Logstash配置详解

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: # 日志 文章标签: 运维 后端
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/dq501940131/article/details/105288678
版权

目录摘要

图文并茂搞定Logstash

此篇不谈优劣,只谈配置

一、版本说明

因为logstash版本迭代较快,每个版本的插件都有点区别,在使用logstash之前先想清楚自己的需求是什么,从哪种数据源同步到哪里,需要经过怎么样的处理,再确认哪个版本适合。
比如下面几点差异:

  1. filter中的http插件 ,6.6版本以后才有;
  2. output中jdbc的插件 7.1之前都没有;
    注意:最好在linux下进行调试或使用,windows下会出现乱码

二、下载

你可以从官网 link下载二进制版本包,如logstash-7.6.2.tar.gz。

三、安装

Linux终端 解压缩,解压完之后的目录参见官网link
注意:使用root权限操作,防止没有权限访问某些日志文件。

四、测试

在解压缩后的目录(例如:/home/elk/logstash-7.6.2)下,执行如下命令来验证是否安装成功

 bin/logstash -e 'input { stdin { } } output { stdout {} }'

等待启动成功,直接输入任意字符,例如 hello world .会有如下显示,则安装成功:

{
    "host" => "promote.cache-dns.local",
    "@version" => "1",
    "@timestamp" => 2020-04-03T02:16:28.722Z,
    "message" => "hello world"
}

五、配置文件

默认放置在解压缩目录(如/home/elk/logstash-7.6.2/config/)下,形如:logstash-sample.conf

1 输入插件

1.1 标准输入(Stdin)

配置示例

input {
    stdin {
    
    }
}

后面测试输出插件时,均用此子。

1.2 读取文件(File)

配置示例

input {
	#文件输入
	file {
        path => ["/var/log/messages"]  #监听的文件路劲,单个文件可以省略[],例如当前可简写成"/var/log/messages"。       
        type => "systemlog"  #标记事件类型。提前预定的各个事件对应类型。
        start_position => "beginning"  #从什么位置开始读取文件数据,默认是结束位置。
        stat_interval => "2"  #每隔多久检查一次被监听文件状态(是否有更新),默认是 1 秒。
	}
}
1.3 读取 Syslog 数据

我是在192.168.122.1机器上装了logstash,只在这一台机器上模拟测试。不同服务器间,原理一样。
配置示例,只是配置成syslog 服务器来接收数据

input {
  syslog {
    type => "system-syslog"
    host => "192.168.122.1"  #logstash所在主机IP
    port => "514"                   #监听端口
  }
}

root用户下执行如下命令,修改所有日志发送至ogstash服务器。

vim /etc/rsyslog.conf

注意:此处修改的是你想要收集日志的服务上的文件
修改后如下图:
配置日志转发至指定地址
*此处IP为安装logstash的主机地址
执行如下命令,令日志生效:

systemctl restart rsyslog

启动logstash后,运行命令

ss -lntp | grep 514

可见514端口启动了,如下图:
ss -ntlp执行结果
再看logstash控制台输出,如下:
logstash收集到的syslo信息
注意:测试完后记得将/etc/rsyslog.conf 复原。嘻嘻

1.4 读取 Collectd 数据

Collectd部分配置如下:

<Plugin network>
    <Server "192.168.122.1" "5999"> ## logstash 的 IP 地址和 collectd 的数据接收端口号
    </Server>
</Plugin>

Logstash配置示例:

	#Collectd 数据
	udp {
		port => 5999
		buffer_size => 1452
		workers => 3          # Default is 2
		queue_size => 30000   # Default is 2000
		codec => collectd { }
		type => "collectd"
	}

执行命令启动Collectd:

systemctl start collectd.service

启动logstash后,等候些许就有信息,如下:
部分信息

1.5 读取 Redis 数据

前提是有个可以正常运作的redis服务器,我环境信息为:
IP:10.148.180.204
PORT:6379
PASSWORD: 123456
注意防火墙问题,要不然写不进去。

1.5.1 列表模式

配置示例

input {
    redis {
        host => "192.168.64.1"   # redis主机地址,字符串或字符串数组,可以指定port,会覆盖全局port
        port => 6379               # redis端口号,默认6379
        password => "123456"       # redis 密码,默认不使用密码
        data_type => "list"        # 队列模式
        key => "logstash_list_0"   # 队列(列表)名称
        codec => plain
    }
}

成功启动logstash后,运行redis-cli,向list中加入数据:
在这里插入图片描述
随后观察logstash控制台,有如下信息:
在这里插入图片描述

指令概述
keys * ##列举出所有key
llen key ##查看对应key列表的长度
rpush key value ##向key列表中加入一条数据

1.5.2 发布/订阅模式

配置示例

input {
	redis {
		host => "192.168.64.1"
		port => 6379
	    password => "123456"
        data_type => "channel"
        key => "logstash_channel_0"
    }
}

