ElasticSearch进阶(七)Logstash数据转换工具的使用

最新推荐文章于 2023-11-30 23:54:57 发布
最新推荐文章于 2023-11-30 23:54:57 发布
阅读量787 收藏 1
点赞数
分类专栏: ElasticSearch 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21046965/article/details/102783868
版权

前言

      本章讲解Logstash数据转换工具的基本使用

方法

1.概念

通过准备篇的学习,我们知道Logstash基于Java,是一个开源的用于收集分析和存储日志的工具,它最重要的功能就是将我们收集的日志做转换,以便于我们更好的进行解析!

首先我们来看一下Logstash,下面的图片来自于官网:https://www.elastic.co/cn/products/logstash

注意:本次示例将采集nginx的日志作为演示,请确保已经安装好nginx

2.Logstash的安装和配置测试

我们可以在官网下载指定版本的Logstash:https://www.elastic.co/cn/downloads/logstash

本次我们下载的是7.4.0的window版本:

首先我们进入到config路径下,由于我的电脑内存限制,修改jvm.options指定数据如下:

## JVM configuration

# Xms represents the initial size of total heap space
# Xmx represents the maximum size of total heap space

-Xms256m
-Xmx256m

然后将logstash-sample.conf配置文件拷贝一份放入到bin路径下,重命名为logstash-file.conf,暂时将文件放在这,稍后修改!

我们在bin路径下运行如下命令:logstash.bat -e "input { stdin { } } output { stdout {} }"

我相信大家知道这是什么意思,标准化的输入加标准化输出

我们在控制台输入hello world,效果如下所示:

这说明,我们的logstash已经配置成功啦!

3.使用logstash将filebeat读取nginx日志输出到elasticsearch

1)配置我们的filebeat配置文件

#=========================== Filebeat inputs =============================

filebeat.inputs:

- type: log
  enabled: true
  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - F:\nginx-1.17.5\logs\*.log

#==================== Elasticsearch template setting ==========================

setup.template.settings:
  index.number_of_shards: 1

#================================ Outputs =====================================

# Configure what output to use when sending the data collected by the beat.
#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

使用命令启动filebeat:filebeat.exe -e -c filebeat-nginx.yml -d "publish"

2)配置logstash的配置文件

找到我们之前拷贝到bin路径下的配置文件logstash-file.conf,将其修改内容如下:

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

output {
   elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "filebeat-test"
  }
}

使用命令启动logstash:logstash.bat -f logstash-file.conf --config.reload.automatic

3)启动es,观察es数据

我们发现,传输进入ES已经成功了,只不过我们的日志数据没有合理的解析,全部都包含在了message属性中,这对我们今后的解析是十分不利的,所以我们需要用到logstash的filter。

要想学习filter,首先就需要知道logstash的工作原理,一张图诠释了它的运行流程:

我们发现,它包含三个主要结构:INPUTS、FILTERS、OUTPUTS。

  • INPUTS:输入数据到logstash。
  • FILTERS:数据中间处理,对数据进行操作。
  • OUTPUTS:outputs是logstash处理管道的最末端组件。

其中,最难学的就是FILTERS的编写啦!

4)编写基本的FILTERS,转换message属性中的日志信息

本次示例使用的正则表达式来自于:https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/httpd

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}"}
    }
}

output {
   elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "filebeat-test"
  }
}

本次无需重新启动logstash,因为我们配置了--config.reload.automatic

重新刷新几次nginx页面,观察后序的输出效果:

