搭建ELK(ElasticSearch+Logstash+Kibana)日志分析系统(四) logstash codec和filter 配置

最新推荐文章于 2024-08-04 22:24:44 发布
最新推荐文章于 2024-08-04 22:24:44 发布
阅读量4.8k 收藏 9
点赞数 1
文章标签: filter redis codec 插件 Logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24879495/article/details/77963940
版权

这一节来介绍codec插件和filter插件,然后关于logstash的常见配置就介绍完毕了。下一节介绍通过redis扩展logsatsh。


1、logsatsh codec (编码插件)插件

Codec 来自 Coder/decoder 两个单词的首字母缩写,Logstash 不只是一个input | filter | output 的数据流,
而是一个input | decode | filter | encode | output 的数据流,codec 就是用来 decode、encode 事件的。
简单说,就是在logstash读入的时候,通过codec编码解析日志为相应格式,从logstash输出的时候,通过codec解码成相应格式。
rubydebug 就是一种 codec!虽然它一般只会用在 stdout 插件中,作为配置测试或者调试的工具。下面介绍几种常见的格式。
1)JSON 格式

如果事件数据是JSON格式,就可以通过 codec=>json 来解析输入的日志,配置示例:

  1. input {  
  2.     file {  
  3.         path => "/home/husen/test.log"  
  4.         codec => "json" ## 以JSON格式读取日志  
  5.     }  
  6. }  
2)Multiline 格式

有些日志事件在打印的时候,可能会有多行,比如java 错误日志。而logstash默认是一行一行读取的,这个时候就要用到 multiline格式了。Multiline通过正则来匹配多行日志,常见是只匹配开头的符号 。比如

<2017-08-31 10:26:56,699> hello world

<2017-08-31 10:26:56,699> hello world

这两行日志都是以 < 开头的,那么久用正则匹配 \<就可以了。配置示例如下:

  1. intput{  
  2.     file {  
  3.     path =>[  
  4.         "/home/husen/log.log"  
  5.     ]  
  6.       
  7.     type => "portal"  
  8.     start_position => "beginning"  
  9.     sincedb_path => "/dev/null" #从头读  
  10.     codec => multiline {  
  11.     pattern => "^\<"  ##匹配每行的开头  
  12.     negate => true    ## 是否开启正则匹配  
  13.     what => "previous" ##未匹配的内容向前合并 如果为next,则向后合并  
  14.     }  
  15. }  


2)plain 格式

主要用于事件之间没有分隔的纯文本,可自定义格式,匹配实例:

  1. output {  
  2.     stdout {  
  3.        codec => plain {  
  4.             format => "%{@timestamp} %{message} %{type}" ## format可不写,不写为空,写了就定义格式  
  5.         }  
  6.     }  
  7. }  


2、logstash filter (过滤器)插件

过滤器扩展了进入过滤器的原始数据,可以进行复杂的逻辑处理,如匹配正则、增删改字段等,这里介绍常见的几个

1)date - 时间过滤器
可以用来转换时间的格式,并应用到@timestamp 字段上,配置示例
  1. filter {  
  2.     grok {  
  3.         match => ["message""%{HTTPDATE:logdate}"##匹配日志中的时间  
  4.     }  
  5.   
  6.     date {  
  7.     match => [ "logdate""yyyy-MM-dd HH:mm:ss,SSS" ] ##转换格式  
  8.     locale => "cn" ##确定本地时区  
  9.     target => "@timestamp" ##重写到@timestamp字段  
  10.     }  
  11. }  
2)grok - 正则过滤器

Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,然后匹配日志中的内容,并以JSON格式展现。

配置示例:

  1. filter {  
  2.     grok {  
  3.         match => [ ## 可以定义多个正则  
  4.             "message""%{IP:logIp} .* %{USERNAME:username}",   ## 匹配具有ip地址和用户名的日志  
  5.             "message""%{MAC:logMac}"  ##匹配具有mac地址的日志  
  6.         ]  
  7.     }  
  8. }  

3)geoip - IP 过滤器

GeoIP 是最常见的免费 IP 地址归类查询库。GeoIP 库可以根据 IP 地址提供对应的地域信息,包括国别,省市,经纬度等,

对于可视化地图和区域统计非常有用。配置示例:

  1. filter {  
  2.     geoip {  
  3.         source => "message" #匹配message  
  4.     }  
  5. }  
  6.   
  7. ## 结果  
  8.  "message" => "183.60.92.253",  
  9.       "@version" => "1",  
  10.     "@timestamp" => "2014-08-07T10:32:55.610Z",  
  11.           "host" => "raochenlindeMacBook-Air.local",  
  12.          "geoip" => {  
  13.                       "ip" => "183.60.92.253",  
  14.            "country_code2" => "CN",  
  15.            "country_code3" => "CHN",  
  16.             "country_name" => "China",  
  17.           "continent_code" => "AS",  
  18.              "region_name" => "30",  
  19.                "city_name" => "Guangzhou",  
  20.                 "latitude" => 23.11670000000001,  
  21.                "longitude" => 113.25,  
  22.                 "timezone" => "Asia/Chongqing",  
  23.         "real_region_name" => "Guangdong",  
  24.                 "location" => [  
  25.             [0] 113.25,  
  26.             [1] 23.11670000000001  
  27.         ]  
  28.     }  
  29. }  

