Logstash读取kafka到ElasticSearch的配置文档

最新推荐文章于 2024-07-13 11:10:40 发布
最新推荐文章于 2024-07-13 11:10:40 发布
阅读量2.1k 收藏 9
点赞数 1
分类专栏: kafka ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuzhupeng/article/details/106709627
版权
kafka 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
ELK
1 篇文章 0 订阅
订阅专栏

文章目录

一、架构

本项目是通过Logstash从kafka读取release相关升级数据到ElasticSearch(下称es)中,并支持升级数据需要按照taskId的updateTime最新时间对es更新。由于从kafka中读取的数据是经过protobuf序列化的,logstash也需要对数据进行反序列化转换成json。Logstash实现的功能拓扑图如下所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-egKF8j2A-1591927503626)(https://i.imgur.com/f93WbB3.png)]

二、input 读取kafka配置

该模块负责从kafka集群中读取已经被protobuf序列化的数据,并进行反序列化操作。

input{
  kafka {
    bootstrap_servers => ["192.168.144.34:9092,192.168.144.35:9092,192.168.144.36:9092"]
    group_id => "logstash-release-upgrade-test"
    consumer_threads => 5
    decorate_events => false
    topics => ["release_upgrade_ES_test"]
    type => "release-upgrade-es"
    auto_offset_reset => "latest"
    key_deserializer_class => "org.apache.kafka.common.serialization.ByteArrayDeserializer"
    value_deserializer_class => "org.apache.kafka.common.serialization.ByteArrayDeserializer"
    codec => protobuf{ 
      class_name => ["ReleaseRecords.ReleaseRecordOrigin"]
      include_path => ['/opt/logstash-6.5.4/config/fates/ReleaseRecordES_pb.rb']
      protobuf_version => 3
    }
  }
}

2.1、简单配置及说明

    • bootstrap_servers
    • 值类型为string
    • 默认值为"localhost:9092"
    • 用于建立到集群的初始连接的Kafka实例的url列表,这个列表应该是host1:port1,host2:port2的形式,这些url仅用于初始连接,以发现完整的集群成员(可能会动态更改),因此这个列表不需要包含完整的服务器集(不过,如果一个服务器宕机,你可能需要多个服务器)。
  • group_id
    • 值类型为string
    • 默认值为"logstash"
    • 此消费者所属的组的标识符,消费者组是由多个处理器组成的单个逻辑订阅服务器,主题中的消息将分发给具有相同group_id的所有Logstash实例。
  • consumer_threads
    • 值类型为number
    • 默认值为1
    • 理想情况下,为了达到完美的平衡,你应该拥有与分区数量一样多的线程,线程多于分区意味着有些线程将处于空闲状态。
  • decorate_events
    • 值类型为boolean
    • 默认值为false
    • 可向事件添加Kafka元数据,比如主题、消息大小的选项,这将向logstash事件中添加一个名为kafka的字段,其中包含以下属性:topic:此消息关联的主题、consumer_group:这个事件中用来读取的消费者组、partition:此消息关联的分区、offset:此消息关联的分区的偏移量、key:包含消息key的ByteBuffer。
  • topics
    • topics
    • 值类型为array
    • 默认值为[“logstash”]
    • 要订阅的主题列表,默认为[“logstash”]。
  • enable_auto_commit
    • 值类型为string
    • 默认值为"true"
    • 如果是true,消费者定期向Kafka提交已经返回的消息的偏移量,当进程失败时,将使用这个提交的偏移量作为消费开始的位置。
  • type
    • 值类型为string
    • 这个设置没有默认值
    • 向该输入处理的所有事件添加type字段,类型主要用于过滤器激活,该type作为事件本身的一部分存储,因此你也可以使用该类型在Kibana中搜索它。如果你试图在已经拥有一个type的事件上设置一个type(例如,当你将事件从发送者发送到索引器时),那么新的输入将不会覆盖现有的type,发送方的type集在其生命周期中始终与该事件保持一致,甚至在发送到另一个Logstash服务器时也是如此。
  • 其它配置请参考
    • 英文文档:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-kafka.html#plugins-inputs-kafka-bootstrap_servers
    • 中文文档:https://segmentfault.com/a/1190000016595992

