ELK(实时日志分析平台)搭建必备基础知识-------logstash

最新推荐文章于 2024-06-16 06:30:00 发布
最新推荐文章于 2024-06-16 06:30:00 发布
阅读量386 收藏
点赞数
分类专栏: elk logstash maven 文章标签: elk logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EQuaker/article/details/85142860
版权
maven 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
elk
1 篇文章 0 订阅
订阅专栏
logstash
1 篇文章 0 订阅
订阅专栏

预热:基础知识

       Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。 顾名思义,Logstash 收集数据对象就是日志文件。由于日志文件来源多(如:系统日志、服务器 日志等),且内容杂乱,不便于人类进行观察。因此,我们可以使用 Logstash 对日志文件进行收集和统一过滤,变成可读性高的内容,方便开发者或运维人员观察,从而有效的分析系统/项目运行的性能,做好监控和预警的准备工作等。

1,安装

   下载:

wget https://artifacts.elastic.co/downloads/logstash/logstash-6.5.3.tar.gz

   解压:

tar -zxvf logstash-6.5.3.tar.gz

2,配置文件结构

#输入(must)
input {
  #beats {
    #port => 5044
  #}
  #从文件读取日志信息
  #file {
    #path => "/var/log/messages"
    #type => "system"
    #start_position => "beginning"
   #}

}
#过滤(可选)
filter {
  

}
#输出(must)
output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    #index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    index => "test-log"
    #user => "elastic"
    #password => "changeme"
  }
}

2.1,input基本讲解

输入支持的类型有很多,官方文档记载

常用的有

input {
  #从filebeat里面取值
  beats {
    port => 5044
  }
  #从文件读取日志信息
  #file {
    #path => "/var/log/messages"
    #type => "system"
    #start_position => "beginning"
   #}

}

 2.2,output基本讲解

output同样支持很多组件:

常用的输出组件有:

output {
  #输出到elasticseartch
  elasticsearch {
    hosts => ["http://localhost:9200"]
    #index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    index => "test-log"
    #user => "elastic"
    #password => "changeme"
  }
  #file {
   #path => /usr/local/test-2013-05-29.txt
   #codec => line { format => "custom format: %{message}"}
   #gzip => false #Gzip the output stream before writing to disk.
  #}
  #stdout { codec => json } #输出到控制台 json格式
}

2.3,filter 基本讲解

logstash支持多种过滤器,

常用的过滤器如下:

grok :用于匹配log,生成模块化数据,匹配成功的话,会在返回的字段中多几个自定义的模块化字段

filter {
  grok {
    match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %
     {NUMBER:bytes} %{NUMBER:duration}" }# 55.3.244.1 GET /index.html 15824 0.043
  }

}

测试log数据: 

 example log:  55.3.244.1 GET /index.html 15824 0.043

返回的json数据:

{
    "offset":10,
    "@version":"1",
    "beat":{
        "name":"izuf6136vql89ybnyypmbaz",
        "hostname":"izuf6136vql89ybnyypmbaz",
        "version":"6.5.3"
    },
    "message":"55.3.244.1 GET /index.html 15824 0.043",
    "request":"/index.html",
    "input":{
        "type":"log"
    },
    "host":{
        "id":"963c2c41b08343f7b063dddac6b2e486",
        "name":"izuf6136vql89ybnyypmbaz",
        "os":{
            "version":"7 (Core)",
            "codename":"Core",
            "platform":"centos",
            "family":"redhat"
        },
        "containerized":true,
        "architecture":"x86_64"
    },
    "prospector":{
        "type":"log"
    },
    "bytes":"15824",
    "duration":"0.043",
    "source":"/usr/local/logs/catalina.out",
    "client":"55.3.244.1",
    "@timestamp":"2018-12-22T08:44:09.372Z",
    "tags":[
        "beats_input_codec_plain_applied"
    ],
    "method":"GET",
    "meta":{
        "cloud":{
            "availability_zone":"cn-shanghai-d",
            "region":"cn-shanghai",
            "instance_id":"i-uf6136vql89ybnyypmba",
            "provider":"ecs"
        }
    }
}

2.4,自定义过滤器

自定义过滤器需要建立自己的正则文件,并且在logstash.conf的过滤器里面制定自己的过滤器文件路径(patterns_dir)和过滤器文件的名称规范(patterns_files_glob),不过默认的patterns_files_glob是 "*"也就是匹配patterns_dir路径下的所有合格的正则文件。

以下是官网自定义过滤器:

logstash.cong:

filter {
  grok {
    #55.3.244.1 GET /index.html 15824 0.043
    #match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %#{NUMBER:bytes} %{NUMBER:duration}" }
    #自定义拦截器
    #patterns_dir => ["./patterns"]
    patterns_dir => ["/usr/local/logstash-6.5.3/config/patterns"]
    patterns_files_glob => "*"
    match => { "message" => "%{SYSLOGBASE} %{POSTFIX_QUEUEID:queue_id}: %{GREEDYDATA:syslog_message}" }
  }

}

注意:这里的patterns_dir  我使用官网只是的相对路径,怎么都不对,所以改成了绝对路径,不知哪位大佬有空研究,可以告诉我一下,这里的相对路径该怎么写(可能是我的patterns文件夹放错位置了)。author: 577334945@qq.com

postfix:

# contents of ./patterns/postfix:
POSTFIX_QUEUEID [0-9A-F]{10,11}

文件结构如下:

官网:https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html

3,启动

bin/logstash -f logstash.conf

更多配置:https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html

EQuaker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、云计算-私有云-国产-华为-FusionCloud+HCIE Cloud相关知识点+笔试题库
stqer的博客
08-02 3137
企业IT向云化和数据智能逐步演进FusionCloud功能架构FusionCloud系统架构ManageOne在FusionCloud私有云解决方案承担CMP(Cloud Management Platforms)的职责,通过自研和集成的方式,为企业客户提供对企业私有云资源及企业租用的公有云资源统一管理的能力,包括租户自服务界面,云产品管理和产品目录,计量,计算、存储和网络资源自动化配置,云服务和云资源的运维监控等。ManageOne在FusionCloud的位置。....................
python培训班-Python培训机构_高品质Python线下开发培训班推荐-黑马程序员
q6q6q的专栏
10-28 1374
Python编程基础基础班1课时:15天技术点:97项测验:2次学习方式:线下面授学习目标1.掌握Python开发环境基本配置|2.掌握运算符、表达式、流程控制语句、数组等的使用|3.掌握字符串的基本操作|4.初步建立面向对象的编程思维|5.熟悉异常捕获的基本流程及使用方式|6.掌握类和对象的基本使用方式|7.掌握学生管理系统编写主讲内容1Python基础语法基础语法是编程语言的第一课,打好基础才...
Logstash基本介绍和使用场景
peng_0129的博客
01-11 3477
什么是logstash,里面的基本工作流程input,filter,output等说明    什么是logstash (文档地址 https://www.elastic.co/guide/en/logstash/current/index.html)                    开源的日志收集引擎,具备实时传输的能力                    读取不同的数据源,并进行...
LogStash
难得糊涂
08-09 582
我觉得其实可以使用自定义Append的方式来收集日志.然后扔给JMS,在由后台进行消费入库.cuiyaonan2000@163.com。
【DevOps】Logstash详解:高效日志管理与分析工具
最新发布
Coder加油站的专栏
06-16 7374
Logstash是一个强大的数据处理工具,用于收集、过滤、转换和发送日志数据。它具有灵活的架构、丰富的插件和功能,以及广泛的社区和支持。通过使用Logstash,您可以轻松地处理和分析大规模的日志数据,并从提取有用的信息和洞察。无论是在单个服务器上还是在分布式环境Logstash都能提供出色的性能和可伸缩性。随着Elastic Stack的不断发展,Logstash也将继续演进和改进,以满足不断变化的日志处理需求。
Logstash
sanjiang521的博客
09-15 116
Logstash&kibanaLogstash简介具备实时数据传输能力的管道在ELK作为日志收集器安装LogstashLogstash如何工作Logstash对任何事件处理分为三个阶段编解码器运行Logstash的两种方式Logstash配置语法配置文件结构Logstash数据类型输入插件file:从文件获得事件流编解码器jsonrubydebug过滤器grok:使用正则表达式解析任意文本和结构grok自定义模式输出插件 Logstash简介 具备实时数据传输能力的管道 支持多种数据源输入 支持
Linux云计算SRE工程师-运维岗位的挑战与机遇
# 1. Linux云计算SRE工程师职责概述 ## 1.1 SRE工程师的定义与职责范围 SRE(Site Reliability Engineering)工程师是一种结合软件工程和系统工程实践...- 分析系统性能,优化系统架构,以适应不断增长的用户量和数据
使用ELK Stack建设SIEM
neal1991的专栏
06-26 1071
原文:Using the ELK Stack for SIEM译者:neal1991welcome to star my articles-translator , pr...
可视化全链路日志追踪
java_beautiful的博客
07-22 313
可观测性作为系统高可用的重要保障,已经成为系统建设不可或缺的一环。然而随着业务逻辑的日益复杂,传统的ELK方案在日志搜集、筛选和分析等方面愈加耗时耗力,而分布式会话跟踪方案虽然基于追踪能力完善了日志的串联,但更聚焦于调用链路,也难以直接应用于高效的业务追踪。 本文介绍了可视化全链路日志追踪的新方案,它以业务链路为载体,通过有效组织业务每次执行的日志,实现了执行现场的可视化还原,支持问题的高效定位。...
Logstash 介绍
weixin_30555125的博客
09-18 113
Logstash 介绍: Logstash 是一个开源的数据收集引擎具有实时管道能力, Logstash 可以动态的统一数据从不同的来源和使数据规范化到你选择的目的地。 当Logstash 起初驾驭创新到日志收集,它的功能很好的扩展超出使用案例。 任何事件的类型可以被丰富和改变使用一个input,filter和输出引擎,使用很多的本地的代码简化了采集的过程。 Logstash...
logstash
看驴生豪迈,不过从头再来
12-25 170
vim config/nginx.conf input { file { path => "/usr/local/nginx/logs/access.log" sincedb_write_interval => 5 # 每5秒钟写一次文件读取记录 start_position =>...
Logstash简单介绍
热门推荐
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集利用Filebeat和Logstash的组合,以及通过Kafka作为传输层来确保日志的实时更新和可靠性。" 在日志管理和分析领域,ELK栈是一个流行的解决方案,它提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值