logstash配置

最新推荐文章于 2024-06-24 20:10:19 发布
最新推荐文章于 2024-06-24 20:10:19 发布
阅读量641 收藏
点赞数
分类专栏: ELK logstash 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lai0yuan/article/details/79757211
版权
ELK 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
logstash
3 篇文章 0 订阅
订阅专栏
大数据
3 篇文章 0 订阅
订阅专栏

input

  • 文件输入
file {
    type => "nginxaccess"
    #路径
    path => "/usr/local/nginx/logs/access.log"
    #开始位置
    start_position => "beginning"
  }

filter

过滤器插件-grok

1. 安装
bin/logstash-plugin install logstash-filter-grok

2. 使用

匹配模式 message是每段读进来的日志,IP、HTTPDATE、WORD、NOTSPACE、NUMBER都是patterns/grok-patterns中定义好的正则格式名称,对照日志进行编写,(?:%{USER:ident}|-)这种形式是条件判断,相当于程序里面的二目运算。如果有双引号”“或者[]号,需要在前面加\进行转义。

举例

55.3.244.1 GET /index.html 15824 0.043
grok {
    #自定义规则路径
    #patterns_dir => "/home/es/logstash-6.2.3/patterns/nginx_pattern"

    "message"=>{"%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"}
}

下面是自己写的自定义nginx的access.log的匹配规则

vim /home/es/logstash-6.2.3/patterns/nginx_pattern
URI1 (%{URIPROTO}://)?(?:%{USER}(?::[^@]*)?@)?(?:%{URIHOST})?(?:%{URIPATHPARAM})?
NGINXACCESS %{IP:clientIp} - - \[%{HTTPDATE:timestamp}\] \"%{WORD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status} %{NUMBER:bytes} \"(?:%{URI1:http_referrer}|-)\" \"(%{GREEDYDATA:user_agent}|-)\"
3. 过滤规则
  • 查看grok自带的过滤规则
cat /home/es/logstash-6.2.3/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns
4. 在线匹配工具
https://grokdebug.herokuapp.com/

过滤器插件-urldecode

1. 安装
bin/logstash-plugin install logstash-filter-urldecode
2. 使用

把所有字段进行urldecode(显示中文)

urldecode {
    all_fields => true
}

针对单独的字段转化,比如message字段是url编码

urldecode {
    field => "message"
}

输入

https://www.test.com/s?word=%e5%b0%8f%e7%b1%b3&key=%e8%8b%b9%e6%9e%9c

输出

{
      "@version" => "1",
          "host" => "iZbp108a551s2at4tguz7bZ",
    "@timestamp" => 2018-03-29T07:38:45.166Z,
       "message" => "https://www.test.com/s?word=小米&key=苹果"
}

过滤器插件-kv

1. 安装
bin/logstash-plugin install logstash-filter-kv
2. 使用

将取得的URL、request字段取出来进行key-value值匹配,使用字段分隔符”&?”,值键分隔符”=”,则会自动将字段和值采集出来。

kv {
    field_split => "&?"
}

官方插件使用介绍

https://www.elastic.co/guide/en/logstash/current/filter-plugins.html

我自己的过滤配置

filter { 
    grok {
        patterns_dir => "/home/es/logstash-6.2.3/patterns/nginx_pattern"
        match => {"message"=>"%{NGINXACCESS}"}
    }
    geoip {
        source => "clientIp"
    }
    urldecode {
        field => "request"
    }
    kv {
        source => "request"
        field_split => "&?"
    }

 }

output

  • 输出到elasticsearch
elasticsearch {
    #elasticsearch的ip:prot
    hosts => ["127.0.0.1:9200"]
    #index
    index=>"nginx"
    #type
    document_type => "log"
}

logstash的坑:

不能重复读一份完全相同的文件! 在使用logstash采集日志时,如果我们采用file为input类型,采用不能反复对一份文件进行测试!第一次会成功,之后就会失败!
如果要对同一份文件进行采集,记得改名!

