logstash的应用

最新推荐文章于 2024-04-17 07:08:15 发布
最新推荐文章于 2024-04-17 07:08:15 发布
阅读量1k 收藏
点赞数
分类专栏: cloud

今天最后一次课了,下课之后印度哥们过来跟我说,你们讲的东西很有趣啊。然后给了我一个很大的拥抱,这哥们就因为我上次在他饿了一天之后,借了他3刀,所以后来对我非常的好=_=............

 

logstash一个分布式日志收集工具。我们今天的演示内容。

虽然不涉及什么编程操作,但是我觉得熟悉这类工具对从事安全分析的人是非常的重要。

因为安全分为攻击型和防御行。日志分析就是防御型中最重要的部分之一,而日志的收集,管理,将会是非常耗时的一件事,尤其是分布式收集。如果以后去给哪个企业管服务器,难说用得上啊。

logstash就是把各个服务器(a,b,c,d,e,f........)上的日志,汇集到一起。假设是接收服务器是X。X可以把收集结果输出到web UI上或者本地文件,因此管理员只需要在一台机器上进行日志分析就行,而且还是自动收集。这东西另一个imba之处就是它无视日志格式,什么格式它都认。

老师说还有一个好处就是免费。。。。

好吧,说说这东西的配置:

分布式的架构分为发送端和接收端。运行logstash很简单,就是一个jar文件,命令在官网都有。主要是配置文件的设置。

发送端的配置如下:

input {
  file {
    type => "syslog"

    # Wildcards work here :)
    path => [ "/var/log/messages", "/var/log/syslog", "/var/log/*.log" ]
  }

  file {
    type => "apache-access"
    path => "/var/log/apache2/access.log"
  }

  file {
    type => "apache-error"
    path => "/var/log/apache2/error.log"
  }
}

#这里可以写filter

output {
  # Output events to stdout for debugging. Feel free to remove
  # this output if you don't need it.
  stdout { debug => true }

  # Ship events to the amqp fanout exchange named 'rawlogs"
  amqp {
    host => "127.0.0.1"
    exchange_type => "fanout"
    name => "rawlogs"
  }
}

简单的来说,就是提取服务器本地的日志(input),经过过滤器的表达式(我没写)的过滤,然后把日志发送到接收端。

接收端的配置如下:

input {
  amqp {
    # ship logs to the 'rawlogs' fanout queue.
    type => "all"
    host => "127.0.0.1"
    exchange => "rawlogs"
    name => "rawlogs_consumer"
  }
}

output {
  stdout { debug => true }

  #elasticsearch { embedded => true }
  file
 {
 path => "/media/Acer/try.log"
 }
}
接收端不同的地方在于:

不止要运行logstash,还要运行一个amqp服务器,这个服务器才是负责接收消息的,然后转给logstash。如果要输出在web UI,就要运行一个叫elasticsearch的服务器。然后logstash的output指向相应IP就行,默认端口9300.以上的例子只是我本地的演示,把结果输出在本地文件(我的elasticsearch似乎有问题)。我们演示的时候用的是两台机器,配置文件几乎是一样的。。接收端是另外一台机器,那台机器上的elasticsearch就没问题,能出结果。

顺便BS一下logstash的官方,官方的分布式教程有问题(启动接收端的时候没说用配置文件。。),卡了我们一段时间。最后还是给我们自己发现和改出来了。

 

补充一下,一个阿里巴巴工作的朋友读完文档后给了我另外一些提示:

