logstash7.15.1读取文件并写入elasticsearch7.5.1(多行编码和过滤器)

已于 2022-02-19 16:55:38 修改
阅读量781 收藏 1
点赞数
分类专栏: 运维监控 大数据技术 文章标签: elasticsearch logstash
于 2022-02-19 15:44:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaomingwu/article/details/123016377
版权

elasticsearch7.5.1和kibana7.5.1以及logstash7.15.1的安装部署这里略过。

1. 配置文件一

input {
  file {
    start_position => end 
    path => "E:/home/wxp/box/task/box-task-info.log"
	type => "type1" ### 用去输出到es时判断存入哪个索引
	codec => multiline {
		### 是否匹配,只有匹配的才记录,不匹配的忽略
		negate => true 
		### 匹配的正则
		pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}) *" 
		###将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
		what => "previous" 
		max_lines => 1000 ### 最大允许的行
		max_bytes => "10MiB" ### 允许的大小
		auto_flush_interval => 30 ### 如果在规定时候内没有新的日志事件就不等待后面的日志事件
   }
  } 
} 
 
output {
  stdout{}
  elasticsearch {
   #es地址,可多个
   hosts => ["localhost:9200"]
    action => "index"
	#获取输出参数"indexname"值当做索引,如果没有则会自动创建对应索引(需要es开启自动创建索引)
    index => "test_log_index"
   }
}
  1. start_position => end 配置表示从文件末尾开始读取;
  2. type => "type1" 表示增加一个类型参数,后续可以根据该参数进行判断;
  3. pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}) *" ,匹配正则,这里只是以完整的日期时间开头的行,表示开始行;
  4. auto_flush_interval => 30,日志刷写间隔;

2. 增加过滤的配置

input {
  file {
    start_position => end 
    path => "E:/home/wxp/box/task/box-task-info.log"
	type => "type1" ### 用去输出到es时判断存入哪个索引
	codec => multiline {
		### 是否匹配,只有匹配的才记录,不匹配的忽略
		negate => true 
		### 匹配的正则
		pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}) *" 
		###将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
		what => "previous" 
		max_lines => 1000 ### 最大允许的行
		max_bytes => "10MiB" ### 允许的大小
		auto_flush_interval => 30 ### 如果在规定时候内没有新的日志事件就不等待后面的日志事件
   }
  } 
}


filter{
	grok{
	  match => {"message" => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}) *"}
	} ### 通过grok匹配内容并将
	date{
	  match => ["datetime","yyyy-MM-dd HH:mm:ss.SSS","yyyy-MM-dd HH:mm:ss.SSSZ"]
	  target => "@timestamp"
	} ### 处理时间
}


output {
  stdout{}
  elasticsearch {
   #es地址,可多个
   hosts => ["localhost:9200"]
    action => "index"
	#获取输出参数"indexname"值当做索引,如果没有则会自动创建对应索引(需要es开启自动创建索引)
    index => "test_log_index"
   }
}

这里以最简单的方式进行时间戳提取。

3. 启动logstash进行测试

在文件尾添加如下内容:

2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]
2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]

控制台输出:

{
      "datetime" => "2020-02-19 17:09:31.829",
    "@timestamp" => 2020-02-19T09:09:31.829Z,
          "type" => "type1",
          "path" => "E:/home/wxp/box/task/box-task-info.log",
       "message" => "2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r",
      "@version" => "1",
          "host" => "DESKTOP-O93E7VQ"
}
{
      "datetime" => "2020-02-19 17:09:31.829",
    "@timestamp" => 2020-02-19T09:09:31.829Z,
          "type" => "type1",
          "path" => "E:/home/wxp/box/task/box-task-info.log",
       "message" => "2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r",
      "@version" => "1",
          "host" => "DESKTOP-O93E7VQ"
}

可以看到,这里的时间戳,是从日志中提取出来的,而不是系统的时间。

日志时间,也相应地根据日志时间进行了设置。

4. filter中grok匹配规则

通过增加过滤器,对日志进行格式化。

grok匹配的典型格式:

  • %{NUMBER:duration} — 匹配浮点数
  • %{IP:client} — 匹配IP
  • (?([\S+]*)),自定义正则
  • (?<class_info>([\S+]*)), 自定义正则匹配多个字符
  • \s*或者\s+,代表多个空格
  • \S+或者\S*,代表多个字符
  • 大括号里面:xxx,相当于起别名
  • %{UUID},匹配类似091ece39-5444-44a1-9f1e-019a17286b48
  • %{WORD}, 匹配请求的方式
  • %{GREEDYDATA},匹配所有剩余的数据
  • %{LOGLEVEL:loglevel} ---- 匹配日志级别
  • 自定义类型

