配到后,赋值给该变量)

beats家族是很常见的。

  Filebeat:
     Filebeat是ELK的一部分。可以使Logstash,Elasticsearch和Kibana无缝协作。filebeat的功能是转发和汇总日志与文件。  filebeat可以读取并转发日志行,如果出现中断,还会在一切恢复正常后,从中断的位置继续开始。
  
  beat插件(这是一个input插件) 
input {
  beats {
    port => 5044
  }
}

output {
  elasticsearch {
    hosts => "localhost:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}
output插件:
     这一般是把数据存储下来的,有email,csv。当然还有大名鼎鼎的 Elasticsearch。这就不详细介绍了。官网上有很多的例子。 logstash指导教程




Ghost_02
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash6.x安装手册
07-02
logstash6.x安装手册,接收UDP端口数据,按小时存储在日志文件中
Logstash配置详解
u012017645的专栏
10-17 1万+
Logstash配置详解
Linux之postgis离线安装
moshi_09的博客
09-27 4776
PostgreSQL是一个开源数据库,而PostGIS在此基础上增添了空间对象扩展模块。 PostGIS最大的特点是符合并且实现了OpenGIS的一些规范,是最著名的开源GIS数据库。 虚拟机环境:CentOS 7.8,PostgreSQL 12.4 本地环境:Windows 10,pgadmin 4,qgis 目录 1 安装条件准备 1.1 Postgis安装的必要条件 1.2 Postgis安装的可选条件 1.3 必要库和软件的下载路径 2 本次安装的软件和库 3 编辑安装pos
Logstash 详细介绍、安装与使用
最新发布
一个认真学习的女孩子的博客
03-14 1096
Logstash 是一个具有实时管道功能的开源数据收集引擎。Logstash可以动态统一来自不同来源的数据,并将数据规范化到您选择的目标中。为了多样化的高级下游分析和可视化用例,清理和使所有数据平等化。虽然 Logstash 最初在日志收集方面推动了创新,但它的能力远远超出了该用例。任何类型的事件都可以通过广泛的输入、过滤和输出插件进行增强和转换,许多本地编解码器进一步简化了摄入过程。Logstash 通过利用更多的数据量和种类加速您的洞察力。Logstash 到 Elastic Cloud 无服务器。
Logstash-7.5.2搭建流程
克隆大菠萝的超市
04-23 875
(1) 首先下载软件包(采用二进制包,非编译安装): Logstash:https://artifacts.elastic.co/downloads/logstash/logstash-7.5.2.tar.gz (2) 解压Logstash安装包,编辑解压文件中的config/logstash.yml配置文件,添加或调整以下配置: #每次发送的事件数 pipeline.batch.size: 10000 #发送延时 pipeline.batch.delay: 10 #pipeline线程数,官
LogstashLogstash 入门教程 (二)
Elastic 中国社区官方博客
05-08 3万+
这是之前系列文章“LogstashLogstash 入门教程 (一)”的续集。在之前的文章中,我们详细地介绍了Logstash是什么?在今天的文章中,我们将详细介绍如果使用Logstash,并把 Apache Web log导入到 Elasticsearch中。在这篇文章中,我们将触及到如下的过滤器: Grok Geoip Useragent Date Mutate 安装 Elastic.........
logstash的使用教程
weixin_34216196的博客
08-24 2736
一、简单使用 cd logstash_HOME bin/logstash -e 'input { stdin { } } output { stdout {} }' 启动 Logstash 后,再键入 Hello hiekay,结果如下: image.png 在生产环境中,Logstash 的...
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
12-16
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
最新版linux logstash-7.9.3.tar.gz
10-26
最新版linux logstash-7.9.3.tar.gz
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
01-14
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
最新版linux logstash-7.16.2-linux-x86_64.tar.gz
12-20
最新版linux logstash-7.16.2-linux-x86_64.tar.gz
logstash 监听接收32个端口配置
a123147abc的博客
01-14 1776
