logstash安装使用及使用filter处理日志示例

最新推荐文章于 2024-05-16 05:12:50 发布
最新推荐文章于 2024-05-16 05:12:50 发布
阅读量2.8k 收藏 6
点赞数 1
分类专栏: elaticsearch 文章标签: logstash logstash filter logstash处理日志配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36666651/article/details/83617858
版权

下载logstash(最好下载与es相同的版本,这里为了测试下载的低版本)

wget https://download.elastic.co/logstash/logstash/logstash-2.3.4.tar.gz

解压

tar -zxvf logstash-2.3.4.tar.gz

运行测试

# 使用标准输入输出
./logstash-2.3.4/bin/logstash -e 'input { stdin { } } output { stdout {} }'

# 使用标准输入输出,输出格式化为json
./logstash-2.3.4/bin/logstash -e 'input { stdin { } } output { stdout {codec => json} }'

# 加载配置文件启动
./logstash-2.3.4/bin/logstash -f logstash-simple.conf
# 加载多个配置文件启动
./logstash-2.3.4/bin/logstash -f .conf/*

logstash模式

logstash做的事情分三个阶段依次执行:输入——》处理filter(不是必须)——》输出
这里写图片描述

logstash配置文件

这里写图片描述

宏观配置文件格式

# 输入
input {
  ...
}

# 过滤器
filter {
  ...
}

# 输出
output {
  ...
}

配置文件示例1:

# 参考 https://www.jianshu.com/p/25ed5ed46682
# https://doc.yonyoucloud.com/doc/logstash-best-practice-cn/filter/kv.html
# https://www.cnblogs.com/qq27271609/p/4762562.html

# 日志格式
# [log_time=2018-11-01 15:47:03] [level=ERROR] [app_name=logback_test] [version=1.0.0] [class=com.wk.logbackdemo.LogbackTest] test error


input {
        file {
                #add_field => {"project_name" => "battleship"}
                #tags => "tag1"
                path => ["/home/es-wk/logstash/logs/info/*.log","/home/es-wk/logstash/logs/debug/*.log","/home/es-wk/logstash/logs/warn/*.log","/home/es-wk/logstash/logs/error/*.log"]
                start_position => beginning
				sincedb_path => "/dev/null" #从头读  第一读取时就加上才会生效  后面再加需要用新的日志文件 测试用
				# 多行合并  日志中可能出现换行等,需要根据规则合并,如下注释是根据每行开头匹配其是不是另一条日志
#				codec => multiline {
#					pattern => "^%{TIMESTAMP_ISO8601} "
#					negate => true
#					what => previous
#               }
        }
}

# 可写多个  内部顺序执行
filter {
		mutate {
				# 替换掉开头的[
				gsub => ["message", "\[", ""]
				# 根据]分割字段
				split => ["message", "] "]

				add_field => { "log_time" => "%{[message][0]}"}
				add_field => { "level" => "%{[message][1]}"}
				add_field => { "app_name" => "%{[message][2]}"}
				add_field => { "version" => "%{[message][3]}"}
				add_field => { "class" => "%{[message][4]}"}
				rename => ["host", "host_name"]
        }

		kv {
			#include_keys => ["log_time", "level", "version", "class"]
				field_split => "="
		}

		mutate {
				replace => {"message" => "%{[message][5]}"}
		}
		
		# 提取年份 月份 日期
		grok {
			match => ["log_time", "(?<YYYY>\d{4})-(?<MM>\d{1,2})-(?<DD>\d{1,2})"]
		}
}

output {
        elasticsearch{
			hosts => ["127.0.0.1:19200"]
			index => "%{app_name}-%{YYYY}-%{MM}"
			user => "elastic" 
			password => "changme"
		}
		# 调试用
		stdout { codec => rubydebug }
}

配置文件示例2:

