logstash配置

最新推荐文章于 2023-06-11 21:52:11 发布
最新推荐文章于 2023-06-11 21:52:11 发布
阅读量821 收藏
点赞数 1
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huchao_lingo/article/details/103613398
版权

logstash配置

logstash消费kafka日志,过滤后发送到elasticsearch存储

日志包括:Java服务日志、redis日志、consul日志、配置中心apollo日志

logstash安装参考:https://blog.csdn.net/huchao_lingo/article/details/103495994)

添加定制正则

进入logstash安装目录,创建正则目录patterns

cd /opt/server/logstash

mkdir patterns
grok配置

grok的编写配置虽然不难,但是很容易出错,可以使用grok debugger来测试。
https://grokdebug.herokuapp.com/

添加redis日志格式匹配正则
[root@logstash patterns]# vim redis 
EDISTIMESTAMP %{MONTHDAY} %{MONTH} %{TIME}
REDISLOG %{POSINT:pid}\:%{WORD:role} %{REDISTIMESTAMP:timestamp} %{DATA:loglevel} %{GREEDYDATA:msg}
添加apollo日志格式匹配正则
[root@logstash patterns]# vim apollo 
JAVA_DATESTAMP 20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})
JAVACLASS (?:[a-zA-Z$_][a-zA-Z$_0-9]*\.)*[a-zA-Z$_][a-zA-Z$_0-9]*
JAVALOGMESSAGE (.*)
JAVATHREAD (.*)

APOLLO_LOG %{JAVA_DATESTAMP:timestamp}(\s+)%{LOGLEVEL:level} %{NUMBER:line}(\s+)---(\s+)\[%{JAVATHREAD:thread}\](\s+)%{JAVACLASS:class}(\s+)%{JAVALOGMESSAGE:msg}
添加consul日志格式匹配正则
[root@logstash patterns]# vim consul 
CONSUL_DATE %{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{HOUR}:%{MINUTE}:%{SECOND}
CONSUL_LOG     %{CONSUL_DATE:datetime} \[%{LOGLEVEL:level}\] %{GREEDYDATA:msg}
修改logstash配置文件log.conf
input{
      kafka{
        bootstrap_servers => ["172.16.10.213:9092,172.16.10.214:9092,172.16.10.218:9092"]
        client_id => "logstash"
        group_id => "logstash"
        auto_offset_reset => "latest"
        consumer_threads => 10
        decorate_events => true 
        topics => ["logs"] 
        type => "log_type"
        codec => json {charset => "UTF-8"} 
      }
}

filter {

  if [fields][log-type] == "service" {
    json {
        source => "message"
        target => "json"
        remove_field => ["message"]
    }
  }

  else if [fields][log-type] == "consul" {
    grok{
       patterns_dir => "/opt/server/logstash/patterns"
       match => { "message" => "%{CONSUL_LOG}" }
    }
    date {
      timezone => "Asia/Shanghai"
      match => ["datetime","yyyy/MM/dd HH:mm:ss"]

    }
  }
  
  else if [fields][log-type] == "redis" {
    grok{
       patterns_dir => "/opt/server/logstash/patterns"
       match => { "message" => "%{REDISLOG}" }
    }
    
    mutate {
       gsub => [
        "loglevel", "\.", "debug",
        "loglevel", "\-", "verbose",
        "loglevel", "\*", "notice",
        "loglevel", "\#", "warning",
        "role","X","sentinel",
        "role","C","RDB/AOF writing child",
        "role","S","slave",
        "role","M","master"
       ]
   }
  
   date {
      timezone => "Asia/Shanghai"
      match => ["timestamp","dd MMM HH:mm:ss.SSS","yyyy/MM/dd HH:mm:ss:SSS"]
    }
  }
  
  else if [fields][log-type] == "apollo" {
    grok{
       patterns_dir => "/opt/server/logstash/patterns"
       match => { "message" => "%{APOLLO_LOG}" }
    }
    date {
      timezone => "Asia/Shanghai"
      match => ["timestamp","yyyy-MM-dd HH:mm:ss.SSS"]

    }
  }

}

output {

  if [fields][log-type] == "service" {
    elasticsearch {
      hosts => ["http://172.16.10.219:9200","http://172.16.10.220:9200","http://172.16.10.221:9200"]
      index => "service"
    }
  }

  else if [fields][log-type] == "consul" {
    elasticsearch {
      hosts => ["http://172.16.10.219:9200","http://172.16.10.220:9200","http://172.16.10.221:9200"]
      index => "consul"
    }
  }
  
  else if [fields][log-type] == "redis" {
    elasticsearch {
      hosts => ["http://172.16.10.219:9200","http://172.16.10.220:9200","http://172.16.10.221:9200"]
      index => "redis"
    }
  }
  
  else if [fields][log-type] == "apollo" {
    elasticsearch {
      hosts => ["http://172.16.10.219:9200","http://172.16.10.220:9200","http://172.16.10.221:9200"]
      index => "apollo"
    }
  }