logstash 监听接收32个端口配置文件 input { syslog { host => "0.0.0.0" type => "wb-syslog" port => 514 codec => plain { charset => "GB2312" } } } input { syslog { host => '0.0.0.0' type => 'syslog-10514' port => 10514 co
logstash-命令
大帅的博客
08-26 1964
启动命令:logstash -f …/config/logstash-sample.conf 因此启动测试配置试一下:logstash -f …/config/logstash-sample.conf --config.test_and_exit 该–config.reload.automatic选项启用自动配置重新加载,因此您不必在每次修改配置文件时停止并重新启动Logstash。 logsta...
LogstashLogstash 入门教程 (一)
热门推荐
Elastic 中国社区官方博客
05-07 7万+
Logstash是一个功能强大的工具,可与各种部署集成。 它提供了大量插件,可帮助你解析,丰富,转换和缓冲来自各种来源的数据。 如果你的数据需要Beats中没有的其他处理,则需要将Logstash添加到部署中。 Logstash是Elastic栈非常重要的一部分,但是它不仅仅为Elasticsearch所使用。它可以介绍广泛的各种数据源。Logstash可以帮利用它自己的Filter帮我们对......
Logstash的简单使用
weixin_44303027的博客
06-19 9861
logstash对mysql的数据获取,处理解析成需要的数据格式并推送到ES
logstash常用命令
qq_34486648的博客
11-13 2481
4、添加config.reload.automatic命令参数,自动加载配置,不需要重新启动logstash。5、通过配置文件启动logstash
ELKLogstash的配置和用法
浮尘笔记
08-22 1682
Logstash的配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
logstash 执行命令
m0_55380752的博客
10-10 349
columns => ["省","市","县","加油站名称","油罐","加油罐次数","油号","加油机","机油枪","单件","加油量","现有油量","加油开始时间","加油结束时间","客户姓名","客户电话","lat","lon"]hosts => ["es的ip地址:端口号"]#将数组内数据格式转换成float数据类型。3.测试conf文件是否有问题。#将经纬度合并成数组。logstash 执行命令。4.启动logstash
ELK详解(十四)——Logstash TCP/UDP日志收集
永远是少年
04-07 3254
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash TCP/UDP日志收集。 一、Logstash TCP/UDP日志收集背景 二、Logstash配置 三、效果检验
docker 部署logstash7.17.6
07-27
要在Docker中部署Logstash 7.17.6,你可以按照以下步骤进行操作: 1. 确保你已经安装了Docker和Docker Compose。如果没有安装,请先安装它们。 2. 创建一个新的目录,并在该目录下创建一个新的文件,命名为`docker-compose.yml`。 3. 在`docker-compose.yml`文件中添加以下内容: ```yaml version: '3' services: logstash: image: docker.elastic.co/logstash/logstash:7.17.6 container_name: logstash restart: always ports: - 5044:5044 volumes: - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml - ./pipeline:/usr/share/logstash/pipeline ``` 4. 创建一个新的目录,命名为`config`,并在该目录下创建一个新的文件,命名为`logstash.yml`。在`logstash.yml`文件中添加以下内容: ```yaml http.host: "0.0.0.0" ``` 这将允许从外部访问Logstash HTTP接口。 5. 创建一个新的目录,命名为`pipeline`,用于存放Logstash的配置文件。 6. 在`pipeline`目录中创建一个新的配置文件,例如`example.conf`,并在其中定义你的Logstash管道配置。 7. 在终端中导航到包含`docker-compose.yml`文件的目录,并运行以下命令启动Logstash容器: ``` docker-compose up -d ``` 8. Logstash容器将在后台运行,并将暴露5044端口用于接收日志数据。 现在,你已经成功地将Logstash 7.17.6部署到Docker中。你可以根据需要在`pipeline`目录中创建更多的配置文件,并在Logstash中使用它们来处理日志数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值