星火犹存
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Logstash由SQLServer向Elasticsearch同步数据: logstash配置文件
iOS逆向与安全
03-14 444
官方文档:https://www.elastic.co/guide/en/logstash/current/pipeline.html。statement : sql 里面的字段首字母必须as 成小写,或者你直接小写也行,但是必须的小写。依赖DB中的特定字段,可能会涉及到原有表结构的修改。在删除数据时无法通过这种方式获得数据的变更。x_Loan_PreservationAdvanceList.sql 需要同步数据执行的Sql。解压完成后,进入解压后的logstash-7.2.0文件夹。
Logstash的介绍和配置书写
LINUX(云计算)
06-19 682
Logstash是一个数据采集、加工处理以及传输的工具 • 特点: – 所有类型的数据集中处理; – 不同模式和格式数据的正常化; – 自定义日志格式的迅速扩展; – 为自定义数据源轻松添加插件; Logstash安装: – Logstash依赖Java环境,需要安装java-1.8.0-openjdk – Logstash没有默认的配置文件,需要手动配置Logstash安装在/opt/l...
logstash日志分析的配置和使用
weixin_33840661的博客
02-01 655
logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的...
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_85599426的博客
06-24 517
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!message解析后得到的键值对数据。[外链图片转存中…(img-9GvDKst5-1719231007414)][外链图片转存中…(img-aGnbao1M-1719231007414)]
Logstash 配置总结
知识的力量
10-31 1万+
#整个配置文件分为三部分:input,filter,output #参考这里的介绍 https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html input {   #file可以多次使用,也可以只写一个file而设置它的path属性配置多个文件实现多文件监控   file {    
Logstash配置详解
热门推荐
yygr的博客
04-08 1万+
https://blog.csdn.net/hushukang/article/details/84423184 Logstash配置文件位于Logstash安装目录下bin/logstash.conf 启动命令: logstash -f logstash.conf 1. Input Plugin 1.1 从文件输入 从文件读取数据,如常见的日志文件。文件读取通常要解决几个问题: No. 问题 解决办法 1 文件内容如何只被读取一次?即重启Logstash时,从
Logstash 配置
桃花惜春风
01-16 2620
文章目录课前三分钟配置文件settings配置 课前三分钟 配置文件 Logstash配置文件分为两种: settings配置文件,主要是配置Logstash启动相关配置和一些资源上的配置。 pipeline配置文件,主要就是我们自行创建的,以.conf结尾的文件,用于配置数据的输入输出。 settings配置 Logstash主要包含一下几个配置文件: logstash.yml Log...
logstash配置文件
weixin_44899836的博客
03-22 116
logstash配置文件 logstash配置文件 实现每分钟监控mysql表的number列的数据更新情况并作为生产者通过logstash输入kafka es作为消费者通过logstash导入信息 input input { jdbc { jdbc_connection_string => "jdbc:mysql://47.111.230.222:3306/new-ji...
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
Logstash配置对IntelliJ的支持 IntelliJ IDE的插件以支持弹性配置文件 特征 语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动...
vsftpd-grok-patterns:用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式
07-06
用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式 用法 安装logstash 将50-filter-vsftpd.conf添加到/etc/logstash/conf.d 将vsftpd.grok添加到/etc/logstash/patterns.d 重启logstash 包含的 Logstash ...
logstash配置文件.rar
12-18
在给定的“logstash配置文件.rar”压缩包中,我们可以期待找到针对Logstash配置文件,这些文件用于设置不同的数据处理管道,将数据输入到Elasticsearch并进行聚合分析。 首先,我们要理解Logstash的工作原理。...
logstash的安装与配置
u011250186的博客
08-17 1023
logstash的安装与配置
第三篇:Logstash 安装配置
weixin_30807779的博客
07-10 239
Logstash 简介: Logstash 是一个实时数据收集引擎,可收集各类型数据并对其进行分析,过滤和归纳。按照自己条件分析过滤出符合数据导入到可视化界面。Logstash 建议使用java1.8 有些版本是不支持的,比如java1.9。 一. 下载安装jdk1.8 下载地址:http://www.oracle.com/technetwork/java...
LogStash配置详解
趣学程序
06-27 4683
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
logstash 配置
05-20
下面是一个简单的Logstash配置文件示例: ``` input { file { path => "/var/log/nginx/access.log" } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值