在kibana的dev tools中,有一个调试工具"Grok Debugger",界面如下所示:

可以输入样例数据,匹配样式,系统自动显示匹配结果。

案例一

2020-03-18 14:04:23.944 [DubboServerHandler-10.50.245.25:63046-thread-168] INFO  c.f.l.d.LogTraceDubboProviderFilter - c79b0905-03c7-4e54-a5a6-ff1b34058cdf CALLEE_IN dubbo:EstatePriceService.listCellPrice

\s*%{TIMESTAMP_ISO8601:timestamp} \s*\[%{DATA:current_thread}\]\s*%{LOGLEVEL:loglevel}\s*(?<class_info>([\S+]*))

{
  "current_thread": "DubboServerHandler-10.50.245.25:63046-thread-168",
  "loglevel": "INFO",
  "class_info": "c.f.l.d.LogTraceDubboProviderFilter",
  "timestamp": "2020-03-18 14:04:23.944"
}

 案例二

2020-12-04 14:16:30.003  INFO 19095 --- [pool-4-thread-1] com.yck.laochangzhang.task.EndorseTask   : 平台发起背书结束.....

(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}\.\d{3})\s+(?<level>\w+)\s+\d+\s+-+\s\[[^\[\]]+\]\s+(?<handler>\S+)\s+:(?<msg>.*)

{
  "msg": " 平台发起背书结束.....",
  "handler": "com.yck.laochangzhang.task.EndorseTask",
  "datetime": "2020-12-04 14:16:30.003",
  "level": "INFO"
}

案例三 

2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]

(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}) \[%{DATA:thread}\] %{LOGLEVEL:loglevel}\s*%{GREEDYDATA:msg} *

{
  "msg": "o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]",
  "datetime": "2020-02-19 17:09:31.829",
  "loglevel": "INFO",
  "thread": "main"
}

5. 提取线程、日志级别以及按年和月生成索引

input {
  file {
    start_position => end 
    path => "E:/home/wxp/box/task/box-task-info.log"
	type => "type1" ### 用去输出到es时判断存入哪个索引
	codec => multiline {
		### 是否匹配,只有匹配的才记录,不匹配的忽略
		negate => true 
		### 匹配的正则
		pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3})\s*\[%{DATA:thread}\]\s*%{LOGLEVEL:loglevel}\s*%{GREEDYDATA:msg}" 
		###将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
		what => "previous" 
		max_lines => 1000 ### 最大允许的行
		max_bytes => "10MiB" ### 允许的大小
		auto_flush_interval => 30 ### 如果在规定时候内没有新的日志事件就不等待后面的日志事件
   }
  }
 
}


filter{
	grok{
	  match => {"message" => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3})\s*\[%{DATA:thread}\]\s*%{LOGLEVEL:loglevel}\s*%{GREEDYDATA:msg}"}
	} ### 通过grok匹配内容并将
	date{
	  match => ["datetime","yyyy-MM-dd HH:mm:ss.SSS","yyyy-MM-dd HH:mm:ss.SSSZ"]
	  target => "@timestamp"
	} ### 处理时间
}


output {
  stdout{}
  elasticsearch {
   #es地址,可多个
   hosts => ["localhost:9200"]
    action => "index"
	#获取输出参数"indexname"值当做索引,如果没有则会自动创建对应索引(需要es开启自动创建索引)
    index => "test_log_index-%{+YYYY-MM}"
   }
}

logstash标准输出:

{
          "type" => "type1",
      "datetime" => "2020-02-19 17:09:31.829",
    "@timestamp" => 2020-02-19T09:09:31.829Z,
      "@version" => "1",
        "thread" => "main",
          "host" => "DESKTOP-O93E7VQ",
           "msg" => "o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r",
          "path" => "E:/home/wxp/box/task/box-task-info.log",
      "loglevel" => "INFO",
       "message" => "2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r"
}
{
          "type" => "type1",
      "datetime" => "2020-02-19 17:09:31.829",
    "@timestamp" => 2020-02-19T09:09:31.829Z,
      "@version" => "1",
        "thread" => "main",
          "host" => "DESKTOP-O93E7VQ",
           "msg" => "o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r",
          "path" => "E:/home/wxp/box/task/box-task-info.log",
      "loglevel" => "INFO",
       "message" => "2020-02-19 17:09:31.829 [main] INFO  o.a.c.c.StandardService - [log,173] - Stopping service [Tomcat]\r"
}

 

