logstash对埋点日志进行整理并传输到ES---以及在linux下安装

最新推荐文章于 2023-10-22 16:54:43 发布
最新推荐文章于 2023-10-22 16:54:43 发布
阅读量1.3k 收藏
点赞数 1
文章标签: java 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35050438/article/details/106340303
版权

Logstash埋点日志整理:

上一篇文章,我们将埋点日志自动生成,后来我把代码稍作修改,将服务器和用户的日志进行分别输出到各自的文件中。
然后我们需要使用logstash将从各种地方得到的不同的文件格式进行整理建表,最后输送到ElasticSearch中进行存储。
PS:logstash一般与部署tomcat的服务器装在一起,ElasticSearch由于索引较大,需要专门装载一个服务器.
logstash处理数据的流程:一般是在本地获取抓取格式文件,然后过滤器进行整理数据格式,远程连接输出到ElasticSearch服务器上。

一:Logstash安装:

Logstash需要与ElasticSearch保持版本配合,之前的ElasticSearch用的是6.2.2版本,所以我们的Logstash也下载此版本6.2.2,以下是tar包链接,分享出来请自行下载。

第一步:
将安装包放在opt目录下,并将它解压

tar -zxvf logstash-6.2.2.tar.gz

第二步:
将解压后的文件的转到/opt/soft/logstash622目录下

mv logstash-6.2.2 /opt/soft/logstash622

第三步:
走到logstash622/bin目录下,输入基本命令开启logstash

# 标准控制台输入和输出 , -e使用给定的字符串
./logstash -e 'input { stdin {} } output { stdout {codec => rubydebug}}'

二:处理埋点日志信息数据格式

第一步:
将idea的java程序打成胖包,传给linux,在Linux执行命令运行jar包,生成100300条数据

java -jar +(输入对应的jar包)

我们需要将命令封装,写到配置文件里,然后我们运行对应的配置文件mylog.conf即可,将命令写进去。

 ./logstash -f /opt/config/mylog.conf

./logstash -e ‘input { stdin {} } output { stdout {codec => rubydebug}}’// 使用给定的字符串

# 将其写在配置文件config里
input {
        file {
                path => "/opt/aa.txt"
                start_position => "beginning" # 从文件开始读
                sincedb_path => "/dev/null"  # 不管对文件修不修改,每次读取此文件时,都会读取一遍,不加的话只有文件修改过后才会被全量读取。
        }
}
output {
        stdout {
                codec => rubydebug # 输入时用code代码的新格式
        }
}
1.JSON字符串过滤:

对收到的服务器日志的本身是json,但是存在嵌套json,我们将其做成二维表需要将json扁平化

- mutate过滤器:
  - 能够帮助你修改指定字段的内容。
# 将嵌套JSON扁平化
input {
        file {
                path => "/opt/aa.txt"
                start_position => "beginning"
                sincedb_path => "/dev/null" 
                codec => json
        }
}
filter {
        mutate {
                add_field => { '@adv' => '%{cm}' } # 先新建一个新的字段,并将friends赋值给它
        }
        json {
                source => "@adv" # 对字段再进行json格式解析
                remove_field => [ "@adv" , "cm" ] # 删除不必要的字段,也可以不用这语句
        }
}
output {
        stdout {
                codec => rubydebug
        }
}

输入命令运行:

 ./logstash -f /opt/config/mylog.conf

PS-1: add_field 新建表名

PS-2: source 再次对其解析成json


PS-3: remove_field 对多余的cm和@adv字段进行删除

2.正则匹配过滤:

收到的服务器的日志信息是用 | 分割的字符串。

  • grok语法
    • 正则匹配:
(?<字段名>正则表达式)

在这里插入图片描述

# IP和NUMBER是预先定好的正则表达式 
# | 是指分割以|为符号的字符串
%{IP:字段名}\|%{NUMBER:字段名}

输入命令运行:

 ./logstash -f /opt/config/mylog.conf

3.多文件和多过滤:

将服务器和用户的日志一次性全部处理:

需要加入多个file并对其进行type打标签和if逻辑判断完成多过滤

input {
        file {
                path => "/opt/bb.txt"
                start_position => "beginning"
                sincedb_path => "/dev/null"
                type => "action"
                codec => json
        }
        file {
                path => "/opt/aa.txt"
                start_position => "beginning"
                sincedb_path => "/dev/null"
                type => "system"
        }
}
filter {
        if [type] == "system" {
                grok {
                        match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }
                remove_field => [ "message" ]
                }
        } else {
                mutate {
                        add_field => { "nice" => "%{cm}" }
                }
                json {
                        source => "nice"
                        remove_field => [ "nice" , "cm" ]
                }
        }
}
output {
        stdout {
                codec => rubydebug
        }
}