# 日志格式: 2018-12-14 16:49:21 [INFO] [TxId : Alien_axx21x003^1544669102193^46037 , SpanId : 2452398774611903875] com.dao.base.BaseDao.selectRowValueEqual selectRowValueEqual -->select * from ltemplate_style where  template_id = ? and type = ? order by create_time desc

input {
		stdin{
		}
#		beats {
#	    	port => "5044"     
#	    }	
#        file {
#                #add_field => {"project_name" => "battleship"}
#                #tags => "tag1"
#                path => ["/home/es-wk/logstash/logs/info/*.log","/home/es-wk/logstash/logs/debug/*.log","/home/es-wk/logstash/logs/warn/*.log","/home/es-wk/logstash/logs/error/*.log"]
#                start_position => beginning
#				sincedb_path => "/dev/null" #从头读  第一读取时就加上才会生效  后面再加需要用新的日志文件 测试用
#				# 多行合并  日志中可能出现换行等,需要根据规则合并,如下注释是根据每行开头匹配其是不是另一条日志
#				codec => multiline {
#					pattern => "^%{TIMESTAMP_ISO8601} "
#					negate => true
#					what => previous
#               }
#        }
}

# 可写多个  内部顺序执行
filter {
        # 正则提取数据 ruby的正则
        grok {
            match => {"message" => "%{TIMESTAMP_ISO8601:log_time}"}
        }
         grok { 
			match => { "message" => "(?<level>(?<=\[)\w+(?=\]))" }
        }
        grok {
            match => {"message" => "(?<tx_id>(?<=\[TxId\s:\s)\S+(?=\s,))"}
        }
        grok {
            match => {"message" => "(?<span_id>(?<=,\sSpanId\s:\s)\S+(?=\s*\]))"}
        }
		grok {
			match => {"message" => "(?<message>(?<=[0-9]\]\s)[\s\S]*(?=$))"}
		}
        # message只保留提示信息
		mutate {
				replace => {"message" => "%{[message][1]}"}
		}
		
		# 提取年份 月份 日期
		grok {
			match => ["log_time", "(?<YYYY>\d{4})-(?<MM>\d{1,2})-(?<DD>\d{1,2})"]
		}
}

output {
        #elasticsearch{
		#	hosts => ["127.0.0.1:19200"]
		#	index => "log-%{YYYY}-%{MM}-%{app_name}"
		#	user => "elastic" 
		#	password => "changme"
		#}
		# 调试用
		stdout { codec => rubydebug }
}

示例3:(任意数量[k=v]格式日志清洗)

input {
  beats {
   port => 5044
  }
  # stdin{}
}

#[log_time=$time_iso8601] [real_ip=$http_x_forwarded_for] [client_ip=$remote_addr]	[status=$status] [request_time=$request_time] [uri=$request_uri] [referer=$http_referer][request=$request] [upstream_addr=$upstream_addr] [upstream_status=$upstream_status] [upstream_response_time=$upstream_response_time] [agent=$agent] [request_length=$request_length] [bytes_sent=$bytes_sent]  


# docker run --rm -it -v /Users/wk/Desktop/logstash-online.conf:/usr/share/logstash/pipeline/logstash.conf docker.elastic.co/logstash/logstash:6.4.2
# [timestamp=2019-02-28 10:24:05.981] [level=DEBUG] [tx_id=] [span_id=] [bu_id=AXX] [app_id=AXX001] [msg=[xxx=111]] xxx=1111

# [timestamp=2019-03-12 14:13:09.267] [level=WARN] [tx_id=] [span_id=] [bu_id=AXX] [app_id=AXX001] Sync config from upstream redis.basic?ip=131 [Cause: Could not complete get operation [Cause: Read timed out]]

