02-Logstash 输入

最新推荐文章于 2023-07-07 10:49:14 发布
最新推荐文章于 2023-07-07 10:49:14 发布
阅读量456 收藏 2
点赞数 1
分类专栏: # Logstash 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang_huixin/article/details/119575789
版权

Logstash 02

Logstash 01

插件列表

查看所有的输入插件

logstash-plugin list --group input

直接 logstash-plugin list 会列举所有的 logstash 插件


准备工作
自动加载 pipeline 配置

初期测试会频繁修改 pipeline 的配置文件, 可以设置 Logstash 为自动加载

修改 /usr/share/logstash-7.14.0/config/logstash.yml, 具体路径根据 Logstash 安装目录修改

image-20210810161355127

也可以在启动 Logstash 时指定 --config.reload.automatic

logstash -f pipeline.conf --config.reload.automatic
检查 pipeline 配置
logstash -f pipeline.conf --config.test_and_exit

# 也可简写为
logstash -t -f pipeline.conf

每次修改配置后, 可以检查 pipeline.conf 文件是否有误


输入插件
Heartbeat input plugin

新建配置文件 pipeline.conf, 内容如下

input {
	heartbeat {
		interval => 10
	}
}

output {
	stdout { }
}

每 10 秒发送一个 “ok”

运行 Logstash

logstash -f pipeline.conf

Logstash 输出

{
      "@version" => "1",
    "@timestamp" => 2021-08-16T07:54:33.391Z,
          "host" => "DESKTOP-JHX",
       "message" => "ok"
}
{
      "@version" => "1",
    "@timestamp" => 2021-08-16T07:54:43.377Z,
          "host" => "DESKTOP-JHX",
       "message" => "ok"
}

TCP/UDP input plugin

开启一个 TCP/UDP 侦听接口, 接收 TCP/UDP 客户端的输入

pipeline.conf

input {
	tcp {
		port => 7000
		type => "tcp"
	}
	udp {
		port => 9000
		type => "udp"
	}
}

output {
	stdout { }
}

同时包含两种输入, 通过 type 区分

通过 netcat 工具发送 TCP/UDP 报文, 发送完后按 Ctrl + C 退出交互

# TCP
echo -n "Hi" | nc 127.0.0.1 7000
# UDP
echo -n "Hi" | nc -u 127.0.0.1 9000

Logstash 输出

{
    "@timestamp" => 2021-08-16T07:57:44.493Z,
          "host" => "localhost",
          "type" => "tcp",
          "port" => 39484,
      "@version" => "1",
       "message" => "Hi"
}
{
      "@version" => "1",
    "@timestamp" => 2021-08-16T07:57:46.322Z,
          "type" => "udp",
          "host" => "127.0.0.1",
       "message" => "Hi"
}

两条输出的 message 相同, 但 type 不同


File input plugin

读取本地文件的内容作为输入

pipeline.conf

input {
	file {
		path => "/mnt/g/Test.txt"
		start_position => "beginning"
		sincedb_path => "/dev/null"
		codec => json
	}
}

output {
	stdout { }
}
  1. start_position

默认为 “end”, 表示从末尾开始读(日志一般追加到末尾), 仅读取以后新增的内容, 设为 “beginning” 可以从头读起

  1. sincedb_path

Logstash 使用 sincedb 文件记录上一次读取的位置, 为了方便测试, 将 sincedb 文件的路径设为空, 这样每次启动 Logstash 均会读取整个文件的内容

默认情况下, 文件的每一行对应一个输入事件(delimiter 默认为 “\n”)

当 /mnt/g/ 目录下有一个 Test.txt 待读取文件, 内容如下

{"name": "Hoss", "age": 10}
{"name": "JHX", "age": 100}

注意末尾新增一空行

Logstash 输出

{
          "path" => "/mnt/g/Test.txt",
           "age" => 10,
    "@timestamp" => 2021-08-16T08:06:28.475Z,
          "host" => "DESKTOP-JHX",
          "name" => "Hoss",
      "@version" => "1"
}
{
          "path" => "/mnt/g/Test.txt",
           "age" => 100,
    "@timestamp" => 2021-08-16T08:06:28.495Z,
          "host" => "DESKTOP-JHX",
          "name" => "JHX",
      "@version" => "1"
}

