利用Logstash plugins做更多的事情

最新推荐文章于 2024-01-19 23:05:38 发布
最新推荐文章于 2024-01-19 23:05:38 发布
阅读量4.1k 收藏
点赞数 3
分类专栏: ELK 文章标签: ELK logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/masonqaq/article/details/77993618
版权

1. 引言

之前一篇文章《Logstash 介绍及linux下部署》,我们实现了logstash的安装以及简单的控制台标准输入输出测试,那么logstash能不能做更多的事情呢?答案是肯定的,logstash就是为了处理日志数据而生的。一个最直接的应用是,我们从事web开发,将应用放到apache中,apache会生成大量的访问日志,那么如何实现对大量访问日志的搜集、处理、分析呢?logstash里面各种优秀的插件可以帮我们做这些事情。

2. logstash插件管理

在logstash的目录下,通过命令:

bin/logstash-plugin -h

我们可以看到logstash plugin管理的命令帮助

Usage:
    bin/logstash-plugin [OPTIONS] SUBCOMMAND [ARG] ...

Parameters:
    SUBCOMMAND                    subcommand
    [ARG] ...                     subcommand arguments

Subcommands:
    list                          List all installed Logstash plugins
    install                       Install a Logstash plugin
    remove                        Remove a Logstash plugin
    update                        Update a plugin
    pack                          Package currently installed plugins, Deprecated: Please use prepare-offline-pack instead
    unpack                        Unpack packaged plugins, Deprecated: Please use prepare-offline-pack instead
    generate                      Create the foundation for a new plugin
    uninstall                     Uninstall a plugin. Deprecated: Please use remove instead
    prepare-offline-pack          Create an archive of specified plugins to use for offline installation

Options:
    -h, --help                    print help

比较常用的有:

bin/logstash-plugin list                    #查看已安装插件列表
bin/logstash-plugin install plugin_name     #安装插件
bin/logstash-plugin update plugin_name      #卸载插件
bin/logstash-plugin uninstall plugin_name   #卸载插件

我们通过list命令查看插件列表时候,无非下列三种类型的插件:

logstash-codec-*    #编码解码插件
logstash-filter-*   #数据处理插件
logstash-input-*    #输入插件
logstash-output-*   #输出插件

这里需要完善上一篇文章的一个概念。Logstash 不只是一个input | filter | output 的数据流,而是一个 input | decode | filter | encode | output 的数据流!上面插件中的codec 就是用来 decode、encode 事件的。

3. 利用logstash-filter-grok完成Apache访问日志处理

logstash 给我们提供了很多插件,上一篇文章中也提到了Grok 目前是logstash最好的方式对非结构化日志数据解析成结构化和可查询化 ,那么我们今天就用Grok来处理apache的访问日志。

为了说明该插件的作用,一切从简,我们只是从标准输入输入一条Apache的访问日志,然后通过grok插件处理,然后输出到控制台。

3.1 新建配置文件apache.conf
input {
    stdin {}
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}"}
    }
}

output {
    stdout{codec=>rubydebug}
}
3.2 启动logstash
bin/logstash -f tomcat.conf
3.3 测试数据

测试数据为:

83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/logstash-monitorama-2013/images/kibana-search.png HTTP/1.1" 200 203023 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36"

等待logstash启动完成后,我们输入测试数据到控制台中,看到logstash的输出如下:

{
        "request" => "/presentations/logstash-monitorama-2013/images/kibana-search.png",
          "agent" => "\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36\"",
           "auth" => "-",
          "ident" => "-",
           "verb" => "GET",
        "message" => "Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36\"83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] \"GET /presentations/logstash-monitorama-2013/images/kibana-search.png HTTP/1.1\" 200 203023 \"http://semicomplete.com/presentations/logstash-monitorama-2013/\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36\"",
       "referrer" => "\"http://semicomplete.com/presentations/logstash-monitorama-2013/\"",
     "@timestamp" => 2017-09-15T08:17:55.133Z,
       "response" => "200",
          "bytes" => "203023",
       "clientip" => "83.149.9.216",
       "@version" => "1",
           "host" => "yangyue",
    "httpversion" => "1.1",
      "timestamp" => "04/Jan/2015:05:13:42 +0000"
}

截图如下:
这里写图片描述

从处理结果我们可以看到,referrer、时间、请求ip、相应状态码等都被切割出来了,这非常方便我们之后使用ElasticSearch进行搜索。当然,logstash还有很多其他优秀的插件,大家可以多试试。比如从kafka中接收输入,数据定向到ElasticSearch或kafka中等,这些插件可以帮助我们省去很多麻烦,我们后面再聊。