2.2 protobuf数据反序列化

2.2.1 protocol buffer简介

相比无模式的JSON格式,Protobufs是一种有模式、高效的数据序列化格式。我们在Kafaka中传输的数据,很多都在使用Protocol Buffers进行编码。它的优势就在于:首先,编码后的数据size明显要比其他的编码方式要小。以JSON编码举例,消息体中不仅仅包含实际数据,还有对应的Key值及很多的中括号。对于文档结构基本不变的数据,传输中包含这些附加信息,是一种资源的浪费。当发送端和接收端对交互的文档结构达成一致后,传输过程还携带这部分结构信息就显得多余。在整个日志处理过程中,该部分消耗的资源是可以被节省下来。其次,消费者所处理的数据,数据格式都是约定好的,完全不会像JSON一样,莫名奇妙多出一个字段。同时,给数据字段的理解产生误解。

Logstash不支持Protobufs编解码。目前,它支持纯文本、JSON格式和其他别的消息格式。
Protobufs编解码需要手动配置,其配置如下。

2.2.2 安装插件
  • kafka中使用protobuf版本为3.x,所以本地需要安装的protobuf编译器也是3.x的
  • To build protobuf from source, the following tools are needed:
    • autoconf
    • automake
    • libtool
    • make
    • g++
    • unzip
sudo yum install autoconf automake libtool curl make g++ unzip
  • 安装protobuf
git clone https://github.com/protocolbuffers/protobuf.git
cd protobuf
git submodule update --init --recursive
./autogen.sh
./configure --prefix=/usr/local/protobuf
make
make check
make install
  • 配置环境变量
    • vim /etc/profile
export PATH=$PATH:/usr/local/protobuf/bin/
export PKG_CONFIG_PATH=/usr/local/protobuf/lib/pkgconfig/
保存执行,source /etc/profile。同时在~/.profile中添加上面两行代码,否则会出现登录用户找不到protoc命令。
  • 配置动态链接库
vim /etc/ld.so.conf,在文件中添加/usr/local/protobuf/lib(注意: 在新行处添加),然后执行命令: ldconfig
2.2.3 ReleaseRecordES.proto文件
  • 在/opt/logstash-6.5.4/config/fates/目录下新建ReleaseRecordES.proto
syntax = "proto3";
// Compile: protoc --ruby_out=. ReleaseRecordES.proto 
package ReleaseRecords;
message ReleaseRecordOrigin {
  string taskId = 1;
  string device = 2;
  string appName = 3;
  string mediaAppName = 4;
  string version = 5;
  string oldVersion = 6;
  string mediaVersion = 7;
  int32 strategyId = 8;
  int32 sp = 9;
  int32 softBit = 10;
  int32 upgradeMode = 11;
  int32 strategyType = 12;
  int32 status = 13;
  string country = 14;
  string province = 15;
  string city = 16;
  string os = 17;
  string ip = 18;
  string systemBit = 19;
  int32 upgradeType = 20;
  int32 situation = 21;
  string time = 22;
  int32 patchId = 23;
}
2.2.4 protoc命令编译proto文件为ruby文件
  • 只能把proto文件编译成logstash识别的ruby文件才能解码消息
  • 编译命令:
protoc --ruby_out=. ReleaseRecordES.proto
----------------------------------------------
#ls
ReleaseRecordES.proto
ReleaseRecordES_pb.rb
  • 编译后的文件ReleaseRecordES_pb.rb
# Generated by the protocol buffer compiler.  DO NOT EDIT!
# source: ReleaseRecordES.proto

require 'google/protobuf'

Google::Protobuf::DescriptorPool.generated_pool.build do
  add_message "ReleaseRecords.ReleaseRecordOrigin" do
    optional :taskId, :string, 1
    optional :device, :string, 2
    optional :appName, :string, 3
    optional :mediaAppName, :string, 4
    optional :version, :string, 5
    optional :oldVersion, :string, 6
    optional :mediaVersion, :string, 7
    optional :strategyId, :int32, 8
    optional :sp, :int32, 9
    optional :softBit, :int32, 10
    optional :upgradeMode, :int32, 11
    optional :strategyType, :int32, 12
    optional :status, :int32, 13
    optional :country, :string, 14
    optional :province, :string, 15
    optional :city, :string, 16
    optional :os, :string, 17
    optional :ip, :string, 18
    optional :systemBit, :string, 19
    optional :upgradeType, :int32, 20
    optional :situation, :int32, 21
    optional :time, :string, 22
    optional :patchId, :int32, 23
  end
end

