ELK生态:Logstash增量读取txt文件数据,导入到Elasticsearch

最新推荐文章于 2024-02-24 02:01:29 发布
最新推荐文章于 2024-02-24 02:01:29 发布
阅读量5.1k 收藏 12
点赞数 4
分类专栏: es-logstash Elasticsearch 文章标签: logstash elasticsearch txt json 导入文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alan_liuyue/article/details/91999870
版权

简介

  1. ELK生态之Logstash导入数据到Elasticsearch;
  2. 数据源:txt格式文件,内容为json或json数组
  3. Elasticsearch和Logstash版本:5.6.1
  4. 前提环境:Elasticsearch单机或集群;Logstash客户端

实践

  • txt文件内容:
[{"name":"sixmonth","sex":"男"},{"name":"xiaoming","sex":"男"}]
[{"name":"xiaoxie","sex":"男"},{"name":"xiaodou","sex":"男"}]

 

  • logstash.conf配置:

#1.读取数据txt文件,数据输入阶段
input {
    file{
        #设置txt文件路径,多个文件路径可设置成数组[],模糊匹配用*
        #指定单一文件
        #path => "/data/es/logstash-5.6.1/files/test.txt"
        #指定数组文件
        #path => ["/data/es/logstash-5.6.1/files/test-1.txt","/data/es/logstash-5.6.1/files/test-2.txt"]
        #指定同级目录模糊匹配
        #path => "/data/es/logstash-5.6.1/files/test*.txt"
        #指定多级目录模糊匹配
        path => "/data/es/logstash-5.6.1/files/**/test*.txt"
        
        #设置logstash开始读取文件内容位置,begining为从头开始,end为只读取最新数据
        start_position => beginning
        
        #设置编码
        codec => json {charset => "UTF-8"}
        
        #设置输入输出标识
        type => "txt_index"
    }
 }  
  
#2.过滤格式化数据阶段
filter {
   
    mutate{
        #删除无效的字段
        remove_field => ["@version","message","host","path"]
    }
    
    #新增timestamp字段,将@timestamp时间增加8小时
    ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" }
    
}

#3.数据输出到ES阶段
output {

    #日志输出格式,json_lines;rubydebug等
    stdout {
        codec => rubydebug
    }
    
    #输出到es
    if[type] == "txt_index"{
    
        #无法解析的json不记录到elasticsearch中
        if "_jsonparsefailure" not in [tags] {
            elasticsearch {
                #es地址ip端口
                hosts => "127.0.0.1:9200"
                #索引
                index => "txt_index"
                #类型
                document_type => "txt_index"
                #覆盖模板,不需要可注释掉,通用模板下载:https://download.csdn.net/download/alan_liuyue/11241484
                template_overwrite=>true
                template=>"/data/es/logstash-5.6.1/template/logstash.json"            
                
            }
        }
    }
    
}

 

  •  补充file-input字段说明:
codec => #可选项,默认是plain,可设置其他编码方式;

discover_interval => #可选项,logstash多久检查一下path下有新文件,默认15s;

exclude => #可选项,排除path下不想监听的文件;

sincedb_path => #可选项,记录文件以及文件读取信息位置的数据文件;

sincedb_write_interval => #可选项,logstash多久写一次sincedb文件,默认15s;

stat_interval => #可选项,logstash多久检查一次被监听文件的变化,默认1s;

start_position => #可选项,表示从哪个位置读取文件数据,初次导入为:beginning,最新数据为:end

path => #必选项,配置文件路径,可定义多个,也可模糊匹配;

tags => #可选项,在数据处理过程中,由具体的插件来添加或者删除的标记;

type => #可选项,当有多个file的时候,可用于一对一匹配输入或者输出;

 

注意事项

  1. logstash启动之后,进程会一直处于运行状态,若txt文件被修改,程序会自动监听,导入新数据
  2. 若需要重新导入数据,则需要删除logstash安装目录下 \plugins\inputs\file 下的文件(该文件属于隐藏文件),所以直接删除该目录即可,之后目录会重新生成;

 

总结

  1. Logstash读取csv文件内容导入Elasticsearch,在数据源采集方面特别普遍,采集配置方式也特别简洁,程序猿有兴趣可继续深入挖掘;
  2. 实践是检验认识真理性的唯一标准,自己动手丰衣足食~

 

