logstash的output配置中指定elasticsearch的template

最新推荐文章于 2024-05-23 21:37:25 发布
最新推荐文章于 2024-05-23 21:37:25 发布
阅读量1.3w 收藏 7
点赞数 2
分类专栏: elasticsearch logstash 文章标签: elasticsearch logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felix_yujing/article/details/78930389
版权

之前采用的是通过filebeat收集nginx的日志,直接到elasticsearch。filebeat带有nginx的module模块,通过这个nginx模块实现filebeat对nginx日志中字段的处理。最近由于一些实际的使用场景和需求,对nginx日志的收集和处理方式做了一下调整:

filebeat收集nginx原始日志信息到kafka,然后logstash再从kafka读取日志,并进行字段处理后送到elasticsearch集群。即相比原来的方式,添加了kafka层。

logstash从kafka读取过来的日志为json格式,字段的解析可以借助Grok Debugger工具来调,具体的解析方式这里就不细说了。这里主要说一下在logstash使用elasticsearch的template进行字段类型mapping的时候,需要注意的一点问题。

logstash将日志里的字段解析出来并发送到elasticsearch后,发现es上字段的默认的类型都是text的。如果对一些关键字需要做统计报表的时候,就会出现提示报错。如,我用grafana将elasticsearch做为数据源进行数据展示时遇到如下报错:
这里写图片描述
有报错提示可以看出,将nginx.access.remote_ip的字段换成keyword类型可以解决。

于是,参考原先filebeat中使用的template,写了一个供logstash用的template,起名为nginx_req_log_wireless.json,部分片段如下:

    "template": "nginx_req_log_wireless",
    "settings": {
        "index.refresh_interval": "5s"
    },
    "mappings": {
     ..."nginx": {
            "properties": {
              "access": {
                "properties": {
                  "referrer": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "agent": {
                    "norms": false,
                    "type": "text"
                  },
                  "response_code": {
                    "type": "long"
                  },
                  "geoip": {
                    "properties": {
                      "continent_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "city_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "country_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "region_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "location": {
                        "type": "geo_point"
                      }
                    }
                  },
                  "remote_ip": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "method": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "user_name": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "http_version": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "body_sent": {
                    "properties": {
                      "bytes": {
                        "type": "long"
                      }
                    }
                  },
                  "url": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  }
              ...

之后,在logstash的output里的elasticsearch配置部分对template模板进行指定:

            index => "nginx_req_log_wireless-%{+YYYY.MM.dd}"
            manage_template => true
            template_name => "nginx_req_log_wireless"
            template_overwrite => true
            template => "/usr/local/logstash-5.4.3/template/nginx_req_log_wireless.json"

调试后发现,elasticsearch上创建的索引中字段的类型,并没有按照指定的template去mapping。后来才注意到,是应为创建的索引后面带了日期部分:

index => "nginx_req_log_wireless-%{+YYYY.MM.dd}"

这导致跟nginx_req_log_wireless.json模板文件中指定的template名并不匹配造成的:

"template": "nginx_req_log_wireless"

解决办法,就是将template名末尾加一个*号通配符即可:

"template": "nginx_req_log_wireless*"

总结一下:
index的名字必须要和指定的json文件中的templete名相匹配,定义的mapping才会生效。logstash的output配置的template_name名可以随便。
这里写图片描述

