logstash s3 写入 %{host} %{message}异常

已于 2023-03-01 12:25:32 修改
阅读量722 收藏
点赞数
分类专栏: 数据仓库 大数据 文章标签: 大数据 logstash
于 2022-06-06 11:35:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghostyusheng/article/details/125143691
版权

logstash s3 写入 %{host} %{message}异常, 设置 codec => json_line 就能正常输出到s3文件了。

input {
        kafka {
            bootstrap_servers => ["a:9092,b:9092"]
            topics => ["demo"]
            group_id => "test_bigdata6"
            consumer_threads => 6
            decorate_events => true
            auto_offset_reset => "latest"
            #auto_offset_reset => "earliest"
            codec => "json"
            max_poll_records => "10000"
            poll_timeout_ms => 1000
            request_timeout_ms => "40000"
            fetch_max_wait_ms => "500"
            fetch_min_bytes => "1"
            retry_backoff_ms => "100"
            heartbeat_interval_ms => "3000"

            type => "demo"
        }
}


filter {
    json {
        source => "message"
    }

    date {
       match => ["StartUTC", "yyyy-MM-dd HH:mm:ss", "ISO8601"]
       target => "@timestamp"
    }

    ruby {
        code => "event.set('dt', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d'))"
    }
    ruby {
        code => "event.set('datetime', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d %H:%M:%S'))"
    }
    ruby {
        code => "event.set('hour', (event.get('@timestamp').time.localtime).strftime('%H'))"
    }
    ruby {
        code => "event.set('utc', (event.get('@timestamp').time.utc).strftime('%Y-%m-%d %H:%M:%S'))"
    }
}

filter {
    mutate{
        remove_field => ["startlocal"]
        remove_field => ["startutc"]
        remove_field => ["ServiceURL"]
        remove_field => ["message"]
        remove_field => ["ecs"]
        remove_field => ["agent"]
        remove_field => ["input"]
        remove_field => ["event"]
        remove_field => ["tags"]
        remove_field => ["log"]
        remove_field => ["host"]
        remove_field => ["fields"]
    }

    if [RequestPath] == "/ping" {
        drop {}
    }
}

output {
   #stdout { codec => rubydebug }

   s3 {
      region => "ap-southeast-1"
      bucket => "demo_bucket"
      prefix => "log14/dt=%{+YYYY}-%{+MM}-%{+dd}/hour=%{+HH}"
      codec => json_lines
   }
}

DEMO2

input {
input {
  logservice{
    endpoint => "ap-southeast-1.log.aliyuncs.com"
    access_id => "xx"
    access_key => "xx"
    project => "raw-logs-sg-gameserver"
    logstore => "xzj-game-logs"
    consumer_group => "yeeha-prod-prod3"
    consumer_name => "ztest"
    #position => "end"
    position => "begin"
    checkpoint_second => 30
    include_meta => true
    consumer_name_with_ip => false
  }
}

filter {
    json {
        source => "message"
    }

    ruby {
	code => "s=event.get('__raw_log__') || event.get('content'); s=s.scan(/{.*}/); s=s[0]; event.set('content', s);"
    }

    #mutate {
    #    gsub => ["content","'",'"']
    #}

    json {
	    source => "content"
    }

    date {
       match => ["dtEventTime", "yyyy-MM-dd HH:mm:ss", "ISO8601"]
       target => "@timestamp"
    }

    ruby {
        code => "event.set('dt', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d'))"
    }
    ruby {
        code => "event.set('datetime', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d %H:%M:%S'))"
    }
    ruby {
        code => "event.set('hour', (event.get('@timestamp').time.localtime).strftime('%H'))"
    }
    ruby {
        code => "event.set('utc', (event.get('@timestamp').time.utc).strftime('%Y-%m-%d %H:%M:%S'))"
    }
}


