logstash~logstash将本地文件中的日志作为input处理

已于 2023-02-03 15:54:52 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: Elastic 文章标签: logstash elasticsearch
于 2023-02-03 14:55:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feizuiku0116/article/details/128866998
版权

一、场景

测试环境中频繁操作产生日志例如打印刻录日志会比较浪费时间,想到将日志保存到本地文件汇总,然后使用logstash将本地文件作为input输入,即可在不实际操作的情况下对日志进行格式分析

二、解决方案

  1. 先将产生的日志保存到本地文件中,这里为了测试我使用的是stdin输入插件获取内容;使用file输出插件保存日志到本地文件
input{
    stdin{}
}
output{
    file{
    	path=>"/export/server/logstash-8.1.2/test.txt"
    	# 这句的作用是将文件作为json格式保存
    	codec=>"json"
	}
}

image-20230203141957105
image-20230203142046354
2. 本地获取到日志之后再次启动logstash,使用file输入插件将本地文件输入,使用stdout将日志输出,测试配置文件效果(启动logstash之后没有输出,在test.txt文件后加或删一个换行)

input{
    file{
    	path=>"/export/server/logstash-8.1.2/test.txt"
    	# 以json格式解析数据
		codec=>"json"
	}
}
output{
    stdout{}
}

image-20230203143047606
3. 检查发现还有很多冗余字段例如host.namelog等,使用mutate过滤插件对字段进行处理(当logstash不加载本地文件时,对文件进行简单操作即可,例如增加或删除一个空行)

input{
    file{
    	path=>"/export/server/logstash-8.1.2/test.txt"
    	# 以json格式解析数据
		codec=>"json"
	}
}
filter{
    mutate {
        remove_field =>[
            "[log][file]",
            "[host][name]"
        ]
        replace =>{
            "[event][original]"=>"%{message}"
        }
    }
}
output{
    stdout{}
}