由于 input 部分使用了 codec, 输出中包含 “name” 和 “age” 字段


读取多行

一次读取多行内容需要在输入中使用 multiline codec

  1. pattern

“^\[” 表示匹配以 “[” 开头的行

  1. negate

为 true 时, 表示不匹配的内容需要整合在一起

  1. what

取值为 “next” 或 “previous”, “next” 表示待整合的内容归到下一行, “previous” 与之相反


测试数据 Test.txt

[1]
content 1
[2]
content 2
content 2
[3]
content 3
content 3
content 3

Logstash 配置 pipeline.conf

input {
	file {
		path => "/mnt/g/Test.txt"
		start_position => "beginning"
		sincedb_path => "/dev/null"
		codec => multiline {
			pattern => "^\["
			negate => true
			what => "previous"
		}
	}
}

output {
	stdout { }
}

输出

{
      "@version" => "1",
          "host" => "DESKTOP-JHX",
          "tags" => [
        [0] "multiline"
    ],
          "path" => "/mnt/g/Test.txt",
    "@timestamp" => 2021-08-16T08:34:05.241Z,
       "message" => "[1]\r\ncontent 1\r"
}
{
      "@version" => "1",
          "host" => "DESKTOP-JHX",
          "tags" => [
        [0] "multiline"
    ],
          "path" => "/mnt/g/Test.txt",
    "@timestamp" => 2021-08-16T08:34:05.268Z,
       "message" => "[2]\r\ncontent 2\r\ncontent 2\r"
}

由此可见 “content” 部分的内容被归为上一行, 但是末尾一行没有输出


如果改为 “next”, 输出为

{
      "@version" => "1",
          "host" => "DESKTOP-JHX",
    "@timestamp" => 2021-08-16T08:39:22.149Z,
          "path" => "/mnt/g/Test.txt",
       "message" => "[1]\r"
}
{
      "@version" => "1",
          "host" => "DESKTOP-JHX",
          "tags" => [
        [0] "multiline"
    ],
          "path" => "/mnt/g/Test.txt",
    "@timestamp" => 2021-08-16T08:39:22.151Z,
       "message" => "content 1\r\n[2]\r"
}
{
      "@version" => "1",
          "host" => "DESKTOP-JHX",
          "tags" => [
        [0] "multiline"
    ],
          "path" => "/mnt/g/Test.txt",
    "@timestamp" => 2021-08-16T08:39:22.152Z,
       "message" => "content 2\r\ncontent 2\r\n[3]\r"
}

Exec input plugin

在本地定期执行一个 shell 命令, 将命令的输出作为 Logstash 的输入

pipeline.conf

input {
	exec {
		command => "du -sh /usr/share/logstash-7.14.0"
		interval => 60
	}