module ReleaseRecords
  ReleaseRecordOrigin = Google::Protobuf::DescriptorPool.generated_pool.lookup("ReleaseRecords.ReleaseRecordOrigin").msgclass
end
2.2.5 input.kafka配置protobuf反序列化
  • 在input.kafka中添加如下信息
    • class_name => [“ReleaseRecords.ReleaseRecordOrigin”]
    • 包名+类名
    • include_path => [’/opt/logstash-6.5.4/config/fates/ReleaseRecordES_pb.rb’]
      • ReleaseRecordES_pb.rb文件所在路径
    • protobuf_version => 3
      • protobuf编译器版本为3.x
key_deserializer_class => "org.apache.kafka.common.serialization.ByteArrayDeserializer"
value_deserializer_class => "org.apache.kafka.common.serialization.ByteArrayDeserializer"
codec => protobuf{ 
  class_name => ["ReleaseRecords.ReleaseRecordOrigin"]
  include_path => ['/opt/logstash-6.5.4/config/fates/ReleaseRecordES_pb.rb']
  protobuf_version => 3
}

三、filter对数据源进行过滤

获取升级日志是通过taskId进行更新:

首先,input读取kafka中的一条升级日志记录;

其次,filter的elasticsearch插件负责通过日志的主键taskId到es中查询该条记录;

最后,判断查询到的es记录是否存在,如果不存在就把kafka传来的日志记录插入到es中;如果存在,判断kafka中的updateTime是否新于es查询到的升级日志updateTime时间,新于
则把kafka数据插入到es中,老于或者时间一样则阻止插入到es中。

下面是filter各个插件在上述功能的实现:

3.1 elasticsearch plugin

elasticsearch{
  hosts => ["192.168.144.23:19200","192.168.144.34:19200","192.168.144.35:19200","192.168.144.36:19200","192.168.162.137:19200"] 
  index => "release_upgrade_es_*"
  query => "routing:%{appName} and _id:%{taskId}"
  fields => {
    "updateTime" => "oldUpdateTime"
  }
}
  • index => “release_upgrade_es_*”
    • 由于index是按照月份进行分库,所以检索的时候需要匹配所有按月份分库
  • query => “routing:%{appName} and _id:%{taskId}”
    • 通过routing:产品名称和_id:taskId获取唯一的升级记录信息
  • 把从es中获取的updateTime字段写入kafka中升级记录对象中,并以oldUpdateTime重新命名
    • oldUpdateTime供ruby插件进行时间判断来用

3.2 data plugin

该插件重要把updateTime时间(ISO8601格式)写入@timestamp中,在本项目中@timestamp没有起到任何作用,该步骤也可以省略

date {
  match => ["[updateTime]", "ISO8601"]
  target => "[@timestamp]"
}
  • filters/date 插件支持五种时间格式:
    • ISO8601
      • 类似 “2011-04-19T03:44:01.103Z” 这样的格
    • UNIX
      • UNIX 时间戳格式,记录的是从 1970 年起始至今的总秒数
    • UNIX_MS
      • 这个时间戳则是从 1970 年起始至今的总毫秒数
    • TAI64N
      • TAI64N 格式比较少见,是这个样子的:@4000000052f88ea32489532c
    • Joda-Time 库
      • Logstash 内部使用了 Java 的 Joda 时间库来作时间处理
    • 详细说明请参考如下文章:
      • http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/filter/date.html

3.3 ruby plugin

判断查询到的kafka记录中的oldUpdateTime是否存在:

    如果不存在就把kafka传来的日志记录插入到es中;

    如果存在,判断kafka中的updateTime是否新于es查询到的升级日志updateTime时间:

        新于则把kafka数据插入到es中;

        老于或者时间一样则阻止插入到es中

最后把的kafka记录中的oldUpdateTime字段移除

ruby {
  code => "
      if event.get('oldUpdateTime') != nil 
        then 
          duration_hrs = (Time.parse(event.get('updateTime')).to_f*1000 - Time.parse(event.get('oldUpdateTime')).to_f*1000) / 3600
          if duration_hrs <= 0 
            then
              event.cancel
            end   
        end
    "
    remove_field => ["oldUpdateTime"]
}

