ELK------(二)Logstash的部署

最新推荐文章于 2023-11-27 20:33:42 发布
最新推荐文章于 2023-11-27 20:33:42 发布
阅读量677 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41582883/article/details/114590345
版权

ELK------Logstash的部署

1 logstash简介

Elasticsearch是当前主流的分布式大数据存储和搜索引擎,可以为用户提供强大的全文本检索能力,广泛应用于日志检索,全站搜索等领域。Logstash作为Elasicsearch常用的实时数据采集引擎,可以采集来自不同数据源的数据,并对数据进行处理后输出到多种输出源,是Elastic Stack 的重要组成部分。

1.1 Logstash的原理

Logstash的数据处理过程主要包括:Inputs, Filters, Outputs 三部分, 另外在Inputs和Outputs中可以使用Codecs对数据格式进行处理。这四个部分均以插件形式存在,用户通过定义pipeline配置文件,设置需要使用的input,filter,output, codec插件,以实现特定的数据采集,数据处理,数据输出等功能

(1)Inputs:用于从数据源获取数据,常见的插件如file, syslog, redis, beats 等
(2)Filters:用于处理数据如格式转换,数据派生等,常见的插件如grok, mutate, drop, clone, geoip等[详细参考]
(3)Outputs:用于数据输出,常见的插件如elastcisearch,file, graphite, statsd等
(4)Codecs:Codecs不是一个单独的流程,而是在输入和输出等插件中用于数据转换的模块,用于对数据进行编码处理,常见的插件如json,multiline

在这里插入图片描述ogstash 的主要优势:在支持各类插件的前提下提供统一的管道进行日志处理( input-filter-output )

1.2 执行模型

  1. 每个Input启动一个线程,从对应数据源获取数据
  2. Input会将数据写入一个队列:默认为内存中的有界队列(意外停止会导致数据丢失)。为了防止数丢失Logstash提供了两个特性:
    Persistent Queues: 通过磁盘上的queue来防止数据丢失
    Dead Letter Queues: 保存无法处理的event(仅支持Elasticsearch作为输出源)
  3. Logstash会有多个pipeline worker, 每一个pipeline
    worker会从队列中取一批数据,然后执行filter和output(worker数目及每次处理的数据量均由配置确定)

2 logstash的部署

(1)安装jdk的环境:rpm -ivh jdk-8u181-linux-x64.rpm

(2)安装logstash:rpm -ivh logstash-7.6.1.rpm

(3)设置环境变量

vim .bash_profile

在这里插入图片描述

  • 使修改立刻生效:source .bash_profile

在这里插入图片描述

3 标准输入和标准输出

使用Logstash管道来测试一下安装的Logstash。Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地。
在这里插入图片描述

(1)Logstash最基本的管道(命令方式)

logstash -e 'input { stdin {}  }  output { stdout{} } '
# -e 允许从命令行指定配置

在这里插入图片描述
(2)Logstash的管道(通过文件的方式)

  • 监听文件变化,记录一个叫.sincedb的数据库文件来跟踪被监听的日志文件的当前读取位
vim /etc/logstash/conf.d/test.conf

bash
input {
   stdin {}
}
output {
   stdout {}
}

logstash -f /etc/logstash/conf.d/test.conf

在这里插入图片描述

(3)标准输出到文件

vim /etc/logstash/conf.d/test.conf

input {
   stdin {}
}
output {
   stdout {}
   file {
     path => "/mnt/testfile"
     codec => line { format => "custom format : %{message}" }

  }
}

logstash -f /etc/logstash/conf.d/test.conf

在这里插入图片描述

  • 测试:cat /mnt/testfile

在这里插入图片描述
(4)标准输入到文件

vim /etc/logstash/conf.d/test.conf

input {
   file {
   path => "/mnt/testfile"
   start_position => "beginning"
  }
}
output {
   stdout {}
 #  file {
 #    path => "/mnt/testfile" 
 #    codec => line { format => "custom format : %{message}" }  

 # }
}

logstash -f /etc/logstash/conf.d/test.conf

在这里插入图片描述

vim   /etc/logstash/conf.d/test.conf 

input {
   file {
   path => "/var/log/messages"
   start_position => "beginning"
  }
}
output {
   stdout {}
 #  file {
 #    path => "/mnt/testfile" 
 #    codec => line { format => "custom format : %{message}" }  