输入命令运行:

 ./logstash -f /opt/config/mylog.conf

分割后的效果
在这里插入图片描述
4.输出到Elasticsearch

input {
        file {
                path => "/opt/bb.txt"
                start_position => "beginning"
                sincedb_path => "/dev/null"
                type => "action"
                codec => json
        }
        file {
                path => "/opt/aa.txt"
                start_position => "beginning"
                sincedb_path => "/dev/null"
                type => "system"
        }
}
filter {
        if [type] == "system" {
                grok {
                        match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }
                remove_field => [ "message" ]
                }
        } else {
                mutate {
                        add_field => { "nice" => "%{cm}" }
                }
                json {
                        source => "nice"
                        remove_field => [ "nice" , "cm" ]
                }
        }
}
output {
        if [type] == "system" {
                elasticsearch {
                        hosts => "http://192.168.56.101:9200" #ip位置
                        index => "systems" # es的索引--库
                        document_type => "sys" # es的type--表
                }
        } else {
                elasticsearch {
                        hosts => "http://192.168.56.101:9200"
                        index => "customs"
                        document_type => "actions"
                }
        }
}

启动ElasticSearch和ElasticSearch-head查看效果:
在这里插入图片描述
ElasticSearch拿到了100300条数据
在这里插入图片描述

