Logstash日志分析的配置和使用

最新推荐文章于 2024-08-30 08:18:42 发布
最新推荐文章于 2024-08-30 08:18:42 发布
阅读量828 收藏 1
点赞数 1
分类专栏: logstash 文章标签: logstash elasticsearch 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36290794/article/details/78442630
版权

https://www.elastic.co/guide/en/logstash/current/index.html
首先下载logstash,上传到服务器

logstash 日志分析的配置和使用
logstash是一个数据分析软件,主要目的是分析log日志;整套软件可以当做一个mvc模型.logstash是controller层,Elasticsearch是一个model层,kabana是view层

首先将数据传给logstash,它将数据进行过滤和格式化[转成JSON格式],然后传给Elasticsearch进行存储,建搜索的索引,kabana提供前端的页面再进行搜索个图表可视化,它是调用Elasticsearch的接口返回的数据进行可视化

logstash工作流程

Logstash工作的三个阶段:
第一阶段:
Input数据输入端,可以接收来自任何地方的源数据:

 file:从文件中读取
 syslog:监听在514端口的系统日志信息,并解析成RFC3164格式
 redis:从redis-server  list   中获取
 beat:接收来自Filebeat的事件

第二阶段:
Filter数据中转层,主要进行格式处理,数据类型转换,数据过滤,字段添加,修改等,常用的过滤器:

grok:通过正则解析和结构化任何文本;Grok目前是logstash最好的方式对非结构化日志数据解析成结构化和可查询化;logstash内置了120个匹配模式,满足大部分需求
mutate:在事件字段执行一般的转换;可以重命名,删除,替换和修改事件字段
drop:完全丢弃事件,如debug事件
clone:复制事件,可能添加或者删除字段
geoip:添加有关ip地址地理位置信息

第三阶段:
Output是logstash工作的最后一个阶段,负责将数据输出到指定位置,兼容大多数应用:

 elasticsearch:发送事件数据到Elasticsearch,便于查询,分析,绘图
 file:将事件数据写入到磁盘文件上
 mongodb:将事件数据发送到高性能NoSQL  mongodb,便于永久存储,查询,分析,大数据分片
 redis:将数据发送至redis-server,常用于中间层暂时缓存
 graphite:发送事件数据到graphite
 statsd:发送事件数据到statsd

解压:
tar -zxvf logstash-2.3.1.tar.gz

无需配置,直接启动:
bin/logstash -e ‘input { stdin {} } output { stdout{} }’
bin/logstash -e ‘input { stdin {} } output { kafka { topic_id => “test1” bootstrap_servers => “192.168.88.81:9092,192.168.88.82:9092,192.168.88.83:9092”} stdout{codec => rubydebug} }’
这里写图片描述

kafka消费者输出端:[以最后一行的输出为主]
这里写图片描述

以配置的形式:
vi logstash-kafka.conf
# logstash使用{}来定义配置区域,区域内又可以包含其插件的区域配置
#最基本的配置文件定义,必须包含input和output
input {
file {
path => “/home/person2.txt”
discover_interval => 5
start_position => “beginning”
}
}
#可以定义多个输出源与多个输出位置
output {
kafka {
topic_id => “test1”
codec => plain {
format => “%{message}”
charset =>”UTF-8”
}
bootstrap_servers => “minimaster:9092,miniSlave1:9092,miniSlave2:9092”
}
}

启动logstash:
bin/logstash -f conf/logstash-kafka.conf
这里写图片描述

修改 vi /home/person2.txt 保存后查看kafka消费端

结果看最后几行:
这里写图片描述

这里写图片描述
代码展示:
vi gs-kafka.conf

input {
 file {
   codec => plain {
   charset => "GB2312"
   }
   path => "/root/loserver/basedir/*/*.txt"
   discover_interval => 30
   start_position => "beginning"
   }
}

output {
  kafka{
   topic_id => "gamelog"
   codec => plain {
   format => "%{message}"
   charset => "GB2312"
  }
  bootstrap_servers => "minimaster:9092,miniSlave1:9092,miniSlave2:9092"
  }
}