filter {
    # (?!=\s)
  	grok {
    #     match => {"message" => "(?<message_fmt>((\[[\s\S]+\] )+))"}
        match => {"message" => "(?<message_fmt>((\[[\s\S]+?\] *)+))"}
    }
    kv {
        # kv化的源内容
        source => "message_fmt"
        # 多个kv的切割符
        field_split_pattern => "\] "
        # k的前缀
        # prefix => "["
        # kv的分割符
        value_split => "="
        # 去掉key的首尾字符
        trim_key => "\[\]"
        # 去掉value的首尾字符
        trim_value => "\[\]"
        # 是否递归取值
        recursive => "false"
        # 是否包含各种括号
        include_brackets => "false"
        # 是否允许多个相同的key存在(存在时会组成数组)
        allow_duplicate_values => false
    }
    date {
	    match => ["timestamp", "yyyy-MM-dd HH:mm:ss.SSS"]
	  }
    mutate {
      remove_field => "%{}"
	   lowercase => ["app_id"]
    #  remove_field => "message_fmt"
	   remove_field => "timestamp"
	   # filebeat字段
	   remove_field => "tags"
	   remove_field => "prospector"
	   remove_field => "input"
	   remove_field => "prospector"
     remove_field => "offset"
    #  remove_field => "host"
	  }
}