4)json - JSON过滤器

直接解析日志中的具有JSON格式的数据,配置示例

  1. filter {  
  2.     json {  
  3.         source => "message" ##数据来源  
  4.         target => "json_result" ##匹配后的命名 如果不打算使用多层结构的话,删掉 target 配置即可  
  5.     }  
  6. }  
  7.   
  8. ##输出结果  
  9. {  
  10.     "@version""1",  
  11.     "@timestamp""2017-09-13T08:11:33.000Z",  
  12.     "host""192.168.1.1",  
  13.     "message""{\"username\":husen,\"password\":\"123456\"}",  
  14.     "json_result": {  
  15.         "username": husen,  
  16.         "password""123456"  
  17.     }  
  18. }  


5)kv - KV过滤器
  1. kv {  
  2.        prefix => "url_"  
  3.        source => "url_args"  
  4.        field_split => "&"  
  5.        include_keys => [ "uid""cip" ]  
  6.        remove_field => [ "url_args""uri""request" ]  
  7.    }  
  8. # 上例即表示,除了 url_uid 和 url_cip 两个字段以外,其他的 url_* 都不保留。  

6)mutate -  数据修改过滤器

mutate提供了丰富的基础类型数据处理能力。包括类型转换,字符串处理和字段处理等。配置示例

a. 类型转换
  1. ## 类型转换 可以设置的转换类型包括:"integer","float" 和 "string"  
  2. filter {  
  3.     mutate {  
  4.         convert => ["request_time""float"]  
  5.     }  
  6. }


b. 字符串处理 - split 切割
  1. filter {  
  2.     mutate {  
  3.         split => ["message""|"]  
  4.     }  
  5. }  
  6.   
  7. ##随意输入一串以|分割的字符,比如 "123|321|adfd|dfjld*=123",可以看到如下输出:  
  8.   
  9. "message" => [  
  10.     [0] "123",  
  11.     [1] "321",  
  12.     [2] "adfd",  
  13.     [3] "dfjld*=123"  
  14. ]  

c. 字符串处理 - join 加入
  1. filter {  
  2.     mutate {  
  3.         split => ["message""|"]  
  4.     }  
  5.   
  6.     mutate {  
  7.         join => ["message"","]  
  8.     }  
  9. }  
  10.   
  11. ##我们在之前已经用 split 割切的基础再 join 回去  
  12.   
  13. "message" => "123,321,adfd,dfjld*=123",  
d.  字符串处理 - merge 合并
  1. filter {  
  2.     mutate {  
  3.         split => ["message""|"]  
  4.     }  
  5.   
  6.     mutate {  
  7.         merge => ["message""message"]  
  8.     }  
  9. }  
  10.   
  11. ##我们在之前已经用 split 割切的基础再合并,会复制一份  
  12.   
  13.  "message" => [  
  14.         [0] "123",  
  15.         [1] "321",  
  16.         [2] "adfd",  
  17.         [3] "dfjld*=123",  
  18.         [4] "123",  
  19.         [5] "321",  
  20.         [6] "adfd",  
  21.         [7] "dfjld*=123"  
  22.     ],  

e. 字符串处理 - strip 去掉空格
  1. mutate {  
  2.         strip => ["type"## 去掉字符串前后空格,如果有的话  
  3.     }  

f.  字段处理 

rename 重命名 
  update  更新某个字段的内容。如果字段不存在,不会新建
  replace 作用和 update 类似,但是当字段不存在的时候,它会起到 add_field 参数一样的效果,自动添加新的字段

  1. filter {  
  2.     mutate {  
  3.         rename => ["syslog_host""host"]  
  4.     }  
  5. }  