我们发现,logstash为我们新增了一些有用的属性将message的内容分解开来,有助于日后的分析与汇总。

更多过滤器的编写方法请参考官网:https://www.elastic.co/guide/en/logstash/current/index.html

程序猴jwang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash笔记(三)——数据转换插件
紫眸的博客
05-24 2606
1. 核心操作 如修改和删除事件。 1.1. date filter 解析字段中的日期,以用作事件的Logstash时间戳。 下面的配置解析一个名为logdate的字段来设置Logstash时间戳: filter { date { match => [ "logdate", "MMM dd yyyy HH:mm:ss" ] } } 1.2. drop filter 删除事件...
logstash转换数据类型
QYHuiiQ
06-02 6385
logstash中可以指定数据类型,否则到了elasticsearch就会变成text,在这里我要把second转为int类型的,解决办法就是在grok插件中在该字段映射后面加上冒号和数据类型。修改如下: ...
Logstash使用指南
技术人集结地
11-30 2509
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集中、转换和存储数据Logstash的典型用法。输入:采集各种样式、大小和来源的数据
Logstash:如何把 Elasticsearch 中的数据导出为 CSV 格式的文件
Elastic 中国社区官方博客
12-19 4872
本教程向您展示如何将数据Elasticsearch导出到CSV文件。 想象一下,您想要在Excel中打开一些Elasticsearch中的数据,并根据这些数据创建数据透视表。 这只是一个用例,其中将数据Elasticsearch导出到CSV文件将很有用。 方法一 其实这种方法最简单了。我们可以直接使用Kibana中提供的功能实现这个需求。 我们首先来准备数据: 再接着选择...
logstash中Ruby代码把@timestamp时间戳格式转换
Zhang Phil
06-21 1779
logstash中ruby代码设置时间戳格式 xxx_time即为在配置里面自定义的时间字段。上面代码将logstash自动生成的时间戳@timestamp转换为 2022-01-01 00:00:59,这样的形式,最终存到xxx_time里面。
Logstash filter常用插件详解;
qq_44930876的博客
01-16 1278
Logstash filter常用插件详解;
用于SqlServer 同步数据ElasticSearchlogstash测试
05-14
标题 "用于SqlServer 同步数据ElasticSearchlogstash测试" 描述了一种通过Logstash将SQL Server数据库中的数据实时或定期同步到ElasticSearch的解决方案。在.NET平台上,这种数据同步通常是为了实现大数据分析、...
elasticsearch logstash同步数据 视频教程
最新发布
06-23
ELK elasticsearch logstash 同步数据 视频教程
ElasticSearch + Logstash 自动同步mysql数据
01-04
Logstash作为数据收集和处理的工具,能够从各种数据源中收集数据行过滤、转换,并将其发送到目标存储,如Elasticsearch。本篇文章将详细介绍如何利用Logstash自动同步MySQL数据库中的数据Elasticsearch。 *...
elasticsearch或kafka的数据抽取工具logstash-5.6.1
12-02
Logstash 是一个强大的数据处理管道,它允许用户从各种数据源采集数据转换数据,并将其发送到各种目标,如 Elasticsearch 或 Kafka。在标题和描述中提到的 "elasticsearch或kafka的数据抽取工具logstash-5.6.1...
基于logstash实现日志文件同步elasticsearch
01-19
本文就logstash同步日志到ES做下详细解读。 1、目的: 将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:...
logstash采集与清洗数据elasticsearch案例实战
糯米鸡的博客
10-28 9423
logstash使用 logstash支持把配置写入文件 xxx.conf,然后通过读取配置文件来采集数据 ./bin/logstash –f xxx.conf   logstash最终会把数据封装成json类型,默认会添加@timestamp时间字段、host主机字段、type字段。原消息数据会整个封装message字段。如果数据处理过程中,用户解析添加了多个字段,则最终结果又会多
[logstash]往es里面导数据时候的日期格式问题和mysql同步的关键步骤
ToBeAMensch
02-13 1457
随手一笔,遇到一个奇葩数据库,日期格式丰富多变,以下记录一种简单的解决方式,格式上可以作为日后的启发。 #注意两个date filter plugin即可 filter { date { match => ["pzrq","yyyy-MM-dd","yyyy/MM/dd","yyyy.MM.dd","yyyy-M-d","yyyy/M/d","yyyy.M.d"] target => "pzrq" } date { match => ["
logstash数据库获取数据到将数据导入到es步骤
sxf_123456的博客
08-03 3694
1、logstash配置文件存放路径 /data/app/etc/logstash/conf.d/ 2、sql脚本存放路径 /data/tmp/etl/scripts 3、获取数据的oracle命令 /data/tmp/etl/bin 4、oracle命令执行生成日志存放路径 /data/tmp/etl/log 5、执行logstash生成日志存放路径 /data/app/var
ELK应用之Logstash 数据转换
Kason_iWiki
01-16 1866
1. Logstash Logstash 是开源的数据处理管道,能够同时出来从多个源采集数据转换数据,然后输出数据 2. Logstash架构介绍 Logstash 的基础架构类型pipeline流水线 input: 数据采集(常用插件:stdin,file,kafka,beat,http) Fileter:数据解析/转换(常用插件:grok,date,geoip,mutate,userag...
如何为logstash+elasticsearch配置索引模板?
三劫散仙
04-12 2649
[size=medium] 在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群中,但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了: 举个例子,假如有10台需要的监控的机器,他们的机器名...
分片设置 es number_of_shards和number_of_replicas
mezheng的专栏
04-15 8910
1、分片是什么? 一个索引可以存储超出单个节点硬件限制的大量数据。比如,一个具有10亿文档的索引占据1TB的磁盘空间,而任一节点都没有这样大的磁盘空间;或者单个节点处理搜索请求,响应太慢。 为了解决这个问题,Elasticsearch提供了将索引划分成多份的能力,每一份就是一个分片。当你创建一个索引的时候,你可以指定你想要的分片的数量。 每个分片本身也是一个功能完善并且独立的"索引",这个"索引"可以被放置到集群中的任何节点上。 2、分片为什么重要? 分片之所以重要,主要有两方面的原因: (1)
Logstash:Data 转换,分析,提取,丰富及核心操作
Elastic 中国社区官方博客
09-15 8623
在今天的这篇文章中,着重介绍Logstash数据转换,分析,提取及核心操作方便的内容。首先,希望大家已经按照我之前的文章 “如何安装Elastic栈中的Logstash”把Logstash安装好。 Logstash数据源 我们知道Logstash可以在很多的应用场景中使用。它有各种各样的数据源,比如: 这些数据丰富多彩。为了能够让这些数据最终能入到Elastic...
Elasticsearch学习之Logstash
Micky_Yang的博客
12-14 595
一、Logstash介绍   ELK stack任务栈中还有另外两个很关键的组件Logstash和Kibana;Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态的将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。Logstash支持多种数据的获取机制,通过TCP/UDP协议、文件、syslog、windows EventLogs及STDID等;获取...
logstash 同步数据elasticsearch
07-27
要将数据Logstash同步到Elasticsearch,您可以使用Logstashelasticsearch输出插件。以下是一些步骤来配置LogstashElasticsearch之间的数据同步: 1. 首先,确保您已经安装了LogstashElasticsearch,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值