有3种原因会中断发送

内存 硬盘 还有就是发送端发送速度过快

追寻北极
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在Ubuntu 14.04上利用Logstash与Kibana实现日志信息集中化
zstack_org的博客
11-09 1499
如何在Ubuntu 14.04上利用Logstash与Kibana实现日志信息集中化提供:ZStack社区 内容简介在本篇教程中,我们将探讨Logstash 1.4.2与Kibana 3的安装方式,以及如何对二者配置以通过集中化方式收集系统日志信息并进行可视化处理。Logstash是一款用于收集、解析并存储日志信息以备日后使用的开源工具。Kibana 3则是一套Web界面,旨在帮助用户对Logsta
Logstash 参考指南(管道查看器UI)
weixin_33724046的博客
10-05 830
管道查看器UI 使用管道查看器来可视化和监控复杂的Logstash管道配置的行为,你可以看到一个说明了管道拓扑、数据流和分支逻辑的树视图并与之交互。 管道查看器在值异常的情况下突出显示CPU%和事件延迟,这些信息可以帮助你快速识别异常缓慢的处理过程。 前提条件 在使用管道查看器之前: 配置Logstash监控。 启动要监控的Logst...
Logstash 参考指南(监控UI)
weixin_34395205的博客
10-05 608
监控UI 在运行Logstash 5.2或更高版本时,你可以使用X-Pack中的监控功能来深入了解关于你的Logstash部署的指标,在overview仪表盘中,你可以看到Logstash接收和发送的所有事件,还有关于内存使用和正常运行时间的信息: 然后你可以深入查看关于特定节点的统计信息: 基于持久的UUID, Logstash节点...
Logstash的简单使用
weixin_44303027的博客
06-19 1万+
logstash对mysql的数据获取,处理解析成需要的数据格式并推送到ES
Logstash使用指南_logstash输出自定义,2024年最新附项目源码
最新发布
2401_84170522的博客
04-17 677
在这里,我们将group_id设置为“my_group”,auto_offset_reset设置为“earliest”,这意味着如果从Kafka中没有找到之前的消费记录,将从最早的消息开始消费。在上面的示例中,我们首先获取Logger对象,然后获取LoggerContext对象,通过LoggerContext获取Configuration对象,再通过Configuration获取Logstash的Appender对象和Layout对象。建议在生产环境中进行充分的测试和调整,以确保配置的正确性和效果。
logstash.rar
04-09
在 IT 监控、日志管理和数据分析领域,Logstash 受到了广泛的应用。这个"logstash.rar"文件看起来是一个压缩包,其原始格式应为 "logstash-6.7.0.tar.gz",适用于 Linux 系统。用户需要将文件后缀名修改为 ".tar.gz...
logstash ELK
11-05
Logstash 广泛应用于日志分析、安全监控、应用性能监控、物联网(IoT)数据处理等领域。通过收集、解析和存储日志,企业可以更好地理解其系统的运行状况,快速定位问题,同时也可以进行合规性和安全性的审计。 总结来...
logstash-conf
10-10
Logstash 是一个强大的数据收集、处理和转发工具,广泛应用于日志管理和数据分析场景。"logstash-conf" 指的是 Logstash 的配置文件,它是 Logstash 工作的核心,定义了 Logstash 如何从各种数据源采集数据,如何...
logstash启动脚本
08-31
Logstash 是一个强大的数据收集、处理和转发工具,广泛应用于日志管理和大数据分析。它能够从各种来源(如系统日志、数据库等)接收数据,对其进行过滤、转换,并将处理后的数据发送到各种目标(如Elasticsearch、...
logstash压缩包
12-25
Logstash 是一个强大的开源数据收集引擎,它设计用于实时提取、转换和加载(通常称为 ETL 过程)各种数据源的数据。在本压缩包中,我们关注的是将 MySQL 数据库中的数据导入到 Elasticsearch (ES) 的场景。Logstash ...
Logstash简单介绍
热门推荐
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
logstash的基本应用
qq_35240226的博客
04-30 388
ELK学习1.3 Logstash(6.3.2)搭建及配置 logstash对file进行读取时,文件路径一定要F:/logs/logstash/*.log而不能写成F:\logs\logstash Filebeat中文指南 Filebeat 快速开始logstash实现日志文件同步到elasticsearch深入详解 logstash从指定的csv文件读取数据到Elasticsearch...
Logstash应用(安装+简单数据解析)
weixin_42151880的博客
05-26 426
安装Logstash 首先预先准备好你的 logstash 安装包,并打入 linux 系统中 例如: 我是将 logstash-6.2.2.tar.gz 导入 /opt/ 文件夹中 解压 logstash 包,并将其移动到我的软件库中 tar -zxf logstash-6.2.2.tar.gz mv logstash-6.2.2 soft/logstash622 到此,软件安装成功,非常简单。 用Logstash解析简单数据 首先进入文件bin目录 cd /opt/soft/logstash622