四、output

该模块主要负责把kafka中通过filter过滤的数据存到es中

output {
  stdout{codec=>rubydebug}
  if [type] == "release-upgrade-es" {
    elasticsearch{
      hosts => ["192.168.144.23:19200","192.168.144.34:19200","192.168.144.35:19200","192.168.144.36:19200","192.168.162.137:19200"] 
      index => "release_upgrade_es_%{+YYYY.MM}"
      action => "update"
      doc_as_upsert => "true"
      document_id => "%{taskId}"
      routing => "%{appName}" 
      document_type => "doc"
      manage_template => true
      template => "/opt/logstash-6.5.4/config/fates/templateRecord.json"
      template_name => "release_upgrade_record"
      template_overwrite => true
    }
  }
}

4.1 stdout plugin

测试时在终端界面上显示向es中写入的数据,此模块可以在正式环境中删除

对索引按照年月进行分库

按照产品名称设置路由,所以只要属于某一个产品下的升级记录都会存到指定的分片中

4.2 elasticsearch plugin

  • 主要配置
    • hosts
      • 设置远程实例的主机,如果es是集群可以按数组方式写入
    • index => “release_upgrade_es_%{+YYYY.MM}”
      • 对索引按照年月进行分库
    • action
      • index:将logstash.时间索引到一个文档
      • delete:根据id删除一个document(这个动作需要一个id)
      • create:建立一个索引document,如果id存在 动作失败.
      • update:根据id更新一个document,有一种特殊情况可以upsert–如果document不是已经存在的情况更新document 。参见upsert选项。
    • routing
      • 默认情况下,索引数据的分片规则,是下面的公式:
      shard_num = hash(_routing) % num_primary_shards
      • 此时我们按照产品名称设置路由,所以只要属于某一个产品下的升级记录都会存到指定的分片中

shard_num = hash(_routing) % num_primary_shards
- document_id
- 为索引提供document id ,对重写elasticsearch中相同id词目很有用
- document_type
- 事件要被写入的document type,一般要将相似事件写入同一type,可用%{}引用事件type,默认type=log
- manage_template=>true
- 一个默认的es mapping 模板将启用(除非设置为false 用自己的template)
- template
- 有效的filepath,设置自己的template文件路径,不设置就用已有的
- template_name 在es内部模板的名字,可以任意命名

4.2.1 自动template模板

定义模板根据数据情况:

1.某一个产品的升级记录值在一个分片中,并且每个分片只有一个备份;

2.对kafka中已经进行protobuf反序列化的对象中string类型字段转换为keyword类型(该类型不会进行分词),其它类型按照默认类型即可;

3.对该模板下所有index起一个别名:release-upgrade-info;

4.如果kafka中已经进行protobuf反序列化的对象中string类型字段的名称中有message会转换为text类型(会产生分词,建立倒排索引,比较占空间),该message_field设置可以删除,暂时保留;

5.index.refresh_interval的值是5s(默认值是5s),这迫使Elasticsearch集群每5秒创建一个新的 segment(可以理解为Lucene的索引文件)。增加这个值,例如30s,可以允许更大的segment写入,减后以后的segment合并压力;
6. geoip 获取指定ip字段的地理信息,由于升级记录已经有ip地理信息,该映射暂时没用,后续可以删除该影响。

  • 模板文件放在指定路径目录下:
    • template => “/opt/logstash-6.5.4/config/fates/templateRecord.json”
  • 模板内容
{
  "template" : "release_upgrade_record_*",
  "version" : 60001,
  "settings" : {
    "index": {
      "number_of_shards": 1,
      "number_of_replicas": 1,
      "refresh_interval" : "5s"
    }
  },
  "mappings" : {
    "doc" : {
      "_source": {"enabled": true},
       "_all": {"enabled": false},
      "dynamic_templates" : [ {
        "message_field" : {
          "path_match" : "message",
          "match_mapping_type" : "string",
          "mapping" : {
            "type" : "text",
            "norms" : false
          }
        }
      }, {
        "string_fields" : {
          "match" : "*",
          "match_mapping_type" : "string",
          "mapping" : {
            "type" : "keyword"
          }
        }
      } ],
      "properties" : {
        "@timestamp": { "type": "date"},
        "@version": { "type": "keyword"},
        "geoip"  : {
          "dynamic": true,
          "properties" : {
            "ip": { "type": "ip" },
            "location" : { "type" : "geo_point" },
            "latitude" : { "type" : "half_float" },
            "longitude" : { "type" : "half_float" }
          }
        }
      }
    }
  },
  "aliases": {
    "release-upgrade-info": {}
  }
}