㏑.格调ル
关注
4.Logstash插件—输入插件&编码插件(Codec)
大勇若怯任卷舒
03-14 612
4.1 标准输入(Stdin) 配置示例 input { stdin { add_field => {"key" => "value"} codec => "plain" tags => ["add"] type => "std" } } 4.2 运行结果 运行命令:bin/logstash -f stdin.conf { "message" => "hello world", "@version"
ELKelasticsearch+logstash+kibana】企业级日志分析系统
shanjun12的博客
04-09 790
ELKelasticsearch+logstash+kibana】企业级日志分析系统
logstashcodec插件
weixin_33895475的博客
08-01 307
Logstash不只是一个input|filter|output的数据流,而是一个input|decode|filter|encode|output的数据流。codec就是用来decode,encode 事件的。所以codec常用在input和output中常用的codec插件有plain,json,multiline等plain插件:主要用于事件之间没有分隔的纯文本。使用...
Elasticsearch企业级搜索引擎+Logsatsh+Kibana图形界面(ELK)
最新发布
weixin_74866702的博客
08-04 458
Kibana是一个开源的分析和可视化平台,设计用于和一起工作。你用Kibana来搜索,查看,并和存储在Elasticsearch索引中的数据进行交互。你可以轻松地执行高级数据分析,并且以各种图标、表格和地图的形式可视化数据。Kibana使得理解大量数据变得很容易。它简单的、基于浏览器的界面使你能够快速创建和共享动态仪表板,实时显示Elasticsearch查询的变化。配置目录IKAnalyzer.cfg.xml:用来配置自定义词库。
logstash Codec
weixin_30569153的博客
08-23 111
Logstash 使用一个名叫FileWatch的Ruby Gem库来监听文件变化,这个库支持glob扩展文件路径, 而且会记录一个叫.sincedb的数据库文件来跟踪被监听日志文件的当前读取位置,所以,不要担心Logstash会漏掉你的数据。 使用Redis 或者其他的消息队列系统来作为Logstash Broker的角色 编解码 配置: Codec 来自Coder/deco...
ELK 学习笔记之 Logstashcodec配置
baguashenp74070的博客
09-23 201
LogstashcodecLogstash处理流程: input=》decode=》filter=》encode=》output 分类: Plain编码: input{ stdin{ codec => plain } } output{ stdout{} } j...
apache mina 学习(十)-----Codec Filter
Cages的专栏
03-19 193
首先明白为什么用ProtocolCodecFilter: 1、TCP保证了按顺序传输所有的数据包,但是不能保证发送端进行了一个写操作会导致接收端相应的进行一个读操作。 2、在mina中如果没有ProtocolCodecFilter,发送端的一个IoSession.write(Object message)操作会触发接收端的多个messageReceived(IoSessionsession, ...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
ELK日志分析系统ELasticsearch+Logstash+Kibana)——理论+实例
m0_47452405的博客
10-29 732
文章目录一、ELK日志分析系统简介二、 Elasticsearch介绍三、Logstash介绍Kibana介绍五、部署ELK日志分析系统5.1配置elasticsearch环境5.2安装logstash5.3在node2 节点安装kibana5.4对接Apache 一、ELK日志分析系统简介 日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,经常分析日志可以了解服务
ELK(elastic search+logstash+kibana)日志收集系统简单搭建(版本6.5.3)
小咪爸的博客
12-26 516
        现在基本上有一定规模负载的项目都会用分布式来部署项目,分布式带来的好处自然就是很直观的扩大了项目的负载能力,但是随之而来的弊端就是在运维部署以及维护时候的复杂度直线上升,一个典型的例子就是项目的日志收集变得困难重重,试想如果线上的一个业务出现了问题,得去每一台机器上的日志去挨个grep……    目前处理这种分布式日志的做法大约有三种: 机器数不是很多的话,不是不可以挨个去找错...
ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1621
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
logstash Codec插件
trigfj的博客
11-12 211
logstash Codec插件
logstashcodec监控nginx日志
传智燕青
11-24 369
Codec 来自 Coder/decoder 两个单词的首字母缩写,Logstash 不只是一个input | filter | output 的数据流, 而是一个input | decode | filter | encode | output 的数据流,codec 就是用来decode、encode 事件的。 简单说,就是在logstash读入的时候,通过codec编码解析日志为相应格式,从l...
Logstash codec配置
weixin_33862993的博客
01-11 1373
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstash codec相关插件
Blue summer的博客
05-02 857
1、关于codec 开始时Logstash是一个input | filter | output的数据流,只支持纯文本形式输入,然后再进入过滤器处理。但是logstash从1.3.0版开始引入Codec,因此logstash的就成了input | decode | filter | encode | output的数据流。通过codeclogstash就可以和其他自定义数据格式的运维产品集成,比如...
Logstash配置语法
weixin_45880055的博客
08-11 3979
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
LogStashCodeC插件实现多行合并
ccy19910925的博客
03-23 1418
Multiline codec plugineditPlugin version: v3.0.9Released on: 2018-01-17ChangelogGetting HelpeditFor questions about the plugin, open a topic in the Discuss forums. For bugs or feature requests, open a...
Logstash参数最全详解
热门推荐
weixin_42073629的博客
11-26 1万+
Logstash参数与配置 Logstash宏观的配置文件内容格式如下: # 输入 input { ... } # 过滤器 filter { ... } # 输出 output { ... } 配置文件参考 input { # 从文件读取日志信息 file { path => "/var/log/error.log" type => "error"//type是给结果增加一个type属性,值为"error"的条目 .
logstash(9)过滤器-date
祈雨v的博客
01-18 1179
描述 按指定的时间格式读取事件的指定字段值后,赋值给指定的字段(默认为@timestamp)。 filter { date { match =&gt; ["time", "yyyy-MM-dd HH:mm:ss"] } } 参数 参数 类型 是否必须 默认值 match array 否 [] target string 否 @timestamp...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值