 可以看到,增加了日志级别,线程,按年和月生成的索引。

6. 通过grok插件匹配springBoot日志

input { 
    stdin { } 
    file {
        # 容器中日志所在目录的文件
        path => ["/usr/share/logstash/logs/*.log"]
        # 多行匹配方法1
        codec => multiline {
            pattern => "^(%{TIMESTAMP_ISO8601})"
            negate => true
            what => "previous"
        }
        sincedb_path => "NUL"
        type => "spring"
        start_position => "beginning"
    }
}
 
filter {
    if [type] == "spring" {
        # 多行匹配方法2
       # multiline {
            # pattern => "^(%{TIMESTAMP_ISO8601})"
            # negate => true
            # what => "previous"
       # }
        grok {
            # Do multiline matching with (?m) as the above mutliline filter may add newlines to the log messages.
            match => [ "message", "(?m)^%{TIMESTAMP_ISO8601:timestamp}%{SPACE}%{LOGLEVEL:logLevel}%{SPACE}%{NUMBER:pid}%{SPACE}---%{SPACE}%{SYSLOG5424SD:threadName}%{SPACE}%{NOTSPACE:loggerName}%{SPACE}:%{SPACE}%{GREEDYDATA:message}" ]
            # 覆盖原有的message
            overwrite=> [ "message" ]
        }
   }
}
 
 
output {
    if [type] == "spring" {
        elasticsearch {
            hosts => ["localhost:9200"]
            index => "springboot-%{+YYYY-MM-dd}"
        }
    }
	stdout { codec => rubydebug }
}

匹配的日志格式:

2020-05-15 17:54:50.805 DEBUG 8296 --- [scheduling-1] org.jooq.tools.LoggerListener            : Executing query          : select id from user
2020-05-15 17:54:52.945 DEBUG 1012 --- [scheduling-1] org.jooq.tools.LoggerListener            : Executing query          : select id from user