成功启动logstash后,在redis-cli上发布,如下:
在这里插入图片描述
在logstash上查看,如下:
在这里插入图片描述
指令概述
publish channel message #将信息发送到指定的频道。

1.5.3 发布/订阅模式(多合一)

配置示例

redis {
		host => "192.168.64.1"
		port => 6379
		password => "123456"
        data_type => "pattern_channel"
        key => "logstash-channel-*"
    }

成功启动logstash后,在redis-cli上发布,如下:
在这里插入图片描述
在logstash上查看,如下:
在这里插入图片描述

1.5 读取网络数据

配置示例

input {
	tcp {
        port => 8888
        mode => "server"
        ssl_enable => false
    }
}

成功启动logstash后,另开一个终端,执行如下操作:
在这里插入图片描述
在logstash上查看,局部信息如下(直到nc命令结束为止,信息也就加载完):
在这里插入图片描述

过滤插件(暂缺)

输出插件

此处测试用的输入数据均采用控制台输入(前面有提到),这样便于测试。

3.1 标准输出(Stdout)

配置示例

output {
	#输出到控制台
	stdout { }
}

成功启动logstash后,直接输入任意字符(例如 Test output).控制台输出,如下:
结果

3.2 保存成文件(File)

配置示例

output {
	#输出到文件
	file {
		path => "/usr/local/logstash/logs/test.log" #指定写入文件路径
		flush_interval => 0  # 指定刷新间隔,0代表实时写入
		codec => json		#JSON格式
    }
}

成功启动logstash后,直接输入任意字符(例如 Test file) .控制台回显如下:
在这里插入图片描述
对应文件中会写入如下信息:
在这里插入图片描述

3.3 输出到 Redis

前提是有个可以正常运作的redis服务器,我环境信息为:
IP:10.148.180.204
PORT:6379
PASSWORD: 123456
注意防火墙问题,要不然写不进去。

3.3.1 列表模式

配置示例

output {
    redis {
        host => "10.148.180.204"   # redis主机地址,字符串或字符串数组,可以指定port,会覆盖全局port
        port => 6379               # redis端口号,默认6379
        password => "123456"       # redis 密码,默认不使用密码
        data_type => "list"        # 队列模式
        key => "logstash_list_0"   # 队列(列表)名称
    }
}

成功启动logstash后,直接输入任意字符(例如 Test redis) .可以在redis-cli上查看,如下:
在这里插入图片描述
指令概述
keys * ##列举出所有key
llen key ##查看对应key列表的长度
lpop key ##取出对应key列表中的一条数据

3.3.1 发布/订阅模式

配置示例

output {
	redis {
        host => ["10.148.180.204"] # redis主机地址,字符串或字符串数组,可以指定port,会覆盖全局port
        port => 6379               # redis端口号,默认6379
        password => "123456"       # redis 密码,默认不使用密码
        data_type => "channel"        # 发布/订阅模式
        key => "logstash_channel_0"   # 频道名称
    }
}

在redis-cli上订阅,如下:
在这里插入图片描述
成功启动logstash后,直接输入任意字符(例如 Test redis2) .可以在redis-cli上查看,如下:
在这里插入图片描述
指令概述
subscribe channel [channel …] #订阅给定的一个或多个频道的信息

六、常用命令

查看已安装插件列表:

./logstash-plugin list

启动logstash

./logstash -f  配置文件路径

启动logstash,重新加载配置文件

./logstash -f  配置文件路径  --config.reload.automatic

安装插件

 ./logstash-plugin install 插件名称
浮光月影
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-output-kafka:Logstash 的 Kafka 输出
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 Kafka 输出插件已移动 这个 Kafka 输出插件现在是的一部分。 在可能的情况下,该项目仍对该项目的修复向后移植到 8.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安
Logstash部署与使用
qq_19283249的博客
06-04 6788
Logstash是一个收集与处理数据的引擎,就像ElasticSearch是专门用来检索的引擎一样,Logstash用于收集、处理和转换各种数据源(文件、数据库、网站等)的数据,并将其转换为统一的格式。Logstash支持多种插件,进行数据过滤、转换和输出,可以方便地与 ES 和 Kibana 集成使用。还支持多线程处理和事件模型,可以在大规模数据处理场景下提供高性能、高可用的服务。
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1287
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
LogStash配置详解
趣学程序
06-27 4576
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
Logstash 数据采集框架详解
tian830937的专栏
01-13 800
文件描述配置Logstash的yml。包含在单个Logstash实例中运行多个管道的框架和说明。配置Logstash的JVM,使用此文件设置总堆空间的初始值和最大值,此文件中的所有其他设置都被视为专家设置。包含log4j 2库的默认设置。
Logstash 配置总结
热门推荐
知识的力量
10-31 1万+
#整个配置文件分为三部分:input,filter,output #参考这里的介绍 https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html input {   #file可以多次使用,也可以只写一个file而设置它的path属性配置多个文件实现多文件监控   file {    
Logstash的安装和配置
lonely_baby的博客
02-28 2620
需要注意的是,Logstash配置文件非常灵活,用户可以根据具体的需求进行修改和扩展,例如增加多个输入源、多个过滤器和多个输出目标等。另外,Logstash还支持多种输入和输出格式,例如文本、日志、JSON、CSV等,以及多种编解码方式。编写Logstash配置文件:Logstash配置文件是一个简单的文本文件,它定义了Logstash如何从数据源收集数据、如何处理数据以及如何输出数据。Logstash将会收到数据,并将数据解析为JSON格式,并将数据输出到标准输出。
[Logstash]使用详解1
08-03
如果没有提供配置文件,可以使用 `-e` 参数,传递一个字符串作为配置,例如,仅打印输入的文本,可以使用 `logstash -e ''`,此时Logstash默认从标准输入读取日志,输出到标准输出。 Logstash的工作流程采用管道...
logstash-ODBC.rar
08-31
在"**logstash-ODBC.rar**"中,可能包含的是关于如何通过ODBC驱动程序连接到不直接支持JDBC的数据库(如Oracle、DB2)的Logstash配置示例。ODBC提供了一个统一的接口,使得Logstash可以通过ODBC驱动与这些数据库进行...
logstash-output-jdbc插件
09-28
安装插件后,你需要在Logstash配置文件中添加`output`部分来使用`jdbc`插件。一个基本的配置示例可能如下所示: ```conf output { jdbc { jdbc_driver_library => "/path/to/jdbc/driver.jar" # 数据库驱动JAR...
logstash-template模板:logstash.json
06-14
- **加载模板**:在Logstash运行前,将模板上传到Elasticsearch集群,可以使用`PUT _template` API或者在Logstash配置文件中指定。 - **配置Logstash**:在Logstash的输出部分,通过`elasticsearch`插件的`...
logstash-input-jdbc
02-21
**Logstash-input-jdbc 插件详解** Logstash 是一个开源的数据收集引擎,它能够实时地从各种数据源中采集数据,然后进行过滤、转换,并将处理后的数据发送到各种目的地,如 Elasticsearch、Elastic Stack(原ELK ...
logstash配置语法
Baron_ND的博客
10-29 1707
logstash pipeline 包含两个必须的元素:input和output,和一个可选元素:filter。 从input读取事件源,(经过filter解析和处理之后),从output输出到目标存储库(elasticsearch或其他)。 在生产环境使用logstash,一般使用都将配置写入文件里面,然后启动logstash。 具体参照官网:https://www.elastic.co/guide/en/logstash/7.1/index.html 处理nginx日志 # v...
logstash启动过慢甚至卡死
Zhang Phil
06-28 1196
logstash部署后,前几次启动时间还算正常,但是越往后启动时间越长,甚至有时候感觉卡死了一样不动,解决方法之一,修改conf文件夹下面的jvm.options里面的两个值:Xms和Xmx,默认这两个值为1g,即内存大小(v8.2.3)。如果机器物理内存空间很大,那当然这两个值设置高些最好。一般机器,可以设置成2g、4g、6g、8g等,视机器自身物理内存大小而定:......
logstash的多种类型日志的配置方法
peter_wsh的博客
08-01 2137
elk日志工具,logstash部分的配置文件例子。
logstash配置文件
jialiu111111的博客
01-25 3454
logstash.yml配置文件 # ------------ Node identity ------------ #节点名称,默认主机名 node.name: test # ------------ Data path ------------------ #数据存储路径,默认LOGSTASH_HOME/data path.data: # ------------ Pipeline Settings -------------- #pipeline ID,默认main pipelin
Logstash~Logstash配置(logstash.yml)详解
feizuiku0116的博客
07-04 3156
LogStash配置详解
logstash配置简单说明
xuegaoxuegao的博客
02-26 775
Logstash:收集、解析和转换日志 | Elastic 接上文filebeat配置简单说明_xuegaoxuegao的博客-CSDN博客 日志采集推给logstash后,需要针对自己的需求做对应处理. input { beats { port => 9901 } } filter { #根据logstash接受的数据中 fileds字段下的logType来判断,采取不同策略 if [fields][logtype] == "newApp" {...
logstash配置中\s是什么意思
07-28
Logstash配置中,`\s`表示空白字符,包括空格、制表符和换行符。这个正则表达式模式可以用于匹配和处理文本中的空白字符。 #### 引用[.reference_title] - *1* *2* *3* [Logstash配置详解](https://blog.csdn.net/u012017645/article/details/127319892)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值