NICEDAYSS
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash实现日志文件同步到elasticsearch深入详解
weixin_43418664的博客
10-29 4055
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&a
利用logstash解析日志
ryan4good的博客
07-07 1279
简介 最近在做一个小项目,需要将一些不同格式的日志集中、展示,于是想到了用ELK。 环境的搭建比较简单,可参看Centos7搭建ELK 本文介绍一下将日志导入到es的一些操作。包含Syslog和file两种格式 1.Syslog 自己写了个模拟发送syslog的脚本 #!coding = utf-8 import logging import logging.handlers import random import struct...
filebeat(8.9.0)采集日志logstash,由logstash发送的es
最新发布
qq_41139119的博客
10-22 1136
filebeat(8.9.0)采集日志logstash,由logstash发送的es
day59-日志监控ELK1(elasticsearch+elasticsearch-head+logstash)
爪蛙毁一生的博客
08-21 986
任务背景 运维人员需要对系统和业务日志进行精准把控,便于分析系统和业务状态。日志分布在不同的服务器上,传统的使用传统的方法依次登录每台服务器查看日志,既繁琐又效率低下。所以我们需要**集中化的日志管理工具将位于不同服务器上的日志收集到一起, 然后进行分析,展示**。 前面我们学习过rsyslog,它就可以实现集中化的日志管理,可是rsyslog集中后的日志实现统计与检索又成了一个问题。使用wc, grep, awk等相关命令可以实现统计与检索,但如果要求更高的场景,这些命令也会力不从心。所以我们需要一套专业
22.ELK-部署logstash来取日志并转发给ES
JCWang的博客
07-20 1237
部署logstash来取日志并转发给ES 下载logstash安装包,存放到/opt/es-software目录 下载地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.6.0/ logstash量级比filebeat重,而且比较吃内存,所以日常收集日志的工作交给filebeat来处理 安装logstash rpm -ivh logstash-6.6.0.rpm 添加一个配置文件 cd /etc/logstash/c
logstash-oss 7.10.2 x86-64 linux 版本
07-27
文件名: logstash-oss-7.10.2-linux-x86_64.tar.gz 这是 Logstash Open Source Software (OSS) 7.10.2 的 Linux 版本,一个强大的服务器端数据处理管道,能够同时从多个来源采集数据,转换并将其发送到您喜欢的...
最新版linux logstash-8.8.0-linux-x86-64.tar.gz
05-29
最新版linux logstash-8.8.0-linux-x86_64.tar.gz最新版linux logstash-8.8.0-linux-x86_64.tar.gz最新版linux logstash-8.8.0-linux-x86_64.tar.gz
elasticsearch-6.2.2+kibana-6.2.2-windows+logstash-6.2.2.zip
06-11
Elasticsearch 6.2.2、Kibana 6.2.2 和 Logstash 6.2.2 是ELK(Elasticsearch、Logstash、Kibana)堆栈的关键组成部分,这是一个强大的日志管理和分析工具组合。在这个版本中,所有组件都保持了版本的一致性,确保了...
最新版linux logstash-7.17.0-linux-x86_64.tar.gz
02-07
这个最新版的 logstash-7.17.0-linux-x86_64.tar.gz 压缩包是为64位 Linux 系统设计的,包含了所有必要的文件和库,方便用户在Linux环境下部署和运行。 1. **Logstash 架构**:Logstash 分为输入(Inputs)、过滤...
最新版linux logstash-7.15.2-linux-x86_64.tar.gz
11-15
让我们深入探讨Logstash的功能、安装、配置以及其在日志管理中的重要性。 **1. Logstash简介** Logstash 是 Elastic Stack 的一部分,与 Elasticsearch、Kibana 和 Beats 一起,构建了一个完整的端到端的数据管理和...
Logstash 导入数据到 ES
weixin_49818933的博客
07-01 2824
安装后的日志文件目录 /var/log/logstash-stdout.log /var/log/logstash-stderr.log 导入的设置文件路径 /etc/logstash/conf.d ORACLE转ES 使用 logstash-input-jdbc 插件读取 oracle 的数据,这个插件的工作原理比较简单,就是定时执行一个 sql,然后将 sql 执行的结果写入到流中,增量获取的方式没有通过 binlog 方式同步,而是用一个递增字段作为条件去查询,每次都记录当
logstash输出到es模式action实践
white_while的博客
10-19 1847
elk-logstash同步数据到es
logstash同步数据库数据到es中
weixin_43123066的博客
02-18 955
input{ jdbc { # 数据库的驱动包 各个数据库都有对应的驱动 需自己下载 jdbc_driver_library => "E:\apache-maven-3.8.2-bin\apache-maven-3.8.2\repo\org\postgresql\postgresql\42.2.18\postgresql-42.2.18.jar" # jdbc class 不同数据库有不同的 class 配置 jdbc_driver_class => "org
使用Logstash同步MySQL数据到ES
我还可以
07-10 330
在生产业务常有将 MySQL 数据同步到 ES 的需求,如果需要很高的定制化,往往需要开发同步程序用于处理数据。但没有特殊业务需求,官方提供的Logstash 就很有优势了;在使用 Logstash 我们应先了解其特性,再决定是否使用: 多表同步配置 多表配置和单表配置的区别在于input模块的jdbc模块有几个type,output模块就需对应有几个type; 启动运行 在【程序目录】目录执行以下命令启动: 可新建脚本配置好启动命令,后期直接运行即可; 在【程序目录】\logs目录会有运行日
记一次logstash集成日志到es上
巴休特的风之剑
07-10 312
一:启动一个es 二:有一个日志文件 三:下载logstash 四:在logstash/config里新建文件 一个 .conf文件 五:内容 # 输入 input { # 日志文件 file { # 日志地址 path => "/work/logs/project.logs" # 自定义类型 type => "logs" # 读取位置 start_position =&.
查看logstash 导入数据到es中,数据导入的数量
sxf_123456的博客
12-25 4272
查看logstash 导入数据到es中,数据导入的数量 stat /home/raw_data/8_31/* #查看文件状态, 查看logstash处理文件进度记录 input { file { path => [ "/home/raw_data/8_31/*.csv" ] start_position => "beginning" # 从什么位置读取 since
Logstash安装及简单使用(同步MySql数据到ES)
一个千万开发人员中的程序员
07-12 2928
一、安装java环境 略二、下载logstash地址:https://www.elastic.co/products/logstash三、新增/修改配置文件下载下来后,解压在安装目录下,创建新的配置文件,命名为:mysqltoes.conf这个文件名可以换成其他的,启动时脚本命令改成对应的就可以了。在文件中加入以下内容:input { stdin { } jdbc { j...
第二章 logstash - 输出插件之redis与es
weixin_33805743的博客
09-19 319
最常用的两个输出插件: redis es 一、redis 1、用法 1 output { 2 redis{ 3 batch =&gt; false 4 batch_events =&gt; 50 5 batch_timeout =&gt; 5 6 codec =&gt; plain ...
elk定时清理日志
weixin_33856370的博客
04-16 2021
#!/bin/bash shijian=`date +%Y.%m.%d -d "5 days ago"` #echo $shijian curl -XDELETE "10.88.88.93:9200/ph130iis-zdphlog-${shijian}" 转载于:https://www.cnblogs.com/liqing1009/p/8858025.html
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
- **Logstash**:Logstash的强大在于它的数据处理能力,它可以解析多种格式的日志,应用过滤器进行数据转换,并将处理后的数据发送到Elasticsearch。 - **Elasticsearch**:作为分布式搜索引擎,Elasticsearch能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值