________Yang
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
Logstash配置对IntelliJ的支持 IntelliJ IDE的插件以支持弹性配置文件 特征 语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动: 下载并使用“首选项” >“插件” >“从磁盘安装插件”手动安装。
3、安装Logstashplugin,mysql数据同步
weixin_34327223的博客
08-07 151
2019独角兽企业重金招聘Python工程师标准>>> ...
elastic笔记:logstash插件安装
Jianblog's VED
02-17 2318
logstash安装版本:5.2.1按照官方文档直接执行logstash-plugin install logstash-filter-dissect八成会报错。 需要确保运行环境以及参考插件仓库 步骤。运行环境ruby,ruby,gem,bundle的安装。 安装ruby 下载ruby2.3.3源码包,解压,进入目录执行: ./configure --prefix=/usr/local/ru
【分布式技术】Elastic Stack部署,实操logstash的过滤模块常用四大插件
liu_xueyin的博客
01-19 1311
比如还是刚刚的filebeat采集的nginx日志,现在想要实现访问的日志时间与logstash的时间一致。向事件添加任意标签,在tag字段中添加一段自定义的内容,当tag字段中超过一个内容的时候会变成数组。步骤二:准备logstash的conf文件,在filter模块中配置multiline插件。步骤一:现在logstash的conf文件中进行filter模块的修改,添加grok插件。用于分析字段中的日期,然后使用该日期或时间戳作为事件的logstash时间戳。通过指定的分隔符分割字段中的字符串为数组。
logstash-plugin怎么用
chy2z的专栏
05-26 3017
1启动  logstash 后2 进入bin目录新开 cmd    输入命令 logstash-plugin -help 列出支持命令  3  输入命令 logstash-plugin list 列出支持插件4 插件的使用方法: https://www.elastic.co/guide/en/logstash/6.0/index.html 5  安装新插件  install 插件名称 ...
logstash的使用教程
weixin_34216196的博客
08-24 2733
一、简单使用 cd logstash_HOME bin/logstash -e 'input { stdin { } } output { stdout {} }' 启动 Logstash 后,再键入 Hello hiekay,结果如下: image.png 在生产环境中,Logstash 的...
logstash-plugin could not create the java virtual machine.
梦里蓝天
03-11 508
使用logstash-plugin 安装插件时报could not create the java virtual machine.错误,使用的是logstash7.6.2版本,jdk1.8,网上找了好多方法解决不了,改成最新版logstash7.17.1解决,不过不能用JAVA_HOME环境变量了需要设置LS_JAVA_HOME,和JAVA_HOME路径一样。 ...
Logstash系列之--JAVA自定义插件
m0_37911384的博客
03-31 3198
Logstash系列之--自定义插件(JAVA) 说明 官方文档:https://www.elastic.co/guide/en/logstash/7.2/java-filter-plugin.html 安装版本:7.2.0 1、拉取logstash对应版本代码 git clone --branch v7.2.0 --single-branch https://github.co...
logstash-plugins:只是我写的一些logstash插件
06-26
日志插件只是我写的一些logstash插件
logstash-offline-plugins-7.2.0.zip
09-10
You can install it with this command `bin/logstash-plugin install file://F:/logstash-7.2.0/logstash-offline-plugins-7.2.0.zip`
logstash 8.13.1
最新发布
04-09
logstash 8.13.1
logstash oss 7.10.2 arm64版本
07-27
logstash 是一款开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您选择的“存储库”。此版本特别为 arm64 架构的系统设计,提供了高效的数据处理性能。安装后即可使用.
logstash安装部署手册
05-12
logstash安装部署手册
离线安装logstash plugins
Code_Flyer的博客
05-18 375
如果服务器可以联网,可以按官方文档直接安装需要的插件,但很多时候生产上的服务器不联网的,只能通过离线方式安装需要的插件。官方提供在线安装方式: bin/logstash-plugin install logstash-output-kafka 离线安装方式: 下载所需的Logstash plugins 将下载的安装包上传解压 编辑logstash目录下的Gemfile文件,添加解压后插件本地路径,如果Gemfile中存在需要安装的插件的路径,若存在该插件配置需要先注释掉 vim Gemfil
Logstash 本地安装plugin
weixin_33755554的博客
09-18 401
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstash插件管理(翻译)
qhh0205
01-10 2379
Logstash插件管理(翻译) 本文翻译自Elast stack官方文档,主要介绍Logstash插件的使用方法。 译文: Logstash拥有丰富的input,filter,codec和output插件。插件是独立的gems包,托管在RubyGems.org。插件管理器是通过bin/logstash-plugin脚本来使用,用来管理Logstash的插件的生命周期。通过下面的描述
ELK6 X-pack插件的安装及卸载
weixin_38364973的博客
04-27 6431
——ELK6.0安装步骤见上篇1、elasticsearch安装X-pack插件2、elasticsearch-plugin install file:///path/to/file/x-pack-6.1.1.zip3、重新指定密码(第一次).\x-pack\setup-passwords interactive  (----auto随机)POST _xpack/security/user/ela...
logstash自定义java插件如何根据官方的例子进行修改
weixin_40210830的博客
06-18 811
logstash自定义java插件logstash自定义java插件1、拉取logstash源码2、拉取logstash示例 -java filter example(主要教你怎么修改官方的例子,以后可以完全自己创建) logstash自定义java插件 官方文档:https://www.elastic.co/guide/en/logstash/7.3/java-filter-plugin.html 版本:7.3.2(7.0以上都可以) 1、拉取logstash源码 git clone --branch v
Logstash结构与配置(十二)
抽象的螺旋
05-04 2057
概述 Logstash是一个类似实时流水线的开源数据传输引擎,它像一个两头连接不同数据源的数据传输管道,将数据实时地从一个数据源传输到另一个数据源中。在数据传输的过程中,Logstash还可以对数据进行清洗、加工和整理,使数据在到达目的地时直接可用或接近可用,为复杂的数据分析、处理以及可视化准备。 既然需要将数据搬运到指定的地点,为什么不在数据产生时,就将数据写到需要的地方呢?这个问题可以从以下几个方面理解。首先,许多数据在产生时并不支持直接写入到除本地文件以外的其他数据源。比如大多数第三方软件在运行中
logstash配置多个输出
07-27
Logstash 中配置多个输出可以使用多个 output 插件。以下是一个示例配置文件,其中包含两个输出插件(Elasticsearch 和 File): ```plaintext input { # 输入插件配置 } filter { # 过滤插件配置 } output ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值