output {
# 调试用
  stdout { codec => rubydebug }
}
wkCaeser_
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-filter-example:示例过滤器插件。 这应该有助于引导您编写自己的过滤器插件!
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础结构来自动为此插件构建文档。 我们提供了一个模板文件 index.asciidoc,您可以在其中添加文档。 该文件的内容将被转换为 html,然后与其他插件文档一起放在一个。 对于格式化配置示例,可以使用asciidoc [source,json]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新您的依
Logstash学习总结(三) FILTER应用实例
liubowin的专栏
07-21 507
一、解析apache日志,date日志处理    filter {     grok {      match => { "message" => "%{COMBINEDAPACHELOG}" }     }        date {       match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]   target => "@
logstash过滤器插件filter详解及实例_logstash filter 时间戳
最新发布
2401_84715926的博客
05-16 896
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则中,匹配空格和中括号要加上转义符。
logstash过滤器插件filter详解及实例
sunice115的专栏
05-28 224
https://www.cnblogs.com/FengGeBlog/p/10305318.html
Logstash中grok filter example例子
一年e度的夏天的专栏
03-01 5266
title: Logstash中grok filter example例子date: 2017-02-28tags: 大数据一、Logstash 本文适合有部分Logstash经验的人阅读,如果不懂Logstash是什么,请多加google,后面我会继续整理的 1、filtersLogstash核心组成部分就包括filters,这是个过滤器。一般日志中还是有很多有用信息的,利用Logstash
elk7.7.1【系列八】logstash 根据不同 tags 配置 不同输出索引
qq_29384639的博客
07-02 2831
1、修改filebeat配置文件 vim /etc/filebeat/filebeat.yml 2、修改logstash配置文件 cd /etc/logstash/conf.d vim file.conf input { beats { port => 5044 } } filter{ if "tomcat8" in [tags]{ grok{ matc.
[Logstash]使用详解1
08-03
通常,我们会使用 `-f` 参数指定配置文件,这样Logstash就会根据配置文件进行日志处理。如果没有提供配置文件,可以使用 `-e` 参数,传递一个字符串作为配置,例如,仅打印输入的文本,可以使用 `logstash -e ''`,...
logstash-filter-grok:Grok插件可将非结构化(日志)数据解析为结构化的内容
05-07
对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 ...
logstash-filter-crowd:使用 Atlassian Crowd REST API 查找用户信息的 Logstash 过滤器
06-24
Atlassian Stash Auth 日志示例 Grok 过滤器。 STASH_CAPTCHA %{IP:proxy},%{IP:client} \| %{WORD:error} \| %{WORD:user1} \| %{INT:epoch_time} \| %{WORD:user2} \| (?<error>{%{QS}:%{QS},%{QS}:"For ...
ElasticSearch7.3学习---logstash三大插件(input、filter、output)及其综合示例.doc
07-12
ElasticSearch7.3学习---logstash三大插件(input、filter、output)及其综合示例 ElasticSearch7.3学习---logstash三大插件(input、filter、output)及其综合示例,这篇文档主要介绍了Logstash中的三大插件:...
elasticsearch的详细安装和简单使用
09-13
Elasticsearch 的详细安装和简单使用 Elasticsearch 是一个开源的搜索和数据分析引擎,它提供了强大的搜索功能和数据分析能力。在本文中,我们将详细介绍 Elasticsearch 的安装过程,并简单介绍其使用。 Elastic...
logstash tag使用说明
weixin_30701521的博客
09-15 630
zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat stdin04.conf input { stdin { } } filter { # drop sleep events grok { match => { "message" => "SELECT aaa" } add_ta...
Logstash【从无到有从有到无】【L16】使用插件
琴韵悠悠
10-30 398
目录 1.使用插件 1.1.代理配置(Proxy configuration) 1.2.列出插件(Listing plugins) 1.3.将插件添加到您的部署中 1.4.高级:添加本地构建的插件 1.5.高级:Using--path.plugins 1.6.更新插件 1.7.删除插件 1.8.代理支持 1.9.生成插件(Generating Pluginsedit) 1....
ELK 企业级日志分析系统及Logstash过滤模块
weixin_47622405的博客
12-09 1029
Linux
Logstash采集输送日志input filter output流程
peng_0129的博客
01-14 867
test1.conf文件在conf目录下,进入到bin目录,执行这个文件 ./logstash -f ../config/test1.conf codec的使用( Coder/decoder 两个单词首字母缩写)                    Codec: 解码编码 数据格式                     好处 更方便logstash与支持自定义数据格式的运维产品进行...
LogstashLogstash translate 过滤器简介
Elastic 中国社区官方博客
06-21 3745
Logstash具有一个有趣的功能,称为翻译过滤器 (translate filter)。 翻译过滤器用于根据字典或查找文件过滤传入数据中的特定字段。 然后,如果输入字段与字典查找文件中的条目匹配,则它将执行操作,例如,将字段添加到数据或发送电子邮件。这个和我们之前介绍的数据丰富是一样的。 一个简单的用例 也许你正在从Twitter索引数据,并想知道用户何时在其推文中提及某些特定单词。 创建一个被认为很有趣的单词列表。 每次在推文中提及该单词时,你都可以在数据中添加一个字段,以将数据标记为“int.