上述格式只为举例说明,实际项目中的格式可能与上述格式不同,根据需要进行适当调整即可。

程序猿20
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash从文本文件中读取数据存到mysql数据库中
qq_34136709的博客
01-15 1083
logstash从文本文件中读取数据存到mysql数据库中 最近项目中有一个需求:logstash从文本文件中读取数据存到mysql数据库中,花了我快两天的时间,以防忘记故来记录一下: 第一步:logstash安装 首先我们要在服务器上安装logstash,对应的安装包链接如下: https://download.csdn.net/download/qq_34136709/14363673 进行解压缩即可, 第二步:安装logstash-output-jdbc插件 (1)在线安装 进入到logstash
logstash导入数据到Elasticsearch
热门推荐
铁柱的博客
04-16 1万+
一、前言       刚开始的时候,博主导入数据用的是bulk这个方法,但是这个方法一方面是导入不方便,一方面是对于数据量有限制。既然咱们搭建的是ELK,那么就来见识下logstash吧。 博主这里的ELK全部是6.2.4版本。 二、logstash的下载安装 1、简介      &nbs...
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1262
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
实现数据模拟,并通过logstash存入elasticsearch数据库
DaiSnow的博客
06-01 649
1.数据模拟 2.存入elasticsearch数据库 通过线程模拟系统日志数据和用户行为数据。数据格式如下: 日志服务数据:17705|event_login|1486832460300|192.168.56.17 用户行为数据:{“browse”:“chrome:true version:72.0”,“custid”:“42329”,“cm”:{“eventCategory”:“href_click”,“position”:“128 52”,“time”:“2017-10-09 08:39:00”,“p
logstash从指定文件读取数据到Elasticsearch
yuanyuan214365的博客
09-16 8143
1、logstash: 数据处理管道,同时从多个来源,采集数据、转换数据发送到存储库中。该博文主要介绍如何从指定文件读取数据到es中   第一步: logstash配置文件输入输出规则 logstash_FileDemo.conf input { file{ path =&gt; "E:/temp/*.csv" start_position =&gt; beginning } ...
logstash读取日志文件到odps(maxcompute)
东方客的博客
06-15 743
logstash 条件判断语句 使用条件来决定filter和output处理特定的事件。logstash条件类似于编程语言。条件支持if、else if、else语句,可以嵌套。 比较操作有: 相等: ==, !=, <, >, <=, >= 正则: =~(匹配正则), !~(不匹配正则) 包含: in(包含), not in(不包含) 布尔操作: and(与), or(或), nand(非与), xor(非或) 一元运算符: !(取反) ()(复合表达式), !(...
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
最新版windows logstash-7.15.1-windows-x86_64.zip
10-19
6. **兼容性**:与Elasticsearch 7.x版本保持同步,这意味着Logstash 7.15.1可以无缝集成到Elastic Stack 7.x环境中,确保数据的一致性和完整性。 7. **配置文件**:通过简单的文本配置文件,用户可以定义Logstash...
最新版linux logstash-7.15.1-linux-x86_64.tar.gz
10-19
8. **输出插件**:处理后的数据将通过输出插件发送到目的地,常见的有Elasticsearch用于存储和搜索,Kafka用于消息队列,或者直接写入文件系统等。例如,配置Elasticsearch输出: ``` output { elasticsearch { ...
LogstashElasticsearch过滤器_Ruby_代码_相关文件_下载
07-12
Logstash 配置文件中,Elasticsearch 过滤器通常会放在输入和输出之间。例如: ```ruby input { file { path => "/var/log/app/*.log" } } filter { # 添加 Ruby 过滤器逻辑,如果需要的话 } output { ...
Logstash消费kafka同步数据到Elasticsearch
Map的博客
05-08 5670
1. 同步数据到Elastic几种方式 目前要把kafka中的数据传输到elasticsearch大概有一下几种方法: 1) logstash 2)flume 3)spark streaming 4)kafka connect 5)开发程序消费kafka写入elasticsearch 本文介绍如何使用Logstash将Kafka中的数据写入ElasticSearch,这里Kafka、logstashelasticsearch安装就详述了。 Logstash工作的流程由三部分组成: in
python实时监控logstash日志代码
12-20
实时读取logstash日志,有异常错误keywork即触发报警。 # /usr/bin/env python3 # -*- coding: utf-8 -*- # __author__ = caozhi # create_time 2018-11-12,update_time 2018-11-15 # version = 1.0 # 录像高可用报警 # 1 读取日志 使用游标移动 # 2 线上业务日志文件会切割,切割后,读取上一个切割的日志 import os import sys import json import requests import time import re cini
Logstash读取自定义日志以及解析处理_并把处理后数据上传至Elasticsearch---ElasticStack(ELK)工作笔记021
添柴程序猿的专栏
02-15 948
然后我们之前通过filebeat采集了nginx的日志.但仅仅是采集数据,如果我们使用logStash的话 可以对采集的数据,进行处理,然后再把处理后的数据存储到elasticsearch中去. 比如我们有上面的这样格式的数据要采集,我们想处理一下,把数据按照|分割,然后获取每个数据 ...
ElasticSearch实战系列七: Logstash实战使用-图文讲解
虚无境的博客
08-17 1509
前言 本文主要介绍的是ELK日志系统中的Logstash快速入门和实战 ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现
ElasticSearch日志系统 使用Logstash简单处理日志信息
Beyond1536的博客
09-02 2325
目标: 使用Logstash的配置文件中的过滤器filter,对日志内容进行简单解析,并处理输出时生成字段。 Logstash实现多路接收。 观察日志格式 系统中的日志,能够大概分为以上两种类型,一种是纯系统操作信息日志,另一种是系统操作信息后,附带JSON格式的具体实体信息。 两种日志中,开头的信息及结构都是相同的。包括 日志编码、日志产生时间、日志产生线程、日志类型、日志产生类路径、日志内容。 grok正则捕获 我们可以通过gork,解析抽离出日志中的日志编码、日志产生时间
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2091
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
logstash7.5.1同步nginx日志到elasticsearch
zzq的博客
01-31 6827
测试环境:centos 前言:本文在已经安装elasticsearch的基础进行,可参考我的上篇博客-- elasticsearch7.5.1集群安装+head插件安装 本文实现如下简单粗暴的日志收集架构 上面的架构是还没有进行日志过滤的,只是简单的将nginx日志通过logstash传输到es中,过滤环节是很耗时间和资源的。所以一般都会加上一个消息中间件比如kafka或redis这种...
Centos7快速安装Logstash 7.17.7并实现MySQL中数据导入Elasticsearch
u011197085的博客
05-03 1076
可以通过以下命令在线安装 Logstash 7.17.7。安装完成后,需要添加环境变量。
ELK详解(八)——Logstash收集系统日志实战
永远是少年
04-05 6904
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集系统日志。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
logstash怎么只获取filebeat写入Kafka的数据并去掉数组花括号
06-06
您好!如果您想要只获取filebeat写入Kafka的数据,并去掉数组花括号,可以使用Logstash的filter插件来实现。具体步骤如下: 1. 在Logstash的配置文件中,添加filter插件,如下所示: ``` filter { json { source => "message" remove_field => ["message"] } mutate { remove_field => ["[array]"] } } ``` 2. 在json插件中,设置source为message,表示从message字段中提取JSON格式的数据。 3. 在mutate插件中,使用remove_field选项来删除整个数组字段。 4. 最后,您可以将处理后的数据输出到任意目标,如Elasticsearch、MySQL等。 注意:以上配置仅供参考,具体实现还需要根据您的实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值