9.Logstash配置

最新推荐文章于 2023-09-04 23:32:21 发布
最新推荐文章于 2023-09-04 23:32:21 发布
阅读量856 收藏
点赞数
分类专栏: Elasticsearch 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48402362/article/details/118106141
版权

主要配置logstash-sample.conf配置文件

#文件 logstash-sample.conf

#input 监听filebeat端口5044
input {
	beats {
		port => 5044
	}
}

filter {
	#grok正则转换【注:(%{GREEDYDATA:kylinRequest}) 匹配剩余所有数据,使用\转译符号】
	grok {
		#匹配满足要求的massage,可以配置对各match,即可以匹配多个日志,注意配置不能相互干扰
		match => {"message" => ""} #根据日志,配置grok正则转换,到""中
	}
	#对数据中存在json的字段进行单独处理,例举:【若json中存在\转译符,会出现单个数据不全的情况】
	#去除\n和空值
	mutate {
		strip = ["json"]
	}
	#转为json并赋值给target
	json {
		source => "json"
		target => "kylinRequest"
	}
	
	#删除不需要的数据,以逗号分割
	mutate {
		remove_field => ["message","json"]
	}
	
	# @timestamp与我们时区差8小时,配置
	ruby {
		code => "event.set('timestamp',event.get('@timestamp').time.localtime + 8*60*60)"
	}
	ruby {
		code => "event.set('@timestamp',event.get('timestamp'))"
	}
	mutate {
		remove_field => ["timestamp"]
	}
}

output {
	#输出至控制台[生产环境要注释]
	stdout {
		codec => rubydebug
	}
	#输出至elasticsearch
	elasticsearch {
		hosts => ["192.168.88.111:9200","192.168.88.112:9200","192.168.88.113:9200"]
	}
	#配置index,每天跟随时间新建index
	indexn => "wyw_%{+YYYYMMdd}"
	#配置document
	document_type => "kylin"
	#若配置登录认证,需要配置es的登录账号和密码,例举
	user => "elastic"
	password => "123456"
}

如果是多地址,多index输出

#在Logstash配置中使用判断
filter {
  if [filetype] == "log_kylin"{
    grok {
      match => {"message" => ""}
    }
  } else if [filetype] == "log_AAA"{
  
  }
}
output {
  if [filetype] == "log_kylin"{
    grok {
      match => {"message" => ""}
    }
  } else if [filetype] == "log_AAA"{
  
  }
}

启动logstash

#正常启动
bin/logstash -f logstash-sample.conf --config.reload.automatic
#配置地址启动
bin/logstash -f logstash-sample.conf --path.data=/home/es1/logstash-6.5.4/test --config.reload.automatic
#后台启动,不生成日志
nohup bin/logstash -f logstash-sample.conf --path.data=/home/es1/logstash-6.5.4/test --config.reload.automatic >dev/null 2>&1 &

样例配置

input {
  beats {
    port => 5044
  }
}

filter {
  # grok正则转换 【注:(%{GREEDYDATA:json1}|-) 匹配所有数据】
  grok {
    match => {"message" => "%{TIMESTAMP_ISO8601:time} %{LOGLEVEL:loglevel} %{NUMBER:number} --- \[%{USERNAME:XNIO} %{USERNAME:task}\] %{USERNAME:KylinService}\s*\: %{USERNAME:-}\: %{NUMBER:logId}\, %{DATA:-}\: %{USERNAME:serviceId|-}\, %{DATA:-}\: \{%{GREEDYDATA:kylinRequest|-}\}"
    }
	
	# 删除不需要的字段
	#remove_field => ["message","unwanted","fields","tags","input","host","beat"]	

  }
  # 去除\n 和空值[字符串可能存在空值、\n等特殊字符]
#  mutate {
#    strip => ["json1"]
#  }
  # 转为json 并赋值给target
#  json {
#    source => "json1"
#	target => "kylinRequest"
#  }
  # 添加json字段
  
  
  # 删除处理前的数据
#  mutate {
#    remove_field => ["json1"]
#  }
  
  
  
# @timestamp与我们时区差8个小时,下面添加配置处理
  ruby{
    code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" 
  }
  ruby{
    code => "event.set('@timestamp',event.get('timestamp'))" 
  }
  mutate {
    remove_field => ["timestamp"]
  }
}

output {
  stdout {codec => rubydebug}
  elasticsearch {
    hosts=> ["192.168.88.111:9200","192.168.88.112:9200","192.168.88.113:9200"]
	#index => "english"
	user => "elastic" # 注意:这里演示使用超级账号,安全起见最好是使用自定义的账号,并授予该用户创建索引的权限,具体看下方地址
    password => "1234567" # 密码是上面步骤设置的
  }
}