尘光掠影
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elk-docker:ElasticsearchLogstash,Kibana(ELK)Docker映像
04-30
ElasticsearchLogstash,Kibana(ELK)Docker映像 通过打包ElasticsearchLogstash和Kibana(统称为ELK),此Docker映像提供了一个方便的集式日志服务器和日志管理Web界面。 文献资料 有关如何使用此映像的完整说明,请参见。 Docker集线器 该映像托管在Docker Hub上,为 。 可以使用以下标记: latest , 7.12.0 :ELK 7.12.0。 oss-7.12.0 (ELK OSS 7.12.0), 7.11.2 (7.11.2), oss-7.11.2 (OSS 7.11.2), 7.11.1 (7.11.1), oss-7.11.1 (OSS 7.11.1), oss-7.11.0 (OSS 7.11.0), 7.11.0 (7.11.0), oss-7.10.2 (OSS 7.10.2)
ELKlogstash使用------logstashtxt文本的json数据导入elasticsearch
种一颗十年前的树
05-25 1000
1.数据格式为txt文本的json格式数据,首先需要将数据转换格式为csv格式 public static void main(String[] args) throws JSONException, IOException { FileUtils.writeStringToFile(new File("你要导出的文件路径"), Json2Csv("你的json数据")); } public static String Json2Csv(String json) throws JSONEx
Elasticsearch专栏 10】深入探索:Elasticsearch如何进行数据导入和导出
最新发布
weixin_40736233的博客
02-24 1458
Elasticsearch数据导入常通过Bulk API、Logstash或Java客户端进行,支持JSON、CSV等格式。导出则可通过SQL查询、Scroll API或第三方工具如elasticdump实现,将数据JSON、CSV等格式导出。这些方法确保了数据的高效、安全导入与导出。
Logstash收集Tomcat集群日志的解决方案.txt
09-10
企业级elk收集tomcat日志
avro-file-elk:将数据从 Avro 文件导入 ELK 的注意事项
06-08
将 Avro 文件导入 ELK 我一直在研究通过 Logstash 将存储的 Avro 数据文件导入 Elasticsearch 的最佳方法。 这些是关于此的一些说明。 首先,没有明显的方法可以让 Logstash 打开任意 Avro 文件读取它们。 这在技术上看起来很简单,因为 Avro 文件具有自包含的模式,但我相信我们需要一个自定义文件输入来实现这一点。 有一个 Logstash对此进行了讨论,这导致 / 被消除。 这很好,但它假设您在 Kafka 上发布数据,每个模式有一个主题,而不是从文件读取Logstash 文件插件假定您正在读取分隔文件。 通过 Kafka 的 Avro 编解码器 优点 可以使用 Avro 模式解析来过滤字段 建筑性感你可以用消息队列做很多其他的事情 存在 缺点 必须提前知道架构你认为这是什么,Protobuf? 必须将文件重新发布到 Kafk
r2elk:Radare2元数据提取到Elasticsearch
05-08
R2ELk数据二进制分类到ELK 关于该项目 R2ELK利用的Python绑定从ELF和PE文件提取元数据,并使用YARA规则存储库作为匹配的子模块。 尝试提取/识别的数据如下: 文件文件格式 MD5哈希 SHA1哈希 建筑学 二进制大小 使用的编程语言(由r2标识) 编译器信息 编译时间 剥离 静止的 签 弦乐 PDB文件路径 基地址 进口货 出口产品 Yara规则匹配 安装 依存关系 sudo pip3 install -r requirements.txt 如果使用yara规则进行样本标记: git submodule update --recursive 用法示例 注意:以下示例是直接导入Elasticsearch而不是Logstash。默认情况下,索引为“ samples” 获取有关单个二进制文件的元数据: /r2elk.py --file /bin/l
【大数据实战】将普通文本文件导入ElasticSearch
weixin_30606461的博客
03-08 3399
以《刑法》文本.txt为例。 一、格式化数据 1,首先,ElasticSearch只能接收格式化的数据,所以,我们需要将文本文件转换为格式化的数据---json。 下图为未处理的文本文件。 2,这里,使用python文件操作,将文本格式化为ElasticSearch可识别的json格式。 #python 3.6 #!/usr/bin...
elasticsearch集群和logstash同步txt-json文件
yuanpeij的博客
11-18 1303
elasticsearch集群和logstash同步txt/json文件 1.ES集群 前期准备: 1.3台linuxJAVA环境配置,docker安装 可以参考: https://blog.csdn.net/yuanpeij/article/details/116491684 1.三台docker先pull elasticsearch docker pull elasticsearch:7.0.0 2.添加配置文件 2.1 第一台 mkdir /home/esconfig vi /home/esc
elasticsearchtxt文件导入数据,filebeat+logstash+kafka+elasticsearch
RanGe的博客
04-26 2145
elasticsearchtxt文件导入数据 filebeat+logstash+kafka+elasticsearch1. 直接使用logstash+elasticsearch导入1.1 logstash安装1.2 logstash配置文件1.3 logstash启动以及常见问题2. 大量数据时使用kafka进行削峰处理数据2.1 logstash配置2.2 logstash启动3. 文件过...
Elasticsearch(集群)+Logstash+Java整合实现Word、PDF,TXT文件的全文内容检索功能-Linux版