}
huchao_lingo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash配置语法
weixin_45880055的博客
08-11 3674
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
logstash配置文件
05-25
logstach的exe.conf配置文件............................................................................................................
SpringBoot Logback 配置参数迁移到配置中心 Apollo
陕西小伙伴网络科技有限公司-技术博客
10-12 6502
    项目中吧所有的配置文件都移植到配置中心了,这样后面发布版本不需要想着改配置文件,直接发包即可了,但是logback.xml 中间的日志路径,logstash host  ,以及日志级别线上和开发环境肯定不同,为了一劳永逸,故想办法将logback的相关参数移动到配置中心去。         1   使用springProperty 来代替Property  定义变量 其中sour...
【ELK框架系列】SpringBoot+Kafka+ELK集成日志采集可视化框架
热门推荐
Yangy的博客
11-28 2万+
目录 1.前言 2.实践代码(以下操作都在WIN7系统) 2.1环境背景 2.2环境搭建 2.2.1启动zookeeper(因为kafka依赖zookeeper) 2.2.2启动kafka 2.2.3启动elasticsearch 2.2.4启动logstash 2.2.5启动kibana 2.2....
logstash使用总结
最新发布
csdncjh的博客
06-11 3462
如下实现了取@timestamp的天,动态创建index索引以itemId字段作为索引idlush_size和两个参数共同控制 Logstash 向 Elasticsearch 发送批量数据的行为。以上面示例来说:Logstash 会努力攒到 5条数据一次性发送出去,但是如果 5秒钟内也没攒够 5条,Logstash 还是会以当前攒到的数据量发一次。flush_size的大小不能超过 Logstash 运行时的命令行参数设置的batch_size,否则将以batch_size为批量发送的大小。
apollo配置中心
陈如水的专栏
08-30 1万+
apollo
Logstash配置详解
u012017645的专栏
10-17 1万+
Logstash配置详解
logstash 配置
08-02 489
logstash 相关的配置
logstash配置详解
shuangmu9768的博客
12-12 2751
logstash配置详解 #logstash pipeline 包含两个必须的元素:input和output,和一个可选元素:filter。从input读取事件源,(经过filter解析和处理之后),从output输出到目标存储库(elasticsearch或其他) ###命令 bin/logstash [OPTIONS] -n #logstash实例的名称,如果不设置默认为当前的主机名(比如我的主机名为sqczm)。 -f #配置文件,我们可以指定一个特定的文件,
logstash配置kafka
Admin
02-10 5167
文章目录logstash配置kafka logstash配置kafka 根据不同topic输出到不同的ES索引 # input插件需要监听Logstash进程所在节点的端口,请使用8000~9000范围内的端口。 input { kafka { bootstrap_servers => '10.0.24.111:9092' group_id => 'elk-dev' # 正则匹配topic topics_pattern => "elk-.*"
Logstash配置输出Syslog
roughman9999的博客
06-05 1461
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力,可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地,通过安装不同的插件,可以支持不同的输出方式
logback日志写logstash配置appender参考
04-17
logback日志写logstash配置appender参考
vsftpd-grok-patterns:用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式
07-06
用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式 用法 安装logstash 将50-filter-vsftpd.conf添加到/etc/logstash/conf.d 将vsftpd.grok添加到/etc/logstash/patterns.d 重启logstash 包含的 Logstash ...
自定义的logstash配置文件
08-10
自定义文件的logstash配置文件
logstash配置文件.rar
12-18
logstash6.2.2多管道输出es聚合配置案例,共3个管道,文章,论坛,产品管道。其中:文章和论坛是简单配置,产品使用聚合配置,用ruby语法写了聚合逻辑。
定时清理elasticsearch中的历史数据
huchao_lingo的博客
01-06 4511
定时清理elasticsearch中的历史数据 创建清理脚本 创建脚本目录 mkdir -p /opt/server/cron 创建脚本 vim delete_elasticsearch_data.sh #!/bin/bash mydate=$(date -d "-30 day" +"%Y-%m-%d") curl -XDELETE "http://localhost:9200/...
ELK + Grafana分析nginx日志
huchao_lingo的博客
01-06 3101
ELK + Grafana分析nginx日志 一、采集nginx json格式日志 1、配置nginx日志输出格式 log_format json '{"@timestamp":"$time_iso8601",' '"@source":"$server_addr",' '"hostname":"$hostname"...
安装filebeat
huchao_lingo的博客
12-11 1501
安装filebeat linux安装filebeat采集consul日志,并发送到kafka 1. 创建安装目录 mkdir -p /opt/server mkdir -p /data/logs 2. 下载安装包并解压 tar -zxvf filebeat-6.3.1-linux-x86_64.tar.gz 3. 重命名文件夹为filebeat mv filebeat-6.3.1-li...
ELK采集nginx错误日志
huchao_lingo的博客
03-10 1426
ELK采集nginx错误日志 一、filebeat采集配置 1、在nginx服务器上安装filebeat wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.3.1-x86_64.rpm yum localinstall filebeat-6.3.1-x86_64.rpm 2、配置filebeat采集文件 v...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值