新建kafka新的topic,名为gamelog

./kafka-topics.sh --create --zookeeper minimaster:2181 --replication-factor 1 --partitions 1 --topic gamelog

启动kafka消费者[gamelog]:

./kafka-console-consumer.sh --zookeeper minimaster:2181 --from-beginning --topic gamelog

启动文件,即修改/root/loserver/basedir//.txt中的文件

看消费者是否打印出内容:
这里写图片描述

vi kafka-es.conf

input {
  kafka {
    type => "gamelog"
    auto_offset_reset => "smallest"
    codec => "plain"
    group_id => "elas2"
    topic_id => "gamelog"
    zk_connect => "minimaster:2181,miniSlave1:2181,miniSlave2:2181"
  }
}

filter {
  if [type] == "gamelog" {
    mutate {
      split => { "message" => " " }
      add_field => {
        "event_type" => "%{message[3]}"
        "current_map" => "%{message[4]}"
        "current_X" => "%{message[5]}"
        "current_y" => "%{message[6]}"
        "user" => "%{message[7]}"
        "item" => "%{message[8]}"
        "item_id" => "%{message[9]}"
        "current_time" => "%{message[12]}"
     }
     remove_field => [ "message" ]
   }
  }
}

output {
  if [type] == "gamelog" {
    elasticsearch {
      index => "gamelogs"
      codec => plain {
        charset => "UTF-16BE"
      }
      hosts => ["minimaster:9200", "miniSlave1:9200", "miniSlave2:9200"]
    } 
  }
}