felix_yujing
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
logstash -> output -> elasticsearch动态模板说起
很多时候,你缺少的不是知识而是热情
11-12 8042
logstash索引映射"mappings": { "_default_": { "dynamic_templates": [ { "string_fields": { "mapping": { "index": "analyzed"
Elasticsearch集群和Logstash、Kibana部署
最新发布
weixin_45814478的博客
05-23 1294
Logstash运行同样依赖jdk,本次为节省资源,故将Logstash安装在了10.3.145.14节点。,如果head和ES不在同一个节点,注意修改成ES的IP地址。(3)设置JVM堆大小#7.0默认为4G。(4)创建ES数据及日志存储目录。(5)修改安装目录及存储目录权限。(4)启动遇到下面问题解决办法。(1)创建运行ES的普通用户。(5)下载head必要的文件。2、启动后直接在终端输入数据。(1)增加最大文件打开数。(3)增加最大内存映射数。(2)下载head插件。(4)修改head源码。
logstash-output elasticsearch插件使用
热门推荐
yesicatt的博客
11-29 2万+
logstash-output elasticsearch插件使用 按模板将数据导出到es存储
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1628
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
logstashoutput插件-输出数据到控制台、file文件、elasticsearch、redis
传智燕青
11-24 7841
output插件是经过了input,然后过滤结构化数据之后,接下来我们需要借助output传到我们想传到的地方.output相当于一个输出管道。 将采集数据标准输出到控制台 配置示例 output { stdout { codec => rubydebug } } Codec 来自 Coder/decoder 两个单词的首字母缩写,Logst...
Filebeat配置顶级字段Logstashoutput输出到Elasticsearch的使用
非著名运维的博客
05-01 1492
Filebeat配置顶级字段Logstashoutput输出到Elasticsearch的使用
Logstash输出到Elasticsearch笔记
Ghost Stories
02-08 2万+
output配置elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引已经存在,那么本次插入工作失败 update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到...
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
logstash-output-kafka:Logstash 的 Kafka 输出
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 Kafka 输出插件已移动 这个 Kafka 输出插件现在是的一部分。 在可能的情况下,该项目仍对该...
logstash-output-jdbc.zip
08-31
在实际应用Logstash 可以结合 Elasticsearch 和 Kibana 组成 ELK Stack(Elasticsearch, Logstash, Kibana),实现日志的实时收集、存储和分析。通过 "logstash-output-jdbc",你可以将这些日志数据进一步整合到...
logstash-output-jdbc插件
09-28
Logstash是一款强大的数据收集、处理和转发工具,它在ELK(Elasticsearch, Logstash, Kibana)堆栈扮演着核心角色。`logstash-output-jdbc`是Logstash的一个输出插件,用于将数据流式传输到关系型数据库,如MySQL...
Logstash输入Kafka输出Es配置
技术人集结地
12-12 2934
Logstash是一个开源的数据收集引擎,具有实时管道功能。它可以从各种数据源动态地统一和标准化数据,并将其发送到你选择的目的地。Logstash的早期目标主要是用于收集日志,但现在的功能已经远远超出这个范围。任何事件类型都可以通过Logstash进行分析,通过输入、过滤器和输出插件进行转换。Logstash的工作原理是使用管道方式进行日志的搜集处理和输出。这个管道包括三个阶段:输入、处理和输出。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地。
通过Logstash实现Oracle数据到Elasticsearch的批量导入
wjzt7322的博客
12-12 1127
一、Logstash简介 Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”logstash是ELK Stack产品套装的一个成员。截止到2019年12月12日,最新发布的版本是7.5。 Logstash 能够动态地采集、转换和传输数据,不受格式或复杂度的影响。利用 Grok 从非结构化数据派生出结构,从 IP 地址解...
Logstash数据处理服务的输出插件Output配置参数详解
江晓龙的博客
07-13 2466
output配置字段是将收集的日志数据存输出到生存储,一般都是elasticsearch集群。常用字段配置:ES集群每个节点的地址信息。:指定存储到ES的哪个索引库。将从file日志文件收集来的数据存储到ES索引库。 当logstash收集到新的日志内容后会存储到ES索引库。在kibana上关联es集群的日志索引库,展示日志数据可视化。1)点击Stack Management—>索引模式—>创建索引模式2)输入关联es的索引名称,日志索引库每天都会生成新的,因此要采用通配符形式。3)增加一个时间戳
Logstash详解之——output模块
yunqishequ1的博客
09-07 3218
原文地址 Logstashoutput模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据到ES. 在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找. elasticsearch{ hosts=>["172.132.12.3:92
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
栗筝i的博客
10-17 2664
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
记录使用logstash跨大版本Elasticsearch数据迁移数据的logstash插件升级
LIUQILL的博客
10-08 1225
在这个过程,需要对数据进行迁移,以确保新版本的Elasticsearch 能够正确地索引和查询数据。为此,我们采用了logstash-2.4.1来实现数据的迁移,迁移过程遇见了需要升级logstash的插件问题。在新版本的 Elasticsearch ,我们可以看到迁移后的数据已被正确索引,从而确保了业务的正常运行。# 目标端数据的id,如果不需要保留原id,可以删除以下这行,删除后性能会更好。根据斟酌情况,插件版本不宜过高,也不宜过低,就选择了该插件6.3.0版本。# 安全集群配置登录用户名密码。
logstash发送数据到elasticsearch之自定义模板
进击的豌豆的博客
09-10 1769
1 首先配置logstash.conf # 输入来自filebeat input { beats { port => "5044" } } # 过滤器 filter { grok { match =>{ "message"=>"(?<data>({.*}))" } } grok {
LogstashElasticsearch 输出配置文件output详解
05-23
Logstash 将数据输出到 Elasticsearch,需要使用 Elasticsearch 输出插件。在配置文件使用以下格式: ``` output { elasticsearch { hosts => ["localhost:9200"] index => "myindex-%{+YYYY.MM.dd}" } } ``` 其,hosts 指定Elasticsearch 的主机名和端口号,index 指定了要写入的索引名称。在这个示例,索引名称使用当前日期。可以按照自己的需要格式化日期。 除此以外,还可以根据需求设置其他参数,例如: - document_id:指定 Elasticsearch 文档的 ID - document_type:指定 Elasticsearch 文档的类型 - action:指定操作类型,例如 index、update 或 delete - template指定模板 下面是一个更复杂的配置文件示例: ``` output { elasticsearch { hosts => ["localhost:9200"] index => "myindex-%{+YYYY.MM.dd}" document_id => "%{id}" document_type => "mytype" action => "index" template => "/path/to/template.json" template_name => "mytemplate" template_overwrite => true } } ``` 这个配置文件使用了 document_id、document_type、action、templatetemplate_name 和 template_overwrite 参数。其template 指定了模板的路径,template_name 指定了模板的名称,template_overwrite 指定了是否覆盖已有的模板。 需要注意的是,Elasticsearch 输出插件需要 Elasticsearch 服务器的支持,因此在使用之前需要确保 Elasticsearch 已经正确安装并运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值