image-20230203145324077

飞Link
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash 分布式日志管理
Alex的博客
10-24 965
日常部署服务时,为了达到 High Available 或是 Load Balance 的目的,经常会在多个服务器部署多个服务实例。不同实例的日志一般都是直接写入本地的日志文件,一旦出现问题或是日常检查,运维人员需要登录不同的服务器获取日志详情,十分低效。 因此,希望能够通过Logstash读取本地日志文件,并进行简单的处理,将非格式文本解析为格式化数据,最终输出到 ES 或是 MySQL 等数据库管理工具进行同一管理查看,提升运维人员的工作效率。
使用logstash作为docker日志驱动收集日志
01-20
logstash是一个开源的日志统一处理数据收集器,属于ELK的L,在日志收集领域应用广泛. docker默认的日志驱动是json-file,每一个容器都会在本地生成一个/var/lib/docker/containers/containerID/containerID-json.log,...
Logstash 输入,过滤器,输出
App20134833944的博客
03-09 1812
mutate插件是用来处理数据的格式的,你可以选择处理你的时间格式,或者你想把一个字符串变为数字类型(当然需要合法),同样的你也可以返回去做。ruby插件可以使用任何的ruby语法,无论是逻辑判断,条件语句,循环语句,还是对字符串的操作,对EVENT对象的操作,都是极其得心应手的。这个插件也是极其好用的一个插件,现在我们的日志信息,基本都是由固定的样式组成的,我们可以使用json插件对其进行解析,并且得到每个字段对应的值。在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找.
(三)ELK logstash input
weixin_30781107的博客
03-07 193
一,input模块 input插件官方详解:https://www.elastic.co/guide/en/logstash/current/input-plugins.html Logstash由三个组件构造成,分别是input、filter以及output。我们可以吧Logstash三个组件的工作流理解为:input收集数据,filter处理数据,output输出数据。 1、文件类型...
ELK Logstash 输入file插件
小楼一夜听春雨,深巷明朝卖杏花
12-10 465
Logstash 介绍 Logstash能够将采集日志、格式化、过滤,最后将数据推送到Elasticsearch存储。 Input:输入,输入数据可以是Stdin、File、TCP、Redis、Syslog等。 Filter:过滤,将日志格式化。有丰富的过滤插件:Grok正则捕获、Date时间处理、Json编解码、Mutate数据修改等。 Output:输出,输出目标可以是Stdout、File、TCP、Redis、ES等 输入插件(Input) 输入阶段:从哪里获取日志,.
InfluxDB从入门到精通:使用logstash解析日志文件写入数据到InfluxDB
最新发布
以梦为马
07-19 636
和把大象装进冰箱一样,使用Logstash读取日志文件,写入数据到InfluxDB,也仅仅需要三步哦。
logstashinput为file时文件没有变化时读过一次就不再读了
QYHuiiQ
11-10 782
在测试阶段时,会对同一个文件读很多次,但是发现有的时候好像logstash就跟没读文件似的,遇到这种情况,我们可以添加两个属性,这样每次读的时候就会重新读。 start_position => "beginning" 、、表示文件从开头读取 sincedb_path => "/dev/null" //这个属性指定的是读取文件的进度记录到哪个文件了。看到很多地方写的是/dev/...
logstash-input-mqtt:Logstash MQTT输入插件
05-15
我们使用asciidoc格式编写文档,因此源代码的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc...
logstash-input-kafka:Logstash 的 Kafka 输入
05-30
Kafka 日志不遵守 Log4J2 根记录器级别并默认为 INFO,对于其他级别,您必须在 Logstash 部署的log4j2.properties文件明确设置日志级别,例如: logger.kafka.name=org.apache.kafka logger.kafka.appenderRef....
ApiInsights:将请求日志通过NLog输送到Logstash
05-14
2、修改WebApp下的nlog.config文件type为Network的节点的Logstash接受地址 3、在Logstash主机上添加如下配置,重启Logstash input { tcp { port => 8102 } } filter{ json { source => "message" } date { match => ...
logstash-input-cloudwatch-logs, Logstash的输入插件,用于从CloudWatch日志流事件.zip
10-09
logstash-input-cloudwatch-logs, Logstash的输入插件,用于从CloudWatch日志流事件 用于CloudWatch日志Logstash输入 来自CloudWatch日志的流事件。命令行目指定单个日志组或者组 array,这里插件将扫描该组的...
02-Logstash 输入
jianghuixin
08-10 452
Logstash 02 插件列表 查看所有的输入插件 logstash-plugin list --group input 直接 logstash-plugin list 会列举所有的 logstash 插件 准备工作 修改 /usr/share/logstash-7.14.0/config/logstash.yml, 具体路径根据 Logstash 安装目录修改 也可以在启动 Logstash 时指定 --config.reload.automatic 输入插件 Heartbeat input
使用logstashinput file filter收集日志文件
huan的学习记录
05-10 1309
使用logstashinput file filter收集日志文件一、需求二、实现步骤1、前置知识2、编写pipeline文件3、Input file 插件的部分参数解释:4、启动logstash5、测试三、参考链接 一、需求 使用logstash读取本地磁盘上的文件,并通过标准输出输出出来。 二、实现步骤 1、前置知识 1、读取本地磁盘文件? ​ 可以通过 input file plugin 来实现。 2、如何保证文件的每一行只读取一次? ​ 这个是通过 sincedb来保证的。 2、编写p
【原创】大数据基础之Logstash(4)高可用
weixin_30892987的博客
04-08 514
logstash高可用体现为不丢数据(前提为服务器短时间内不可用后可恢复比如重启服务器或重启进程),具体有两个方面: 进程重启(服务器重启) 事件消息处理失败 在logstash对应的解决方案为: Persistent Queues Dead Letter Queues 默认都没有开启; 另外可以通过docker或marathon或systemd来实现进程的自动重启...
Logstash:如何运用 Elastic Stack 结合 RSS feeds 告知可能性
Elastic 中国社区官方博客
09-29 906
作为 Elasticians,我们有机会观察各种 Elastic 用例。作为前 SOC 分析师,我们发现自己被安全用例所吸引。我们一直在寻找利用为 Elastic 和网络安全社区增加价值的方法。我们一直在研究——筛选新闻文章、白皮书、数据库等。我们意识到我们花了很多时间访问相同的站点并且需要整合提(呃!)。下面,我们将详细介绍我们如何使用 RSS 提要、LogstashElasticsearch 和 Kibana 来摄取、整合、聚合、可视化和搜索感兴趣的网络安全内容,以及如何做到这一点。】
Logstash的输入、过滤和输出
lonely_baby的博客
02-28 1035
Logstash 是一个开源数据收集引擎,能够实时处理和转换各种格式的日志和事件数据。它的数据流处理主要分为三个阶段:输入(input)、过滤(filter)和输出(output)。总的来说,Logstash 的输入、过滤和输出可以根据不同的需求组合起来,形成灵活、高效的数据处理流程,以满足不同的业务场景和应用场景。
Logstash日志处理-Logstash的使用
上官玺的博客
10-07 4003
日志可以协助我们的调试和开发。在开发尽量使用日志的方式来调试,是我们推荐的做法。尽量避免使用System.out.println. 因为很多时候我们调试完毕都要进行删除调试代码。留下会给程序增加运行时间。而日志可以很方便的控制级别就可以控制是否输入,而支持存储的形态很多。比如数据库,文件等。所以日志是我们开发必不可少的一环。如果级别是:debug ,debug和 info以及error都会输出如果级别是:info ,那么只会打印初:info和error。
一次logstash的实践解锁了如此多的玩法....
microGP的专栏
08-18 640
上文就是使用logstash实现整个需求的全过程,可以看到,需求虽小,但是涉及到的问题和内容还是很丰富的,logstash常规的问题基本上都遇到了。但这也是件好事,毕竟这样后续再次使用logstash的时候试错成本就会低很多。只要能正常的用起来,logstash的效率以及稳定性还是比我们手写的软件强很多,更重要的是节省了我们很多的开发以及测试工作量。虽然如此,但是logstash也有自己的缺点。其最让人诟病的就是logstash耗资源较大,运行占用CPU和内存高。...
ELK详解(八)——Logstash收集系统日志实战
永远是少年
04-05 6859
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集系统日志。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
logstash收集日志文件的配置
05-24
以下是一个简单的 Logstash 配置文件示例,用于收集指定目录下的所有日志文件: ``` input { file { path => "/path/to/logs/*" start_position => "beginning" } } filter { # 在这里添加需要的过滤器,例如 grok、mutate、date 等 } output { # 在这里添加需要的输出器,例如 elasticsearch、stdout 等 } ``` 说明: - `input` 部分使用 `file` 插件,用于从指定目录下收集日志文件。`path` 参数指定了日志文件所在的路径,`start_position` 参数设置为 `beginning`,表示从文件开头开始读取。如果设置为 `end`,则表示从文件末尾开始读取。 - `filter` 部分用于对收集到的日志进行过滤和处理。例如,可以使用 `grok` 插件对日志进行解析,使用 `mutate` 插件进行字段操作等。 - `output` 部分用于将处理后的日志输出到指定的目的地。例如,可以将日志输出到 Elasticsearch ,或者使用 `stdout` 插件将日志输出到控制台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值