五、集群

根据上诉方法编写好logstash配置文件后,用n台logstash服务器运行即可。由于这个集群使用的是同一个groupid ,并不会出现logstash重复消费kafka集群的问题。

六、启动命令

cd /opt/logstash-6.5.4

bin/logstash -f config/fates/kafkaToES.conf

  • 利用nohup扔到后台运行
nohup  /opt/logstash-6.5.4/bin/logstash  -f   /opt/logstash-6.5.4/config/config/fates/kafkaToES.conf  >/dev/null &;

更多内容请关注微信公众号:
在这里插入图片描述

击歌吟
关注
专栏目录
logstash-kafka-elasticsearch
桃花惜春风
09-21 6094
本文介绍使用logstash-kafka-elasticsearch组合进行数据交互。首先用logstash进行数据采集,然后数据通过kafka进入elasticsearch文档版本: kafka_2.11-0.9.0.0 logstash-2.2.0 elasticsearch-2.2.0 下面介绍连接方法: 1. 创建配置文件code.conf input { ...
logstash接收kafka日志
虫虫的博客
04-07 2526
logstash接收kafka日志
ELK+Kafka+Filebeat日志分析系统详细!!!
最新发布
m0_64422440的博客
07-13 1128
ElasticSearch是一个基于Lucene的开源分布式搜索服务。只搜索和分析日志特点:分布式,配置简洁,自动发现,索引自动分片,索引副本机制,多数据源等。它提供了一个分布式多用户能力的全文搜索引擎。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。在elasticsearch集群中,所有节点的数据是均等的。安装软件主机名IP地址系统版本mes-1-zk。
logstashkafka采集数据
小诸葛的博客
05-17 2068
1、修改logstash.conf 1.1添加kafka输入 bootstrap_servers:kafka broker地址 topics:kafka topic名称 input{ kafka { bootstrap_servers => ["xxx.xxx.xxx.xxx:9092"] auto_offset_reset => "latest" consumer_threads => 3 de
利用logstash提取kafka消息
JingWeiZ
11-07 1429
需求背景 从某一个kafka集群A中消费一条消息,并将该消息的中的字段分别发送给另外一个kafka集群B。 举例 某一条消息A的样式为 {"a":58,"b":100.0,"c":7.58,"ip":"192.168.1.1"} 想要拿到这消息的时候,将数据提炼为三条消息,如 {"a":58,"ip":"192.168.1.1"} {"b":100.0,"ip":"192.168.1.1"} {...
使用logstashlogstash-input-kafka插件读取kafka中的数据
热门推荐
风雨诗轩的博客
11-28 4万+
logstash版本为5.5.3,kafka版本为2.11,此版本默认内置了kafka插件,可直接配置使用,不需要重新安装插件;注意logstash5.x版本前后配置不太一样,注意甄别,必要时可去elasticsearch官网查看最新版配置参数的变化,例如logstash5.x版本以前kafka插件配置的是zookeeper地址,5.x以后配置的是kafka实例地址。 input{
Filebeat + Logstash + Kafka + Elasticsearch 架构部署详细步骤
panbuhei
07-29 4572
文档是在生产环境中搭建日志(Java)收集系统后的整理文档,其中除了 elk 常规架构以外,还添加了 kafka 集群,可以起到解耦和缓冲(削峰)的作用。 还部署了 kafka 的 web 端监控 kafka-eagle 和 elasticsearch 的 web 端cerebro。 最后还增加了 Nginx 日志收集(测试)的相关配置文件。
Logstash消费kafka同步数据到Elasticsearch
Map的博客
05-08 5814
1. 同步数据到Elastic几种方式 目前要把kafka中的数据传输到elasticsearch大概有一下几种方法: 1) logstash 2)flume 3)spark streaming 4)kafka connect 5)开发程序消费kafka写入elasticsearch 本文介绍如何使用LogstashKafka中的数据写入到ElasticSearch,这里Kafkalogstashelasticsearch安装就详述了。 Logstash工作的流程由三部分组成: in
logstash写入到kafka和从kafka读取日志
weixin_33901926的博客
04-09 1万+
收集nginx日志放到kafka 修改nginx日志格式:[nginx日志格式修改](https://blog.51cto.com/9025736/2373483) input { file { type => "nginx-access" path => "/data/wwwlogs/access_nginx.log" start_position =&g...