}

output {
	stdout { }
}

每分钟获取一次 Logstash 安装目录的大小

Logstash 输出

{
          "host" => "DESKTOP-JHX",
    "@timestamp" => 2021-08-16T08:53:14.900Z,
       "command" => "du -sh /usr/share/logstash-7.14.0",
      "@version" => "1",
       "message" => "646M\t/usr/share/logstash-7.14.0\n"
}
jiang_huixin
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-role-logstash:Ansible角色-Logstash
01-31
Logstash以其灵活性和可扩展性而闻名,通过使用插件机制,可以轻松添加新的输入、输出和过滤器模块。 **Ansible角色的结构** 在Ansible中,一个角色通常包含一组相关的配置文件、任务、模板和变量,用于执行特定的...
Logstash——配置介绍,数据输入配置(input
热门推荐
大风的博客
04-20 1万+
之前介绍过如何使用文件系统通过Logstash将数据推送至elasticsearch来实现日志的线上分析 安装Logstash并完成一个简单的日志收集功能。而Logstash所支持的数据源远远不止这些,这里对Logstash的数据输入配置进行一个介绍。 Logstash配置内容 Logstash的配置主要分为三部分:数据输入部分、数据处理部分、数据输出部分。这三部分的定义覆盖了数据整个的生命周...
Logstash 默认支持的输入和输出方式
周天祥的博客
03-18 8163
Logstash 默认支持的输入和输出方式 Logstash-7.6.1 部分输入输出方式在其他播客中会有介绍,欢迎关注 1.input 支持的输入方式: azure_event_hubs beats cloudwatch couchdb_changes dead_letter_queue elasticsearch exec file ganglia gelf gen...
logstash
srx609906的博客
07-07 86
logstash可以动态的采集、转化、输出数据。不受格式和复杂度的影响。
Logstash 输入,过滤器,输出
App20134833944的博客
03-09 1876
mutate插件是用来处理数据的格式的,你可以选择处理你的时间格式,或者你想把一个字符串变为数字类型(当然需要合法),同样的你也可以返回去做。ruby插件可以使用任何的ruby语法,无论是逻辑判断,条件语句,循环语句,还是对字符串的操作,对EVENT对象的操作,都是极其得心应手的。这个插件也是极其好用的一个插件,现在我们的日志信息,基本都是由固定的样式组成的,我们可以使用json插件对其进行解析,并且得到每个字段对应的值。在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找.
logstash-input-exec插件使用
hhj724的专栏
01-06 2653
注意:此实例只能通过FTP对文件读取,不是文件夹。愿大神们分享下如何读取文件夹 input {     exec {codec => plain { }     command => "curl ftp://192.168.0.4/logs/test.txt"      interval => 3000}             }     output {            
openstack-logstash
07-06
2. **配置输入插件**:配置 Logstash 以监听 OpenStack 服务的日志文件或日志流,例如通过 file 或 syslog 插件。 3. **处理和过滤日志**:使用 Logstash 的过滤器插件(如 grok、date、mutate 等)解析、清洗和标准...
winston-logstash-redis
07-06
在这个场景下,Redis可能被用作Logstash输入插件,接收和临时存储来自Winston的日志事件,或者作为队列,确保日志数据的可靠传输,特别是在高并发环境下。Redis的数据结构特性,如列表、哈希和频道,使其在处理...
docker-logstash-forwarder:Logstash转发器Docker映像
05-14
4. **Logstash 配置**:在 Logstash 服务器端,我们需要配置相应的输入和输出插件来接收来自 Docker-logstash-forwarder 的日志事件,并将其转发到 Elasticsearch 或其他后端系统。 5. **Docker 集成**:在 Docker ...
jdk11---logstash7.6.2.rar
05-04
2. **输入和输出兼容性**:支持多种输入源(如文件、syslog、JDBC等)和输出目标(如Elasticsearch、Kafka、文件等),提供灵活的数据流管道。 3. **性能优化**:7.6.2版本可能包含性能提升,例如更快的事件处理...
logstash-udp:您的日志消息(几乎)转到logstash UDP输入(几乎没有任何开销)
05-21
logstash-udp 您的日志消息几乎没有任何开销地发送到logstash UDP输入。 安装 npm i lsudp --save 用法 应用程序输入模块中的某个位置: var logstash = require ( 'lsudp' ) ; logstash . init ( { appName : 'my-app-1' , host : 'logstash.mycompany.com' , port : 7777 } ) ; 在任何模块中: var logstash = require ( 'lsudp' ) ( 'my-folder/my-module' ) ; logstash . error ( 'oh no! json: %j, number: %d, string: %s' , { everything : 'is broken' } , 1000 ,
Logstash输入、过滤和输出
lonely_baby的博客
02-28 1058
Logstash 是一个开源数据收集引擎,能够实时处理和转换各种格式的日志和事件数据。它的数据流处理主要分为三个阶段:输入input)、过滤(filter)和输出(output)。总的来说,Logstash输入、过滤和输出可以根据不同的需求组合起来,形成灵活、高效的数据处理流程,以满足不同的业务场景和应用场景。
logstash配置input为jdbc,tcp,kafka
yudaonihaha的专栏
05-19 1022
备注:以上配置为全量同步表数据,logstash在启动后自动开始全量同步,并且要注意数据库驱动包,如果是docker部署的logstash,需要把驱动包挂载或拷贝到容器中。备注:kafka配置codec一定要注意json格式,不是json_lines。
logstash~logstash将本地文件中的日志作为input处理
feizuiku0116的博客
02-03 1428
logstash将本地文件中的日志作为input处理
Logstash 输入
人工智能
10-31 1万+
官方文档地址 input-plugins 地址 Elastic supported plugins These plugins are maintained and supported by Elastic. Plugin Description Github repository beats
Logstash接收udp/tcp数据
zsx18273117003的博客
05-19 5136
背景:在Logstash数据源为日志文件操作基础上进行 一、配置文件 1. D:\usr\local\etc\logstash\pipeline1目录下logstash.conf文件配置 input { stdin { } udp { host => "0.0.0.0" # 从5000端口获取日志 port => 5000 type => "udp" } tcp { ..
ELK详解(十四)——Logstash TCP/UDP日志收集
永远是少年
04-07 3320
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash TCP/UDP日志收集。 一、Logstash TCP/UDP日志收集背景 二、Logstash配置 三、效果检验
logstash实战值输入-jdbc
lixiaoyi01的博客
05-29 369
备战360第6天 输入插件(input plugins)用于从给定的源系统中提取或接收数据。 Logstash 参考指南中提供了支持的输入插件列表:Input plugins | Logstash Reference [8.2] | Elastic 本次是试用jdbc Jdbc input plugin | Logstash Reference [8.2] | Elastic 其中参数: jdbc_driver_library: jdbc驱动路径 如使用"" 需要把驱动jar放到logstash-
Logstash输入与输出插件(十三)
抽象的螺旋
05-09 873
概述 Logstash管道可以配置多个输入插件,这可以将不同源头的数据整合起来做统一处理。在分布式系统中,数据都分散在不同的容器或不同的物理机上,每一份数据往往又不完整,需要类似Logstash这样的工具将数据收集起来。比如在微服务环境下,日志文件就分散在不同机器上,即使是单个请求的日志也有可能分散在多台机器上。如果不将日志收集起来,就无法查看一个业务处理的完整日志。 Logstash管道也可以配置多个输出插件,每个输出插件代表一种对数据处理的业务需求。比如对日志数据存档就可以使用s3输出插件,将日志数据归
Pipeline terminated {"pipeline.id"=>".monitoring-logstash"}
最新发布
09-11
根据引用提供的logstash.conf配置文件,只有一个stdin输入插件和一个stdout输出插件,并没有涉及到.monitoring-logstash这个pipeline。 根据这些信息,可能的解决方案是检查您的配置文件,确保有定义.monitoring-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值