logstash config filter 配置(grok、date、ruby):日志拆分转换并展示在kibana中
baidu_41614347的博客
10-27 1493
概要:ELK部署成功后,需要kibana图形展示某应用的性能。初步通过统计分析日志的形式来模拟。日志中有sendTime :消息发出时间,recvTime:处理完毕后打印的日志时间。通过logstash日志进行拆分并计算recvTime和sendTime的差值即处理时间(本文标记为responseTime)。并将responseTime展示在kibana中 1、logstash配置文件 logstash的配置文件input是来自filebeat端口5044 (filebeat用于收集ou...
Logstash配置详解
热门推荐
u012017645的专栏
10-17 2万+
Logstash配置详解
ELK logstash 处理mongodb日志
ronon77的专栏
03-03 731
不同mongodb版本的日志格式不同,这个需要看mongodb官方对日志格式的定义,在处理前自己去做好这方面的功课。还有就是,要抓取自己感兴趣的内容,这个根据各自的需求来做,没有千篇一律的,全凭各自喜好。 grok预定义的正则匹配规则可以参考 https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patte...
linux安装logstash
06-28
### 回答1: 要在Linux上安装Logstash,您可以按照以下步骤操作: 1. 下载Logstash安装包,可以从官方网站或者其他可靠的下载站点获取。 2. 解压安装包到您想要安装的目录。 3. 配置Logstash的配置文件,包括输入、过滤和输出等。 4. 启动Logstash服务,可以使用命令行或者系统服务管理工具。 5. 测试Logstash是否正常工作,可以使用一些测试数据来验证Logstash是否正确地处理了数据。 需要注意的是,安装Logstash之前需要确保您的系统已经安装了Java运行环境。另外,Logstash的配置文件需要根据您的具体需求进行调整,以确保能够正确地处理数据。 ### 回答2: Logstash是一款用于数据处理的开源工具,可以将各种不同格式的数据从不同的来源采集、转换、过滤和输出。对于Linux系统,安装Logstash需要经过以下步骤: 1. 下载并安装Java环境。Logstash需要运行在Java环境中,因此需要先安装Java。可以在终端中输入以下命令进行安装: sudo apt-get install default-jre 2. 下载并安装Logstash包。在官网下载Logstash的最新版,解压并安装。以下命令将Logstash包下载到本地: wget https://artifacts.elastic.co/downloads/logstash/logstash-7.14.0.tar.gz 解压Logstash包: tar -xzvf logstash-7.14.0.tar.gz 3. 配置Logstash。可以在/etc/logstash目录中创建一个新的配置文件,例如myconfig.conf,并编辑它以指定需要采集、转换、过滤和输出的数据。以下是一个简单的配置示例,它从stdin输入接收数据并将其发送到stdout输出: input { stdin {} } output { stdout {} } 4. 启动Logstash。可以在命令行中输入以下命令来启动Logstash: cd logstash-7.14.0/bin/ ./logstash -f /etc/logstash/myconfig.conf 运行Logstash后,可以使用Ctrl+C键来停止它。 5. 配置Logstash以作为服务运行。为了更方便地管理Logstash,可以将它配置为作为服务运行。以下是在systemd下配置Logstash服务的命令: sudo /bin/systemctl daemon-reload sudo /bin/systemctl enable logstash.service sudo /bin/systemctl start logstash.service 以上是在Linux系统上安装Logstash的基本步骤。要注意的是,在配置Logstash时,需要注意采集和处理数据的输入和输出,以使其能够顺利地完成数据管道的工作。同时,应根据实际需求进行配置,以满足具体的业务需求,提高数据处理的效率和精度。 ### 回答3: Logstash是一个在开源社区中广泛使用日志收集和处理工具。它能够从多种数据源中获取任意类型的数据,经过过滤和转换后,将其输出到各种目标数据存储中。在本文中,我们将讨论如何在Linux系统中安装Logstash。 步骤一:安装Java Logstash是基于Java编写的,因此必须先在系统中安装Java。打开终端,输入以下命令,安装Java: $ sudo apt-get install openjdk-8-jre 步骤二:下载和设置Logstash安装Logstash之前,我们需要先从官网下载Logstash工具。首先在Web浏览器中访问https://www.elastic.co/cn/downloads/logstash并选择适合自己系统的Logstash版本。 下载完成后,我们需要将下载的压缩包解压到本地。 $ tar xvf logstash-6.5.1.tar.gz 解压完成后,进入目录 logstash-6.5.1/bin,并启动Logstash: $ ./logstash -e 'input { stdin { } } output { stdout { } }' -e参数允许我们以命令行方式启动Logstash,它将会从标准输入(input)获取任何输入,并输出到标准输出(output)。因此,我们将在终端中看到输入的任何内容,并直接输出到屏幕中。 步骤三:配置Logstash 启动Logstash后,我们需要编辑配置文件,以将其与数据源进行连接。Logstash的配置文件通常存储在 /etc/logstash/conf.d 目录中。我们创建以下文件,来配置Logstash: $ sudo nano /etc/logstash/conf.d/apache.conf 输入以下内容: input { beats { port => 5044 } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } date { match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ] } } output { elasticsearch { hosts => ["localhost:9200"] } stdout { codec => rubydebug } } 该配置定位了数据输入端口 5044,并设置了数据格式过滤器。然后,将数据输出到Elasticsearch和标准输出流。 步骤四:启动Logstash服务 启动Logstash作为服务,以增强稳定性和自动化。通过以下命令启动Logstash: $ sudo systemctl start logstash 可以通过以下命令查看服务的状态: $ sudo systemctl status logstash 如果输出的状态显示“active (running)”表示服务运行正常。 此外,我们还可以使用以下命令开启自动启动: $ sudo systemctl enable logstash 以上就是Linux安装Logstash的流程。Logstash具有强大的数据采集能力,可以快速地获取和过滤数据,非常适合进行分布式系统数据分析和处理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值