centos7环境下通过logstashkafka取数据到es简单配置
HHNL_DDZQ的博客
08-30 1186
1.进入logstash安装目录下的目录:cd config 2.创建es.config文件(文件名称自定义) 3.es.config内容如下: input{       kafka{         bootstrap_servers =&gt; [""ip:port","ip:port","ip:port""](zookeeper或者kafka地址)         client_id ...
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 897
ELK 不是一款软件,而是 ElasticsearchLogstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
logstash 简单读kafka ,写es数据
weixin_34267123的博客
03-02 2084
2019独角兽企业重金招聘Python工程师标准>>> ...
大数据实战之Logstash采集->Kafka->ElasticSearch检索
Supernova的博客
06-22 1万+
1. Logstash概述   Logstash的官网地址为:https://www.elastic.co/cn/products/logstash,以下是官方对Logstash的描述。  Logstash是与Flume类似,也是一种数据采集工具,区别在于组件和特性两大方面。常用的数据采集工具有Sqoop、Flume、Logstash,计划将单独写一篇博文论述它们之间的区别,所以这里就不赘述,感兴...
安装Logstash并从设置了SASL的kafka读取数据
a492391142的博客
01-05 653
安装Logstash并设置从kafka读取数据
logstash7.9.2 读取kafka中的日志信息
螺蛳粉不加葱的微博
11-10 770
目录一、安装二、修改配置文件 一、安装 安装参考这里 搭建ELK7.9.2分布式日志采集系统 二、修改配置文件 input { # tcp { # mode => "server" # host => "0.0.0.0" # port => 5000 # codec => json{ # charset=>"UTF-8" # } # } kafka { bootstrap_servers => "192.16
kafka-logstash-elasticsearch
桃花惜春风
09-06 5761
本文介绍kafka数据进logstash,经过filter处理后,数据进elasticsearch文档版本: kafka_2.11-0.9.0.0 logstash-2.2.0 elasticsearch-2.2.0 与一些老版本连接方法有所不同,logstash-2.2.0中已经提供了连接kafkaelasticsearch的插件,无需再进行插件安装。 下面介绍连接
logstash-6.2.3从kafka读取日志输出到elasticsearch-6.2.3中
专注基础架构领域
06-16 1444
原文地址:https://my.oschina.net/ytqvip/blog/1795122 下载 $ wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gz 解压 $ tar -zxvf logstash-6.2.3.tar.gz 配置kafka读取数据输出到ela...
Logstash实战从kafka解析业务日志并保存到ElasticSearch
zhangxm_qz的博客
06-08 2194
准备kafkalogstash 、es 环境并启动服务,参考之前的文章这里不重复启动zookeeper: 启动kafka:假设日志格式如下,包括基本字段(时间、IP、级别等)和业务字段(字段1,字段2,字段3)。 消费消息并打印 配置文件如下,从kafka获取日志并直接打印: 启动logstash 向kakfa发送消息后,logstash接收并打印了消息。 消息输出到ES 启动ES 修改配置文件.output 增加 es输出如下: 插入kafka消息控制台有输出 es中也有了这条消息,postman查询
logstash连接kafka
10-11
要在Logstash中连接Kafka,你需要使用Kafka输入插件。该插件允许你从Kafka主题中读取消息并将其发送到Logstash进行处理。以下是一个简单的Logstash配置文件示例,用于连接到Kafka: ``` input { kafka { bootstrap_servers => "kafka_host:port" topics => ["your_topic"] group_id => "your_group_id" consumer_threads => 1 } } output { stdout { codec => rubydebug } # 其他输出插件配置... } ``` 在这个配置中,你需要将"bootstrap_servers"替换为你的Kafka服务器主机名和端口号。"topics"用于指定要从中读取消息的主题名称。"group_id"用于标识消费者组。你还可以根据需要配置其他参数。 当Logstash连接到Kafka后,它将从指定的主题中读取消息,并根据配置的输出插件将其发送到不同的目标(例如,标准输出、Elasticsearch等)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值