查看网页http://192.168.222.156:9200/_plugin/head/
这里写图片描述

长胖的wo一定特美
关注
专栏目录
利用logstash解析日志
ryan4good的博客
07-07 1301
简介 最近在做一个小项目,需要将一些不同格式的日志集中、展示,于是想到了用ELK。 环境的搭建比较简单,可参看Centos7搭建ELK 本文介绍一下将日志导入到es的一些操作。包含Syslog和file两种格式 1.Syslog 自己写了个模拟发送syslog的脚本 #!coding = utf-8 import logging import logging.handlers import random import struct...
(四)Logstash收集、解析日志方法
Spider_xiaoma的博客
11-22 2056
官网地址:https://www.elastic.co/guide/en/logstash-versioned-plugins/current/index.html Logstash的基础架构类型为pipeline流水线,如下图所示: INPUT:数据采集(常用插件:stdin、file、kafka、beat.http) FILTER:数据解析/转换(常用插件:Grok正则捕获、Date时间处理、Json编解码、Mutate数据修改等) OUTPUT:数据输出(常用插件:Elasticsearch) C.
求帮忙用logstashgrok解析日志。
yibandian的博客
07-02 137
求助,
Logstash 参考指南(使用Logstash解析日志)
weixin_34077371的博客
10-04 1107
使用Logstash解析日志 在储存你的第一个事件中,你创建了一个基本的Logstash管道来测试你的Logstash设置,在现实情况中,Logstash管道要复杂一些:它通常有一个或多个输入、过滤器和输出插件。 在本节中,你将创建一个Logstash管道,该管道使用Filebeat将Apache web日志作为输入,解析这些日志以从日志...
logstash收集、解析日志方法脑图
11-22
自己根据elastic官网整理的关于logstash的一些使用方法。包含:INPUT、FILTER、OUTPUT、Codec等详细的方法。供大家参考!!
logstash日志抓取搭建
04-26
**Logstash日志抓取搭建** 在IT行业中,日志管理是系统监控和故障排查的重要环节。Logstash作为 Elastic Stack(ELK Stack)的一部分,专为收集、解析、过滤和转发各种日志数据而设计。它能从各种来源获取日志,...
logstash日志分析配置使用
一样的代码,不一样的人生。
05-11 705
logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。       首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜
python实时监控logstash日志代码
12-20
标题中的"python实时监控logstash日志代码"指的是使用Python编程语言编写的一个脚本,用于实时监测Logstash的日志文件,以便在检测到特定错误或异常关键字时触发报警。Logstash是一个开源的数据收集系统,它允许从...
使用logstash作为docker日志驱动收集日志
01-20
本文将详细介绍如何使用Logstash作为Docker的日志驱动来收集和处理容器的日志。 首先,需要了解Docker的日志系统。Docker的默认日志驱动是`json-file`,它会将每个容器的日志保存在宿主机的`/var/lib/docker/...
日志分析系统ELK之Logstash
Tuki来了
08-25 849
Logstash什么是ELKLogstashKibana 什么是ELK 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的
logstash 采集log4j日志配置文件
07-27
logstash采集log4j日志发送到es配置文件,可以把日志根据日志级别区分开,一个级别一条日志是es中的一条数据
全面解析logstash
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-17 1063
Logstash 是一款开源的数据收集引擎,由 Elastic 公司开发,主要用于实时地从多种数据源采集、解析、过滤、转换和输出数据。它是 Elastic Stack(Elasticsearch、Kibana、Logstash 和 Beats)中的一个重要组件,专门用于处理日志、指标和其他半结构化或非结构化数据。Logstash 采用数据管道模型来处理数据。
Logstash常用配置和日志解析_logstash 日志输出位置
2401_84715926的博客
05-16 1805
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
【DevOps】Logstash详解:高效日志管理与分析工具
Coder加油站的专栏
06-16 7453
Logstash是一个强大的数据处理工具,用于收集、过滤、转换和发送日志数据。它具有灵活的架构、丰富的插件和功能,以及广泛的社区和支持。通过使用Logstash,您可以轻松地处理和分析大规模的日志数据,并从中提取有用的信息和洞察。无论是在单个服务器上还是在分布式环境中,Logstash都能提供出色的性能和可伸缩性。随着Elastic Stack的不断发展,Logstash也将继续演进和改进,以满足不断变化的日志处理需求。
Logstash配置
技术成就人生
02-09 325
修改配置文件 logstash-sample.conf : # input{ } ,elasticsearch{ }不需要修改 output{ }需要添加自己配置的服务 input { redis { data_type =>"list" key =>"default_list" host =>"10.253.100.121" port => 637...
22scipy.signal.iirfilter的使用,python包实现iir滤波器
weixin_41529093的博客
12-16 1390
仅作为保存,大佬请跳过。 python scipy signal.iirfilter用法及代码示例 官方文档传送门 (Python实现信号滤波)
推荐使用logstash_formatter:为Logstash定制的JSON日志格式化工具
最新发布
gitblog_00529的博客
08-30 536
推荐使用logstash_formatter:为Logstash定制的JSON日志格式化工具 python-logstash-formatterpython JSON log formatter with a logstash compatible schema项目地址:https://gitcode.com/gh_mirrors/py/python-logstash-formatter 项目介...
logstash使用csv插件解析格式化日志
Jepson的博客
12-18 1258
csv插件官方手册:https://www.elastic.co/guide/en/logstash/current/plugins-filters-csv.html#plugins-filters-csv-columns 需求示例:用filebeat收集原始日志文件样例如下: filebeat 收集后进入logstash,利用logstash中的csv插件,将上述日志内容解析到指定的字段名中,如字段名依次为:“date_time”, “username”, “ssh_connection”, “pwd”
Logstash处理json格式日志文件的三种方法
liukuan73的专栏
08-27 5491
http://blog.csdn.net/jiao_fuyou/article/details/49174269 假设日志文件中的每一行记录格式为json的,如: {"Method":"JSAPI.JSTicket","Message":"JSTicket:kgt8ON7yVITDhtdwci0qeZg4L-Dj1O5WF42Nog47n_0aGF4WPJDIF2UA9MeS8GzLe
使用Kibana与Logstash构建实时日志分析系统
8. **Kibana**:日志分析和可视化的Web界面。 搭建环境通常涉及到多台服务器的分工,例如: - **192.168.233.128**:作为Logstash index、Elasticsearch和Kibana的服务器,负责日志的索引、存储和展示。 - **192....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值