Logstash 入门教程 -配置案例

最新推荐文章于 2024-06-24 20:09:29 发布
最新推荐文章于 2024-06-24 20:09:29 发布
阅读量4.6k 收藏 2
点赞数 1
分类专栏: Elasticsearch

转自:http://corejava2008.iteye.com/blog/2215591

介绍一个详细案例,讲述如何配置读取Apache日志,Syslog并根据自定义条件进行过滤和输出。

手工输入并解析数据

LS中可以通过Filter针对数据进行切片切块等操作,解析,装换,组装等等。。

Java代码   收藏代码
  1. input { stdin { } } #控制台输入  
  2.   
  3. filter {  
  4.   grok { #通过GROK来自动解析APACHE日志格式  
  5.     match => { "message" => "%{COMBINEDAPACHELOG}" }  
  6.   }  
  7.   date {#通过Date过滤器来自动识别日期格式。  
  8.     match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]  
  9.   }  
  10. }  
  11.   
  12. output {  
  13.   elasticsearch { host => localhost } #输出到ES中。  
  14.   stdout { codec => rubydebug } #输出到控制台  
  15. }  

启动LS:bin/logstash -f logstash-filter.conf

并在控制台输入:

Java代码   收藏代码
  1. 127.0.0.1 - - [11/Dec/2013:00:01:45 -0800"GET /xampp/status.php HTTP/1.1" 200 3891 "http://cadenza/xampp/navi.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:25.0) Gecko/20100101 Firefox/25.0"  

 可以看到输出结果为:

Java代码   收藏代码
  1. {  
  2.         "message" => "127.0.0.1 - - [11/Dec/2013:00:01:45 -0800] \"GET /xampp/status.php HTTP/1.1\" 200 3891 \"http://cadenza/xampp/navi.php\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:25.0) Gecko/20100101 Firefox/25.0\"",  
  3.      "@timestamp" => "2013-12-11T08:01:45.000Z",  
  4.        "@version" => "1",  
  5.            "host" => "cadenza",  
  6.        "clientip" => "127.0.0.1",  
  7.           "ident" => "-",  
  8.            "auth" => "-",  
  9.       "timestamp" => "11/Dec/2013:00:01:45 -0800",  
  10.            "verb" => "GET",  
  11.         "request" => "/xampp/status.php",  
  12.     "httpversion" => "1.1",  
  13.        "response" => "200",  
  14.           "bytes" => "3891",  
  15.        "referrer" => "\"http://cadenza/xampp/navi.php\"",  
  16.           "agent" => "\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:25.0) Gecko/20100101 Firefox/25.0\""  
  17. }  

 看到结果了吧,完成了两个操作

1.LS使用grok自动解析了日志格式,

2.针对timestamp进行Date格式识别,并复制给了@timestamp字段。

 

再进一步,从文件中输入并解析数据

Java代码   收藏代码
  1. input {  
  2.   file { #通过Input配置,从文件中读取数据。  
  3.     path => "/tmp/access_log"  #日志文件位置  
  4.     start_position => "beginning"   
  5.     #是否从头部开始读取。  
  6.     #Logstash启动后,会在系统中记录一个隐藏文件,记录处理过的行号,  
  7.     #当进行挂掉,重新启动后,根据该行号记录续读。  
  8.     #所以start_position只会生效一次。  
  9.   }  
  10. }  
  11.   
  12. filter {  
  13.   if [path] =~ "access" {#当路径包含access时,才会执行以下处理逻辑  
  14.     mutate { replace => { "type" => "apache_access" } }  
  15.     grok {  
  16.       match => { "message" => "%{COMBINEDAPACHELOG}" }  
  17.     }  
  18.   }else if [path] =~ "error" { #IF-ElSE 配置方式。  
  19.     mutate { replace => { type => "apache_error" } }  
  20.     #使用Mutate 替换type的值为“apache_error”  
  21.   } else {  
  22.     mutate { replace => { type => "random_logs" } }  
  23.   }  
  24.   date {  
  25.     match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]  
  26.   }  
  27. }  
  28.   
  29. output {  
  30.   elasticsearch {  
  31.     host => localhost  
  32.   }  
  33.   stdout { codec => rubydebug }  
  34. }  

 

再来看个案例:

Java代码   收藏代码
  1. output {  
  2.   if [type] == "apache" {  
  3.     if [status] =~ /^5\d\d/ { #如果status状态为5xx,发送给nagios。  
  4.       nagios { ...  }  
  5.     } else if [status] =~ /^4\d\d/ {#如果是4xx,发送到elasticSearch  
  6.       elasticsearch { ... }  
  7.     }  
  8.     statsd { increment => "apache.%{status}" } #所有数据给statsd  
  9.   }  
  10. }  

 处理SysLog案例:

Java代码   收藏代码
  1. 处理SysLog案例:  
  2. input {  
  3.   tcp {  
  4.     port => 5000   #读取TCP端口  
  5.     type => syslog #数据类型  
  6.   }  
  7.   udp {  
  8.     port => 5000   #读取UDP端口  
  9.     type => syslog #数据类型  
  10.   }  
  11. }  
  12.   
  13. filter {  
  14.   if [type] == "syslog" {  
  15.     grok { #解析日志格式。  
  16.       match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }  
  17.       add_field => [ "received_at""%{@timestamp}" ] #添加字段   
  18.       add_field => [ "received_from""%{host}" ]     #添加字段  
  19.     }  
  20.     syslog_pri { }  
  21.     date {  #日期格式处理,这里匹配了两种不同的日期格式。  
  22.       match => [ "syslog_timestamp""MMM  d HH:mm:ss""MMM dd HH:mm:ss" ]  
  23.     }  
  24.   }  
  25. }  
  26.   
  27. output { #数据输出。  
  28.   elasticsearch { host => localhost }  
  29.   stdout { codec => rubydebug }  
  30. }  

 

启动服务:

bin/logstash -f logstash-syslog.conf

发送测试数据:

Java代码   收藏代码
  1. telnet localhost 5000  
  2. Dec 23 12:11:43 louis postfix/smtpd[31499]: connect from unknown[95.75.93.154]  
  3. Dec 23 14:42:56 louis named[16000]: client 199.48.164.7#64817: query (cache) 'amsterdamboothuren.com/MX/IN' denied  
  4. Dec 23 14:30:01 louis CRON[619]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)  
  5. Dec 22 18:28:06 louis rsyslogd: [origin software="rsyslogd" swVersion="4.2.0" x-pid="2253" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'.  

 查看结果:

Java代码   收藏代码
  1. {  
  2.                  "message" => "Dec 23 14:30:01 louis CRON[619]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)",  
  3.               "@timestamp" => "2013-12-23T22:30:01.000Z",  
  4.                 "@version" => "1",  
  5.                     "type" => "syslog",  
  6.                     "host" => "0:0:0:0:0:0:0:1:52617",  
  7.         "syslog_timestamp" => "Dec 23 14:30:01",  
  8.          "syslog_hostname" => "louis",  
  9.           "syslog_program" => "CRON",  
  10.               "syslog_pid" => "619",  
  11.           "syslog_message" => "(www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)",  
  12.              "received_at" => "2013-12-23 22:49:22 UTC",  
  13.            "received_from" => "0:0:0:0:0:0:0:1:52617",  
  14.     "syslog_severity_code" => 5,  
  15.     "syslog_facility_code" => 1,  
  16.          "syslog_facility" => "user-level",  
  17.          "syslog_severity" => "notice"  
  18. }  
ASIA_kobe
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash数据采集
Sun__s的博客
03-10 393
logstash简介 • Logstash是一个开源的服务器端数据处理管道。 • logstash拥有200多个插件,能够同时从多个来源采集数据, 转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多 都是 Elasticsearch。) • Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 • Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 • 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、 数
ELK日志分析系统配置实验
qq_53772682的博客
12-25 995
ELK日志分析系统配置实验
logstash入门(简单而全面)_curl logstash
最新发布
2401_85599413的博客
06-24 1013
为了确保成功运行Logstash建议大家使用较近期的jre版本。可以获取开源版本的jre在:一旦jre已经成功在你的系统中安装完成,我们就可以继续了。
ELK中Logstash配置和用法
浮尘笔记
08-22 2245
Logstash配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
ES学习日记(九)-------logstash导入数据
qq_34084139的博客
04-03 987
注意配置文件,要求很高,不能出错,需要的命令我都粘上面了,后续会改为实时更新下一节开始用代码操作ES。
logstash简明实用教程
学而思(xiejava的blog)
04-14 1391
一、logstash是什么 Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。 官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是一根具备实时数据传输能力的管...
Logstash 配置
桃花惜春风
01-16 2554
文章目录课前三分钟配置文件settings配置 课前三分钟 配置文件 Logstash配置文件分为两种: settings配置文件,主要是配置Logstash启动相关配置和一些资源上的配置。 pipeline配置文件,主要就是我们自行创建的,以.conf结尾的文件,用于配置数据的输入输出。 settings配置 Logstash主要包含一下几个配置文件: logstash.yml Log...
Logstash系列:安装配置步骤
NIO4444
05-09 327
下载 CSDN:https://download.csdn.net/download/VIP099/12373930 官方:https://www.elastic.co/cn/downloads/past-releases#logstash 安装 rpm -ivh logstash-7.2.1.rpm 配置 看下安装目录 cat /etc/systemd...
k8s 实战案例详解手册
03-17
1. **基础集群环境搭建**:在学习k8s之前,首先需要搭建一个k8s集群。这通常涉及安装Master节点和Worker节点,配置网络插件,以及设置必要的安全策略。常用的方法包括Minikube(本地单节点)、kubeadm(多节点集群)...
elk-journey:包含ELK配置,故障排除
02-19
6. **elk-journey-master**:这个目录很可能包含了完整的ELK配置文件、示例日志数据、故障排除案例和可能的自动化脚本。通过研究这些内容,你可以更深入地了解ELK的工作方式,学习如何定制自己的ELK环境,并提升故障...
jmal-cloud-server:基于springboot的网盘服务端
02-19
"jmal-cloud-server"可能使用Log4j或Logback进行日志管理,同时结合Prometheus或ELK栈(Elasticsearch, Logstash, Kibana)进行系统监控,以便快速定位和解决问题。 8. **持续集成与部署** 使用Git进行版本控制,...
alexanderzobnin-zabbix-app-4.1.5.zip
07-14
Grafana的安装则涉及设置服务器、选择合适的数据源(在这个案例中,就是Zabbix)和安装所需插件。 Grafana-Zabbix4是Grafana中的一个数据源插件,它允许Grafana直接连接到Zabbix服务器获取数据。在Grafana中添加...
ES 架构及基础 - 1.doc
07-13
【ES 架构及基础】 Elasticsearch (ES) 是一个强大的分布式、RESTful 风格的搜索和数据分析引擎,适用于处理大量数据并快速找到相关信息。它被广泛应用于诸如全文检索、代码搜索、商品推荐等多种场景。在本文中,...
黑马头条项目 10.6 使用logstash导入数据
weixin_41672684的博客
12-23 153
Logstash导入数据 使用logstash 导入工具从mysql中导入数据 Logstach安装 sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 在 /etc/yum.repos.d/ 中创建logstash.repo文件 [logstash-6.x] name=Elastic repository for 6.x packages baseurl=https://artifacts.elastic
ELK 之 Logstash 的安装与导入数据
无糖
03-20 285
关注我,学习弯道超车技术前文回顾:《那些年我们一起学过的 Elasticsearch》《反手几行命令就安装了一个 Elasticsearch 环境》《Elastic Stack 之 Ki...
Logstash安装及数据导入
希望我的博客,能解决你工作中的问题
02-08 980
一、安装前准备 1)下载与ES相同版本号的logstash,(7.1.0),并解压到相应目录 官网下载地址:https://www.elastic.co/cn/downloads/logstash 华为过年镜像地址:https://mirrors.huaweicloud.com/logstash/7.1.0/ 2)下载最MovieLens最小测试数据集 地址:https://grouplens.o...
logback LogstashEncoder elk
12-17 2896
<?xml version="1.0" encoding="UTF-8"?> <configuration scan="true"> <!--定义日志文件的存储地址 勿在 LogBack 的配置中使用相对路径 <property name="LOG_NAME" value="/home"></property>--> ...
linux出现“rsyslogd was HUPed”错误解决
weixin_42005602的博客
01-25 4811
现象 Linux实例出现系统日志无法输出的情况,例如message、syslog系统日志。 原因 由于系统日志服务异常退出导致。 解决方案 登录服务器,执行命令 service rsyslog restart
Linux的系统故障分析与排查
weixin_34149796的博客
04-03 333
在处理Linux系统出现的各种故障时,故障的症状是最先发现的,而导致这以故障的原因才是最终排除故障的关键。熟悉Linux系统的日志管理,了解常见故障的分析与解决办法,将有助于管理员快速定位故障点。“对症下药”及时解决各种系统问题。(一)日志分析及管理◆日志文件是用于记录Linux系统中各种运行消息的文件,对于诊断和解决系统中的问题很有帮助。在Linux系统中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值