logstash 设置字段类型

logstash可以设置字段类型为 integer,string,float,boolean

filter{
  mutate{
    convert => ["handleTime","integer"] 
  }
}

自己不创建模板,es会自动给我们创建模板,这里es自动创建的模板为keyword,我们可以使用上面的在logstash中修改字段类型

  • 查看模板命令
10.181.116.83:7920/restful_20210517/_mapping?pretty
王双颖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
demo.logstash.net:demo.logstash.net计算机的配置管理
05-01
demo.logstash.net的配置管理开始吧注意:目前假设使用Ubuntu 12.04,可能无法在其他地方使用。 apt-get -y install git && git clone https://github.com/jordansissel/demo.logstash.net.git运行“ run.sh”以使...
logstash配置文件.rar
12-18
logstash6.2.2多管道输出es聚合配置案例,共3个管道,文章,论坛,产品管道。其中:文章和论坛是简单配置,产品使用聚合配置,用ruby语法写了聚合逻辑。
ELK框架Logstash配合Filebeats和kafka使用
最新发布
qq_23858785的博客
09-04 783
ELK框架Logstash配合Filebeats和kafka使用
Logstash配置
技术成就人生
02-09 308
修改配置文件 logstash-sample.conf : # input{ } ,elasticsearch{ }不需要修改 output{ }需要添加自己配置的服务 input { redis { data_type =>"list" key =>"default_list" host =>"10.253.100.121" port => 637...
logstash-启动
大帅的博客
08-26 3万+
logstash依赖于JDK,所以需要先安装JAVA_HOME环境变量 安装路径需要注意,不能含有冒号(:)
logStash读取文件发送至es指定索引
qq_35515283的博客
07-19 3718
logStash读取文件发送至es指定索引
Logstash系列之--基础知识
m0_37911384的博客
03-26 1234
Logstash系列之--基础知识: 区段 Logstash 用 {} 来定义区域,区域内可以包括插件区域定义,你可以在一个区域内定义多个插件 input { stdin {} udp { port=>514 } } 数据类型 Logstash 支持少量的数据值类型: bool debug => true str...
logstash-命令
大帅的博客
08-26 2001
启动命令:logstash -f …/config/logstash-sample.conf 因此启动测试配置试一下:logstash -f …/config/logstash-sample.conf --config.test_and_exit 该–config.reload.automatic选项启用自动配置重新加载,因此您不必在每次修改配置文件时停止并重新启动Logstash。 logsta...
logstash配置文件
05-25
logstach的exe.conf配置文件............................................................................................................
LogStash整合MySQL配置文件 jdbc.conf
06-25
LogStash整合MySQL配置文件
logstash.conf
10-12
logstash简单配置,根据端口接收日志,根据ip分析物理地址,根据user-agent分析浏览器类型及系统类型等,输出日志到ES、文件和控制台。
logstash配置文件
07-27
logstash配置文件
logstash 动态模板 没有生效
JustPlay1994的专栏
11-25 1689
如果用的7.x版本的,大概率是没有配置 document_type output { if [type]=="tb_tool"{ elasticsearch { # 如果不配置type,动态模板会创建失败 document_type => "_doc" hosts => ["10.0.14.40:31815"] # 索引名称 index => "tb_tool"
LogstashLogstash 入门教程 (二)
Elastic 中国社区官方博客
05-08 3万+
这是之前系列文章“LogstashLogstash 入门教程 (一)”的续集。在之前的文章中,我们详细地介绍了Logstash是什么?在今天的文章中,我们将详细介绍如果使用Logstash,并把 Apache Web log导入到 Elasticsearch中。在这篇文章中,我们将触及到如下的过滤器: Grok Geoip Useragent Date Mutate 安装 Elastic.........
filebeat同时采集多个日志时,logstash和filebeat的文件配置
hjxloveqsx的博客
09-15 2174
filebeat同时采集多个日志时,logstash和filebeat的文件配置
Logstash配置详解
u012017645的专栏
10-17 1万+
Logstash配置详解
LogStash安装
Fisher3652的博客
03-13 1万+
目录1. 下载安装报2. 上传到服务器3. 启动 Logstash4. 连接 Elasticsearch 1. 下载安装报 这里选择7.14.0版本,下载地址 2. 上传到服务器 解压 tar -zxvf logstash-7.14.0-linux-x86_64.tar.gz 3. 启动 Logstash Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 logstash 不行, 需要按如下方式提供参数: ./logstash -e "input {stdin {
配置文件 | logstash配置文件详解
人生无处不修行
09-28 2万+
说明 /logstash/config/logstash.yml:主要用于控制logstash运行时的状态 /logstash/config/startup.options:logstash 运行相关环境变量 配置参数说明 logstash.yml 参数 用途 默认值 node.name 节点名称 主机名称 path.data /数据存储路径 LOGSTASH_HOME/da...
Logstash简单介绍
热门推荐
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
[ERROR][org.logstash.Logstash ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit [ERROR][org.logstash.Logstash ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit [ERROR][org.lo[ERROR][org.logstash.Logstash ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit gstash.Logstash ] java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit
07-08
这个错误是由Logstash引起的,它意味着Logstash在处理过程中遇到了一个错误并停止了运行。具体的错误信息是(java.lang.IllegalStateException: Logstash stopped processing because of an error: (SystemExit) exit)。这个错误可能由多种原因引起,比如配置文件错误、输入插件或输出插件的问题等。你可以查看Logstash的日志文件或控制台输出来获取更详细的错误信息,并尝试解决它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值