logstash的output配置中指定elasticsearch的template

最新推荐文章于 2024-09-21 21:30:33 发布
最新推荐文章于 2024-09-21 21:30:33 发布
阅读量1.3w 收藏 7
点赞数 2
分类专栏: elasticsearch logstash 文章标签: elasticsearch logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felix_yujing/article/details/78930389
版权
本文介绍如何通过Logstash将Nginx日志发送到Elasticsearch,并正确设置字段类型。针对Logstash输出到Elasticsearch时字段默认为text类型的问题,通过设置template名称匹配索引模式,确保字段类型正确映射。
摘要由CSDN通过智能技术生成

之前采用的是通过filebeat收集nginx的日志,直接到elasticsearch。filebeat带有nginx的module模块,通过这个nginx模块实现filebeat对nginx日志中字段的处理。最近由于一些实际的使用场景和需求,对nginx日志的收集和处理方式做了一下调整:

filebeat收集nginx原始日志信息到kafka,然后logstash再从kafka读取日志,并进行字段处理后送到elasticsearch集群。即相比原来的方式,添加了kafka层。

logstash从kafka读取过来的日志为json格式,字段的解析可以借助Grok Debugger工具来调,具体的解析方式这里就不细说了。这里主要说一下在logstash使用elasticsearch的template进行字段类型mapping的时候,需要注意的一点问题。

logstash将日志里的字段解析出来并发送到elasticsearch后,发现es上字段的默认的类型都是text的。如果对一些关键字需要做统计报表的时候,就会出现提示报错。如,我用grafana将elasticsearch做为数据源进行数据展示时遇到如下报错:
这里写图片描述
有报错提示可以看出,将nginx.access.remote_ip的字段换成keyword类型可以解决。

于是,参考原先filebeat中使用的template,写了一个供logstash用的template,起名为nginx_req_log_wireless.json,部分片段如下:

    "template": "nginx_req_log_wireless",
    "settings": {
        "index.refresh_interval": "5s"
    },
    "mappings": {
     ..."nginx": {
            "properties": {
              "access": {
                "properties": {
                  "referrer": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "agent": {
                    "norms": false,
                    "type": "text"
                  },
                  "response_code": {
                    "type": "long"
                  },
                  "geoip": {
                    "properties": {
                      "continent_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "city_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "country_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "region_name": {
                        "ignore_above": 1024,
                        "type": "keyword"
                      },
                      "location": {
                        "type": "geo_point"
                      }
                    }
                  },
                  "remote_ip": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "method": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "user_name": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "http_version": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  },
                  "body_sent": {
                    "properties": {
                      "bytes": {
                        "type": "long"
                      }
                    }
                  },
                  "url": {
                    "ignore_above": 1024,
                    "type": "keyword"
                  }
              ...

之后,在logstash的output里的elasticsearch配置部分对template模板进行指定:

            index => "nginx_req_log_wireless-%{+YYYY.MM.dd}"
            manage_template => true
            template_name => "nginx_req_log_wireless"
            template_overwrite => true
            template => "/usr/local/logstash-5.4.3/template/nginx_req_log_wireless.json"

调试后发现,elasticsearch上创建的索引中字段的类型,并没有按照指定的template去mapping。后来才注意到,是应为创建的索引后面带了日期部分:

index => "nginx_req_log_wireless-%{+YYYY.MM.dd}"

这导致跟nginx_req_log_wireless.json模板文件中指定的template名并不匹配造成的:

"template": "nginx_req_log_wireless"

解决办法,就是将template名末尾加一个*号通配符即可:

"template": "nginx_req_log_wireless*"

总结一下:
index的名字必须要和指定的json文件中的templete名相匹配,定义的mapping才会生效。logstash的output配置的template_name名可以随便。
这里写图片描述

