2、Logstash 篇之插件详解

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: Elastic学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingdianone/article/details/86715916
版权

文章目录

input插件详解及glob讲解

input Plugin

.input插件指定数据输入源,一个pipeline可以有多个input插件,我们主要讲解下面的几个input插件

  • stdin
  • file
  • kafka

Input Plugin – stdin

·最简单的输入,从标准输入读取数据,通用配置为:

  • codec类型为codec-type类型为string ,自定义该事件的类型,可用于后续判断
  • tags类型为array ,自定义该事件的tag ,可用于后续判断
  • add_field类型为hash ,为该事件添加字段
input{
   
stdin{
   
codec=>"plain"
tags=>["test"]
type=>"std"
add_field=>{
   "key"=>"value"}

}
}
output{
   
stdout{
   
codec=>"rubydebug"
}
}

在这里插入图片描述

Input Plugin-file

·从文件读取数据,如常见的日志文件。文件读取通常要解决几个问题:

  • 文件内容如何只被读取一次?即重启L时,从上次读取的位置继续
    • sincedb
  • 如何即时读取到文件的新内容?
    • 定时检查文件是否有更新
  • 如何发现新文件并进行读取?
    • 可以,定时检查新文件
  • 如果文件发生了归档(rotation)操作,是否影响当前的内容读取?
    • 不影响,被归档的文件内容可以继续被读取
理论实现源码:

在这里插入图片描述

  • path类型为数组,指明读取的文件路径,基于glob匹配语法
    path => ["/var/log/*/*log", “/var/log/message”]

  • exclue类型为数组排除不想监听的文件规则,基于glob匹配语法
    exclude => “*.gz”

  • sincedb-path类型为字符串,记录sincedb文件路径

  • start-postion类型为字符串, beginning or end ,是否从头读取文件

  • stat interval类型为数值,单位秒,定时检查文件是否有更新,默认1秒

  • discover interval类型为数值,单位秒,定时检查是否有新文件待读取,默认15秒

  • ignore-older类型为数值,单位秒,扫描文件列表时,如果该文件上次更改时间 1 超过设定的时长,则不做处理,但依然会监控是否有新内容,默认关闭

  • close older类型为数值,单位秒,如果监听的文件在超过该设定时间内没有新内容,会被关闭文件句柄,释放资源,但依然会监控是否有新内容,默认3600秒,即1个小时

Input Plugin – glob匹配语法

在这里插入图片描述
在这里插入图片描述
实际生产中不会从头读取
在这里插入图片描述
建议调试中设置sincedb_path;每次都会从头读取
在这里插入图片描述

Input Plugin - kafka

在这里插入图片描述

codec插件详解

Codec Plugin

Codec Plugin作用于input和output plugin ,负责将数据在原始与LogstashEvent之间转换,常见的codec有:

  • plain读取原始内容
  • dots将内容简化为点进行输出
  • rubydebug将Logstash Events按照ruby格式输出,方便调试
  • line处理带有换行符的内容
  • json处理json格式的内容
  • multiline处理多行数据的内容

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
错误输入
在这里插入图片描述
正确输入
在这里插入图片描述

Codec Plugin – multiline

·当一个Event的message由多行组成时,需要使用该codec ,常见的情况是堆栈日志信息的处理,如下所示:
在这里插入图片描述
主要设置参数如下:

  • pattern设置行匹配的正则表达式,可以使用grok
  • what previouslnext ,如果匹配成功,那么匹配行是归属上一个事件还是下一个事件
  • negate true or false是否对pattern的结果取反
最低0.47元/天 解锁文章
-无妄-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash之ruby模块
lvjingang的博客
10-11 6508
最近二期开始上线了,一直没顾上写博客,今天忙里偷闲写一关于logstash的,项目引入elk有半年多了,由于日志记录的错综复杂.之前解析都是通过ruby进行字符串分割实现,但是这个月对日志记录这块做了调整,全部采用json方式记录.这样一来logstash解析日志这块就的重新实现.json嵌套了2层,如果直接用json进行格式化,es中会有冗余字段,所以只能人工解析json,话不多说...
logstash将两个field合并成一个field方法
山间明月江上清风的专栏
04-20 7359
今天格式化一个日志,日期不好取,分成了两个字段。后来date又支持一个字段date {      match => ["time", "yyyy-MM-dd HH:mm:ss.SSS" ]    }mutate的merger没用,时把两个字段合成数组了。最后找到了方案,用alteralter{      add_field => { "fullTime" => "%{day} %...
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1179
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
Logstash
weixin_43939924的博客
03-30 2212
https://www.elastic.co/guide/en/logstash/current/input-plugins.html 1、标准输入(Stdin) input{ stdin{ } } output { stdout{ codec=>rubydebug } } 2、读取文件(File) logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被
Logstash file插件
Blue summer的博客
04-29 444
Logstash使用一个名叫FileWatch的Ruby Gem库来监听文件变化。这个库支持glob展开文件路径,而且会记录一个叫.sincedb的数据库文件来跟踪被监听的日志文件的当前读取位置。 1、file插件 file插件主要用于本地文件, input { file { path => ["/var/log/*.log", "/var/log/message"]...
[logstash-input-file]插件使用详解(转)
weixin_34365417的博客
10-09 243
最小化的配置文件 在Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下:       1 2 3 4 5 6 7 8 9 10 11 input {     file {         path => "E:/software/logstash-1.5.4/logstash-1.5.4/data/*"     } } fi...
logstash-output-jdbc插件
09-28
**Logstash-output-jdbc插件详解** Logstash是一款强大的数据收集、处理和转发工具,它在ELK(Elasticsearch, Logstash, Kibana)堆栈中扮演着核心角色。`logstash-output-jdbc`是Logstash的一个输出插件,用于将...
[Logstash]使用详解1
08-03
Logstash 是一款轻量级的日志收集和处理框架,它能有效地将分散的、多样的日志数据汇聚在一起,经过自定义的处理后,发送到指定的目标,如服务器或文件。这款工具简单易用,适合各种环境下的日志管理。 在安装...
logstash-output-jut:logstash输出插件,发布多个记录的json数组
05-06
Logstash中运行未发布的插件2.1在本地Logstash克隆中运行2.1.1 1.5及更高版本编辑Logstash Gemfile并添加本地插件路径,例如: gem "logstash-output-jut" , :path => "/your/local/logstash-output-jut" 安装插件...
logstash-ODBC.rar
08-31
1. **logstash-output-jdbc 插件详解**: - **配置**:该插件的配置主要包括数据库连接信息(如URL、用户名、密码)、SQL查询语句以及是否启用增量加载。通过这些配置,你可以指定插入、更新或查询操作,并且可以...
logstash ELK
11-05
**Logstash ELK 知识点详解** Logstash 是 Elastic Stack 的重要组成部分,与 Elasticsearch (EL) 和 Kibana (K) 合称为 ELK Stack。这个强大的工具主要用于日志管理和分析,它允许用户从各种数据源收集数据,进行...
Logstash add_field 参数应用
weixin_30877755的博客
04-11 1927
使用 add_field 参数有两种需求: 1. 直接加入到 event 的 hash 顶级对象中 add_field => { "my_field_one" => "one" } 那么,结果会类似: { "公司名称" => "xxx", "BUG_ID" => 1234, ...
[logstash-input-file]插件使用详解
weixin_33935505的博客
09-13 292
  前介绍过Logstash的使用,本继续深入,介绍下最常用的input插件——file。   这个插件可以从指定的目录或者文件读取内容,输入到管道处理,也算是logstash的核心插件了,大多数的使用场景都会用到这个插件,因此这里详细讲述下各个参数的含义与使用。 最小化的配置文件   在Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下: ...
logstash过滤器插件filter详解及实例
wo4owen的博客
06-18 351
logstash过滤器插件filter详解及实例 1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址。 例如: 我们的试验数据是: 172.
LogStash的配置详解
趣学程序
06-27 4560
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
Logstash~filter通用配置项使用教程(附带实例)
feizuiku0116的博客
04-26 3134
一、add_field 功能:添加字段 介绍:在filter过滤成功之后,可以添加字段,可以添加多个字段,必须写在filter组件内部,可以动态添加字段 filter{ grok{ match => { "message" => "%{NUMBER:number} %{WORD:name}" } add_field => { "f1" => "field1" "f2" =
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1322
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段中...
[log]logstash添加字段.geoip展示
毛台
09-17 6518
add_field配置文件input{ file{ add_field => {"testfield"=>"testfield"} path => ["/tmp/a.txt"] type => "a-txt" } }output{ if [type] == "a-txt"{ elasticsearch{
logstash tcp插件
07-28
要使用Logstash的TCP插件,您需要在Logstash配置文件中进行相应的配置。下面是一个简单的示例: ``` input { tcp { port => 5000 } } output { stdout { codec => rubydebug } } ``` 在上述示例中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值