#filter {
#    mutate{
#        remove_field => ["__raw_log__"]
#    }
#}


output {
   #stdout { codec => rubydebug }

   s3{
     region => "ap-southeast-1"
     bucket => "davion-prod-gameplus-bigdata"
     codec => "json_lines"
     prefix => "log/name=%{[name]}/dt=%{+YYYY}-%{+MM}-%{+dd}/hour=%{+HH}"
     size_file => 52428800
     #size_file => 2048
   }
}


input {
  kafka {
    bootstrap_servers => ["xxx:9092"]
    topics => ["xzj-xxx-sls"]
    auto_offset_reset => "latest"
    #auto_offset_reset => "earliest"
    group_id => "logstash_t1"
    consumer_threads => 3
    max_partition_fetch_bytes => 10048576
    max_poll_records => 20000
  }
}

filter {
    json {
        source => "message"
    }

    date {
       match => ["dtEventTime", "yyyy-MM-dd HH:mm:ss", "ISO8601"]
       target => "@timestamp"
    }

    ruby {
        code => "
                event.set('dt', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d'))
                event.set('datetime', (event.get('@timestamp').time.localtime).strftime('%Y-%m-%d %H:%M:%S'))
                event.set('hour', (event.get('@timestamp').time.localtime).strftime('%H'))
        "
    }
}

filter {
    mutate{
        remove_field => ["message"]
    }
}

logstash 推荐设置batch.size: 2000,并且加大jvm.

ghostyusheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
logstash %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}
zhaoyangjian724的专栏
12-03 409
如果你希望转换一个语义的数据类型,比如 改变一个字符串为一个整型,然后在其后面添加目标数据类型 例如 %{NUMBER:num:int} 会转换一个字符串为一个整型 例子, 有了语法和语义的概念,可以从示例日志中提取有用的字段,如以下虚构的http请求日志: 55.3.244.1 GET /index.html 15824 0.043 模式可以是: %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{N.
logstash-output-s3
05-07
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个新的插件或克隆并存在。 我们还提供了。 安装依赖项 bundle install 测试
Logstash笔记(四) ----output插件
weixin_33739523的博客
05-26 329
(一),标准输出 和之前inputs/stdin插件一样,outputs/stdout插件也是最基础和简单的输出插件。同样在这里简单介绍一下,作为输出插件的一个共性了解配置事例:output{ stdout{ codec=>rubydebug workers=>2 } } ==等同于...
ELK之logstash的输入输出-3
weixin_34205826的博客
04-03 136
logstash的标准输入输出 [root@elk-node01 logstash]# ./bin/logstash -e 'input { stdin{} } output { stdout{ codec => rubydebug }}' hellow word { "message" => "hellow", "host" =&g...
logstash解析系统的messages日志
weixin_33763244的博客
07-27 2947
logstash解析系统日志的写法,output中的stdout为调试,生产可以移除 input { redis { host => "192.168.1.181" port => 6379 db => "0" data_type => "list" key => "815" ...
一次使用logstash读取S3存储桶访问日志到mysql的实践
黑夜流星的专栏
07-09 1238
目录环境安装安装logstash-output-jdbc插件上传jdbc驱动和IP库写logstash配置文件启动logstash附录 环境安装 首先下载logstash和jruby,并且配置环境变量 #java export JAVA_HOME=/usr/java/jdk1.8.0_144 #path export PATH=$PATH:$JAVA_HOME/bin export PATH=$PATH:/home/ubuntu/logstash/jruby-9.2.12.0/bin export LO
logstash5.6.1向es导入oracle数据库数据
09-29
资源主要能用于使用logstash将oracle数据导入到es中,logstash的版本为5.6.1
logstash oss 7.10.2 arm64版本
最新发布
07-27
文件名: logstash-oss-7.10.2-aarch64.rpm 这是 logstash oss 7.10.2 版本的 arm64 架构 rpm 安装文件。logstash 是一款开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您...
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
Logstash插件 该插件是Lucidworks logstash json_batch的修改版本。 该插件可用。 已对其进行了修改,以支持ClickHouse JSON格式,但还支持容错功能。 用法 请注意,使用时,插件的名称为clickhouse ,它仅支持当前...
logback日志写logstash配置appender参考
04-17
logback日志写logstash配置appender参考
使用logstash进行ip映射(主机名或系统名)
点火三周的专栏
04-04 6682
文章目录需求场景解决方案测试示例性能测试与调优 需求场景 当使用elasticsearch进行日志数据可视化的时候,往往会遇到需要IP地址无法human-reading的情况。这时,我们需要将IP地址进行一定的格式转换,将其转换为主机名(hostname)或者系统名(application/service name)。 以WAF的日志为例,里面的dst_ip记录了被攻击的主机ip,scr_ip记录...
logstash 配置详解
一起来氪金
08-30 4036
input { #file可以多次使用,也可以只写一个file而设置它的path属性配置多个文件实现多文件监控 file { #type是给结果增加了一个属性叫type值为"<xxx>"的条目。这里的type,对应了ES中index中的type,即如果输入ES时,没有指定type,那么这里的type将作为ES中index的type。 t...
linux logstash中配置文件,logstash配置文件常用参数
weixin_31591011的博客
05-12 762
最近在折腾logstash,其处理流程不过于input、filter、output三个处理流程,以下是我翻译的几个常用的处理参数output流之httpoutput {http {codec => ... # codec (optional), default: "plain"content_type => ... # string (optional)format => ......
logstash中使用grok结构化message
chenghu8044的博客
12-08 1142
本文关注的是如何使用grok结构化logstash收取到的message。 grok解析的本质是正则匹配。 举个例子: message 如下(rails 打出的log): I, [2016-12-07T16:52:05.682441 #14610] INFO -- : monitor pro...
在FlumeNG中如何使用 %{host}占位符(转)
The Big Data Way
08-31 389
  HOW TO USE %{host} ESCAPE SEQUENCE IN FLUME-NG Sometimes you may try to aggregate data from different sources and dump it into a common location, say your HDFS. In such a scenario it will b...
LogStash的配置详解
趣学程序
06-27 4432
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
基于腾讯云服务器的Docker环境,使用logstash同步的Kafka中数据时报错partitions have leader brokers without a matching listener
热门推荐
dkgee
02-26 1万+
发现是ZK问题,重启ZK后,再同步kafka中数据,logstash日志就正常了。 ZK配置如下: docker run --name myzk -p 2181:2181 -d jplock/zookeeper Kafka配置如下: docker run -d --name mykafka --publish 9092:9092 --link myzk --env KAFKA_ZOO...
logstash详解 - output模块
Jepson的博客
04-08 2886
Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,如:可以输出到控制台、输出到指定的文件,输出到指定的网络端口、也可以输出数据到kafka/ES等等,下面介绍几种常见的输出插件及其常用配置。
Logstash实践: 分布式系统的日志监控
好读书,每有会意,便欣然忘食。
04-19 1084
原文出处: 赵杰    1. 前言 服务端日志你有多重视? 我们没有日志有日志,但基本不去控制需要输出的内容经常微调日志,只输出我们想看和有用的经常监控日志,一方面帮助日志微调,一方面及早发现程序的问题 只做到第1点的,你可以洗洗去睡了。很多公司都有做到第2点和第3点,这些公司的服务端程序基本已经跑了很长时间了,已比较稳定,确实无需花太多时间去关注。如果一个新产品,在上线初
logstash如何写入flink
06-12
Logstash可以通过Flink Output插件将数据写入到Flink中。以下是一些基本步骤: 1. 在Logstash中安装Flink Output插件。可以使用命令`bin/logstash-plugin install logstash-output-flink`进行安装。 2. 在Logstash的配置文件中添加Flink Output插件的配置。以下是一个示例配置: ``` output { flink { host => "localhost" port => 6123 job_id => "my_job" operator_name => "my_operator" } } ``` 其中`host`和`port`指定Flink的地址和端口,`job_id`指定Flink作业的ID,`operator_name`指定Flink中写入数据的算子名称。 3. 在Flink中编写作业,用于处理Logstash写入的数据。可以使用Flink的DataStream API或者Table API来编写作业。以下是一个示例作业: ``` StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(); DataStream<String> stream = env.addSource(new FlinkKafkaConsumer<>("my_topic", new SimpleStringSchema(), properties)); stream.print(); env.execute("My Job"); ``` 其中`my_topic`指定要读取的Kafka主题,`SimpleStringSchema`用于解析Kafka消息中的字符串数据,`print()`用于输出数据到控制台。 4. 运行Logstash并等待数据被写入到Flink中。可以使用命令`bin/logstash -f /path/to/my/config.conf`来启动Logstash。 以上是通过Logstash写入Flink的基本步骤。需要注意的是,Flink Output插件还有其他配置选项,可以根据需要进行调整。同时,Flink也支持多种数据处理和计算模型,可以根据实际需求进行编写作业。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值