felix_yujing
关注
专栏目录
基于Logstash由SQLServer向Elasticsearch同步数据: logstash配置文件
iOS逆向与安全
03-14 514
官方文档:https://www.elastic.co/guide/en/logstash/current/pipeline.html。statement : sql 里面的字段首字母必须as 成小写,或者你直接小写也行,但是必须的小写。依赖DB的特定字段,可能会涉及到原有表结构的修改。在删除数据时无法通过这种方式获得数据的变更。x_Loan_PreservationAdvanceList.sql 需要同步数据执行的Sql。解压完成后,进入解压后的logstash-7.2.0文件夹。
logstash输出到es模式action实践
white_while的博客
10-19 1943
elk-logstash同步数据到es
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1673
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
Logstash详解之——output模块
yunqishequ1的博客
09-07 3249
原文地址 Logstashoutput模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据到ES. 在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找. elasticsearch{ hosts=>["172.132.12.3:92
ElasticsearchTemplate详解_elasticsearchtemplate
最新发布
2401_87378769的博客
09-21 601
上面我们讲了Index Template,主要是在创建索引的时候,来根据template的统配规则,确定当前创建的索引是否符合,从而将template里面的配置信息应用在我们新创建的索引,通常应用于要生成相同配置的索引场景下,比如日志数据管理、统一索引管理等。主要是应用于具体的索引去的,定义在某个索引的mapping设置,会根据我们设定的数据类型,匹配一些设定的规则,来动态设定字段类型。这个模板的,但是由于我们在创建索引的时候指定了分片和副本的信息,所以以我们指定的为准。可以看到如下,匹配到了。
logstash-output elasticsearch插件使用
热门推荐
yesicatt的博客
11-29 2万+
logstash-output elasticsearch插件使用 按模板将数据导出到es存储
Logstash Elasticsearch 输出插件使用教程
gitblog_00693的博客
09-05 350
Logstash Elasticsearch 输出插件使用教程 logstash-output-elasticsearch项目地址:https://gitcode.com/gh_mirrors/lo/logstash-output-elasticsearch 1. 项目的目录结构及介绍 logstash-output-elasticsearch/ ├── CONTRIBUTING.md ├── ...
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
logstash采集规范与elasticsearchtemplate 、mapping 详细介绍
我的博客
03-14 1万+
logstash 采集 kafka 写入es 流程规范请尊重知识产权,博客原文地址 http://blog.csdn.net/qq1032355091/article/details/79558649本文主要介绍es的template和mapping配置,通过logstash的采集流程规范,更加容易深入理解到底什么是template和mapping配置背景知识什么是mapping?mappi...
ElasticSearch学习笔记(五)在logstash配置分词器和同义词过滤器
ncfl
07-25 6071
logstash配置分词器和同义词过滤器 ik+pinyin分词器 同义词过滤器
logstashelasticsearch output plugin:不同action的区别(index/create/update)
点火三周的专栏
09-25 4149
文章目录elasticsearch plugin的actioncreateindexupdatedoc_as_upsertupsert异常总结 elasticsearch plugin的action logstash提供了多达40多种的output plugin用于将处理后的数据输出到下游系统。其最为常见的输出端自然是elasticsearch plugin。而elasticsearch plu...
logstash-output-amazon_es:Logstash输出插件,用于将logstash事件签名并导出到Amazon Elasticsearch Service
05-02
Logstash插件 这是的插件。 执照 该库已获得Apache License 2.0的许可。 兼容性 下表显示了logstashlogstash-output-amazon_es内置的版本。 logstash-output-amazon_es Logstash 6.0.0 <6> 6.0.0 此外,还测试了6.4.0及更高版本的logstash-output-amazon_es插件与Elasticsearch 6.5及更高版本兼容。 logstash-output-amazon_es 弹性搜索 6.4.0+ 6.5+ Amazon Elasticsearch Service输出插件的配置 要运行Logstash输出Amazon Elasticsearch Service插件,只需按照以下文档添加配置配置示例: output {
logstashoutput插件-输出数据到控制台、file文件、elasticsearch、redis
传智燕青
11-24 8527
output插件是经过了input,然后过滤结构化数据之后,接下来我们需要借助output传到我们想传到的地方.output相当于一个输出管道。 将采集数据标准输出到控制台 配置示例 output { stdout { codec => rubydebug } } Codec 来自 Coder/decoder 两个单词的首字母缩写,Logst...
logstash输出到elasticsearch多索引
seaboat——a free boat on the sea.(公众号:远洋号)
11-23 1万+
目标:将json格式的两类日志输出到elasticsearch两类索引1. 安装logstash。2. 编写logstash处理配置文件,创建一个test.conf文件,内容如下:input { file { path => "/home/vagrant/logstash/logstash-2.2.2/dbpool-logs/dev/common-sql-*.log"
Logstash输出到Elasticsearch笔记
Ghost Stories
02-08 2万+
output配置elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引已经存在,那么本次插入工作失败 update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到...
logstash使用outputplugins至es时修改默认template配置
weixin_30666401的博客
04-26 382
template.json文件的写法 { "logger" : { "template": "logger*", "settings": { "index.number_of_shards": 3, "number_of_replicas": 0 }, ...
如何为logstash+elasticsearch配置索引模板?
三劫散仙
04-12 2743
[size=medium] 在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群,但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了: 举个例子,假如有10台需要的监控的机器,他们的机器名...
Filebeat配置顶级字段Logstashoutput输出到Elasticsearch的使用
非著名运维的博客
05-01 1584
Filebeat配置顶级字段Logstashoutput输出到Elasticsearch的使用
logstash -> output -> elasticsearch动态模板说起
很多时候,你缺少的不是知识而是热情
11-12 8095
logstash索引映射"mappings": { "_default_": { "dynamic_templates": [ { "string_fields": { "mapping": { "index": "analyzed"
Logstash写入ElasticSearch的Mapping Template
qq_39261894的博客
08-23 1034
我们使用ElasticSearch时一般需要自己创建ElasticSearch的索引的Mapping,当索引非常多的时候,可能需要配置一个索引模板Template来对类似的索引做统一配置,让索引模板Template配置匹配索引的规则,来确定该Template会被应用到哪些索引上。 Template配置方式 当Logstash在整合ElasticSearch的时候,会有下面三种方式的Template配置: 1. 使用ElasticSearch默认自带的索引模板 ElasticSearch默认自带了一个名.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值