解决 logstash java.lang.IllegalStateException: Logstash stopped processing because of an error: (Syste
davin12的博客
02-07 6057
@[TOC](java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit) mac os在安装logstash的时候,总会出现这条错误,在官网找到了答案 macOS Gatekeeper warnings 苹果对更严格的公证要求的推出影响了7.10.2 Logstash工件的公证。如果macOS Catalina在首次运行Logstash时显示一个对话框,中断该对话框,
LogStash的安装部署与应用
趣学程序
09-17 5946
LogStash的安装部署与应用 介绍 1、Logstash是一个接收,处理,转发日志的工具; 2、Logstash支持网络日志、系统日志、应用日志、apache日志等等,总之可以处理所有日志类型; 3、典型应用场景ELK:logstash负责采集、解析日志,elasticsearch负责数据存储,kibana负责前端报表展示。 下载 https://www.elastic.co/cn/downl...
ELK之logstash简介与应用
xi_nuo的博客
11-03 676
现阶段为了实现高性能、高可靠性及高扩展性,基本上所有的服务都采用的集群模式,多服务器多节点部署。如此,我们在开发过程中肯定都会遇到这样一个问题,在通过日志定位和分析问题的时候,必须每台机每个节点依次去排查,任务繁琐且易遗漏。当前公司所用的日志收集工具为filebeat,出于对ELK系统中L的好奇,对logstash做了初步了解并完成简单的实现,记录下来,便于查阅。 1、简介 Logstash是一个开源数据收集引擎,具有实时管道功能,可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的
logstash日志分析的配置和使用
weixin_33840661的博客
02-01 652
logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的...
logstash使用之输入阶段和过滤阶段处理数据的区别
落叶下的光
11-24 3567
概述阅读此文之前,先阅读logstash入门之工作流程,了解下codec和filter.codec相当于一个编码解码的工具.对输入和输出的数据进行处理,而filter中也有好多类似于这个功能的插件.比如: * codec中有json codec plugin,filter中有json filter plugincodec作用于输入阶段可以对输入的内容比如json进行解析,而filter中同样也有可
logstash应用4:ElasticSearch--HDFS
wzz87的博客
03-19 1129
工具: logstash5.1.1 应用:将ElasticSearch中的实时采集到的数据同步到HDFS作为历史数据存储 初级版本脚本: input{ elasticsearch { hosts => "10.10.77.104:9200" index => "cqct_20180508_06" #query => "*" } } output...
springboot logstash
08-03
Spring Boot和Logstash是两个不同的工具,它们可以一起使用来实现日志收集和分析。 Spring Boot是一个用于构建Java应用程序的开发框架,它提供了自动化配置和约定大于配置的原则,使得开发者可以快速搭建和部署应用程序。Spring Boot内置了日志框架,通常使用的是Logback或者Log4j。 Logstash是一个开源的数据收集引擎,它可以从不同的数据源收集日志数据,并将其转发到不同的目标存储或分析系统。Logstash支持多种输入源和输出目标,包括文件、数据库、消息队列等。它还支持对日志数据进行过滤、转换和增强等操作。 要在Spring Boot应用中使用Logstash,你可以通过配置Spring Boot的日志框架来将日志数据发送到Logstash。一种常见的做法是使用Logback作为Spring Boot的日志框架,并配置Logstash的appender来将日志数据发送到Logstash服务器。你可以在Spring Boot的配置文件中设置Logback的配置,包括定义Logstash的目标服务器地址和端口等信息。 以下是一个示例的Logback配置文件,将日志数据发送到Logstash: ```xml <configuration> <appender name="logstash" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>your-logstash-server:port</destination> <encoder class="net.logstash.logback.encoder.LogstashEncoder" /> </appender> <root level="info"> <appender-ref ref="logstash" /> </root> </configuration> ``` 请注意替换`your-logstash-server`和`port`为你实际使用的Logstash服务器地址和端口。 通过这样的配置,你的Spring Boot应用程序的日志将被发送到Logstash服务器,然后你可以使用Logstash进行进一步的日志处理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值