m0_37951794的博客
12-01 1163
elasticsearchlogstash在linux环境安装部署运行
logstash配置读取文本文件使用kafka传送到kafka服务器
我的眼中只有你
12-08 3189
输入命令测试: bin/logstash -f logstash.conf  logstash配置文件,从终端读取内容,然后从终端上显示出来 input {     stdin {         add_field => {"key" => "value"}         codec => "plain"         tags => ["add"]         ty
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰 该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档的主类型。 第二种类型是“摄取”类型,这是ElasticSearch文档的摄取类型。 接收节点包括一个基于CPU使用率的horizo​​ntalalPodAutoscaler,这些节点连接到Kibana的内部服务以及外部HTTP输入的外部服务。 第三种类型是“数据”节点。 这些是使用statefulSet和PersistentVolumeClaims构造的,它们会相应缩放。 您只能按比例缩放(+ 1,-1,到最新的容器),并且所有通用的ElasticSearch规则都适用(如果删除的节点数量超过允许群集重新平衡自身之间无法承受
docker-elk-logstash:Logstash 泊坞窗图像
07-12
ELK - Logstash 镜像 用于使用图构建 ELK 堆栈的 Logstash 图像。 参见
logstash-input-file使用
热门推荐
老柴菜鸟
04-20 1万+
要学习该插件,第一步先让该插件跑起来再说 首先,我们创建一个文本文件, 文本文件的内容如下 [sqczm@sqczm first]$ pwd /opt/logstash-6.7.1/demo/first [sqczm@sqczm first]$ more users.txt name: zhangsan, age: 21, addr: "国 北京" name: lisi, age:20,add...
ElasticSearch导入txt文本或者json文本
weixin_30826761的博客
06-24 3633
前段时间做的东西,闲下来做一下整理记录。 业务:将数据从本地恢复到ES上,本地文件较大,解压后数据量在10个G左右的数据。 逻辑处理:针对业务需求,共尝试过三种次实践。   一、使用bulk:ES本地支持的批量导入方式,推荐文本大小在10-15M左右,文件的上限应该是不能超过200M(不确定)。   二、使用logstash:ES官方的另一个产品,将数据文本转换为ES的数据源。...
Elasticsearch如何实现Word、PDF、TXT 全文内容检索?
Java精选
10-20 1425
前言能支持文件的上传,下载要能根据关键字,搜索出文件,要求要能搜索到文件里的文字,文件类型要支持word,pdf,txt文件上传,下载比较简单,要能检索到文件里的文字,并且要尽量精确,这种情况下很多东西就需要考虑进去了。这种情况下,我决定使用Elasticsearch来实现。因为准备找工作刷牛客的原因,发现很多面试官都问到了Elasticsearch,再加上那时候我连Elasticsearch是什...
Logstash导入数据
qq_43616574的博客
11-21 209
使用logstash 导入工具从mysql导入数据 Logstach安装 sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 在 /etc/yum.repos.d/ 创建logstash.repo文件 [logstash-6.x] name=Elastic repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/6
.txt文件logstash写入es的无法多次导入
qq_34295546的博客
12-20 652
首先我是按照https://elasticsearch.cn/question/1468来写的logstash的conf文件 和上面的链接一样,在第二次使用的时候不能导入数据,是sincedb文件缓存的原因 执行如下操作 问题得以解决...
Logstash之input插件监控日志文件
传智燕青
11-24 1576
Logstash介绍 logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在间加上滤网,Logstash提供里很多功能强大的滤网以满足你的各种应用场景 Input插件监控日志 1:stdin标准输入和stdout标准输出 首先执行命令: bin/logstash -e 'input { stdin { } }...
Logstash的作用是什么?它如何将数据传输到Elasticsearch
06-08
Logstash是一个开源的数据收集引擎,主要用于处理各种类型的数据,包括日志和事件。它可以从多种来源(如文件、网络、数据库等)收集数据,并将其转换为可用于Elasticsearch的格式。Logstash的主要作用是将数据从源(如应用程序、系统、服务器等)收集并传输到Elasticsearch,以进行搜索、分析和可视化等操作。 Logstash可以通过不同的“插件”来实现数据的收集和转换。例如,它可以使用input插件从文件、网络、数据库等各种来源收集数据;使用filter插件对数据进行转换、过滤和格式化;最后使用output插件将处理后的数据传输到Elasticsearch。 在Logstash数据的传输通常使用Elasticsearch output插件。该插件会将数据JSON格式发送到Elasticsearch,以便进行索引和分析。在配置Logstash时,需要指定Elasticsearch集群的地址和端口,以及要发送的数据的索引名称和类型。同时,还可以配置一些其他的选项,如数据批量发送的大小、超时时间等等。 总的来说,Logstash的作用是将数据从各种来源收集和转换,然后将其传输到Elasticsearch,以进行搜索、分析和可视化等操作。它是ELK非常重要的组件之一,也是实现日志管理和监控的关键。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值