 # }
   elasticsearch{
       hosts =>["172.25.12.1:9200"]
       index => "syslog-%{+yyyy.MM.dd}"
  }
}

 logstash -f /etc/logstash/conf.d/test.conf

在这里插入图片描述

在这里插入图片描述在这里插入图片描述server3和server4开放远程

  • 编辑配置文件:vim /etc/rsyslog.conf

在这里插入图片描述

  • 重启服务:systemctl restart rsyslog.service
  • 编辑配置文件:vim /etc/logstash/conf.d/test.conf
input
 {
 #  file {
 #  path => "/var/log/messages"
 #  start_position => "beginning"
 #  }
   syslog {} ## 收集日志信息,默认监听514端口
}
output {
   stdout {}
 #  file {
 #    path => "/mnt/testfile" 
 #    codec => line { format => "custom format : %{message}" }  

 # }
   elasticsearch{
       hosts =>["172.25.12.1:9200"]  ## 主机
       index => "messages-%{+yyyy.MM.dd}"
  }
}

logstash -f /etc/logstash/conf.d/test.conf
在这里插入图片描述

3.1 多行过滤插件

多行过滤可以把多行日志记录合并为一行事件

编辑文件:vim /etc/logstash/conf.d/mutli.conf

input {
	file {
        path=> "/var/log/my-es.log"
        start_position => "beginning"
	codec => multiline {
		pattern => "^\["
		negate => true
		what => previous
		}
	}
}

output {
	# stdout {}
       elasticsearch{
       hosts =>["172.25.12.1:9200"]
       index => "my-es-%{+yyyy.MM.dd}"
  }

}

执行:logstash -f /etc/logstash/conf.d/mutli.conf

在这里插入图片描述

在这里插入图片描述

3.2 grok过滤插件(将信息分开显示)

server5:安装apache服务

压测:ab -c1 -n 100 http://172.25.12.5/index.html

编辑文件:/etc/logstash/conf.d/apache.conf

input {
   file {
   path => "/var/log/httpd/access_log"
   start_position => "beginning"
   }
  # syslog {}
}
output {
   stdout {}
 #  file {
 #    path => "/mnt/testfile" 
 #    codec => line { format => "custom format : %{message}" }  

 # }
   elasticsearch{
       hosts =>["172.25.12.1:9200"]
       index => "apache-%{+yyyy.MM.dd}"
  }
}

执行:logstash -f /etc/logstash/conf.d/apache.conf

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

删除日志文件
在这里插入图片描述
编辑文件:/etc/logstash/conf.d/apache.conf

input {
   file {
   path => "/var/log/httpd/access_log"
   start_position => "beginning"
   }
  # syslog {}
}
filter {
   grok {
      match => { "message" => "%{HTTPD_COMBINEDLOG}" }
   }
}
output {
   stdout {}
 #  file {
 #    path => "/mnt/testfile" 
 #    codec => line { format => "custom format : %{message}" }  

 # }
   elasticsearch{
       hosts =>["172.25.12.1:9200"]
       index => "apache-%{+yyyy.MM.dd}"
  }
}

执行: logstash -f /etc/logstash/conf.d/apache.conf
在这里插入图片描述

在这里插入图片描述

KKang@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash安装部署手册
05-12
logstash安装部署手册
FIlebeat和Logstash部署步骤
02-26
FileBeat,隶属于Beats,是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash
LogStash 部署(Linux、Windows)
菜鸟厚非
05-20 1600
cd /lib/systemd/system vim logstash.service [Unit] Description=logstash Wants=network-online.target After=network-online.target [Service] User=root ExecStart=/usr/local/logstash/bin/logstash -f /usr/local/logstash/config/mogu-dashboard.c
Logstash启动遇到的几个问题
热门推荐
潇洒哥的读书笔记
06-22 3万+
1.Could not find any executable java binary. Please install java in your PATH or set JAVA_HOME.设置环境变量JAVA_HOME 或者 logstashlogstash.lib.sh 里面加上 export JAVA_HOME 就可以了2. Unable to find JRuby. If you
LogStash安装
Fisher3652的博客
03-13 1万+
目录1. 下载安装报2. 上传到服务器3. 启动 Logstash4. 连接 Elasticsearch 1. 下载安装报 这里选择7.14.0版本,下载地址 2. 上传到服务器 解压 tar -zxvf logstash-7.14.0-linux-x86_64.tar.gz 3. 启动 Logstash Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 logstash 不行, 需要按如下方式提供参数: ./logstash -e "input {stdin {
Logstash部署与使用
qq_19283249的博客
06-04 5472
Logstash是一个收集与处理数据的引擎,就像ElasticSearch是专门用来检索的引擎一样,Logstash用于收集、处理和转换各种数据源(文件、数据库、网站等)的数据,并将其转换为统一的格式。Logstash支持多种插件,进行数据过滤、转换和输出,可以方便地与 ES 和 Kibana 集成使用。还支持多线程处理和事件模型,可以在大规模数据处理场景下提供高性能、高可用的服务。
Logstash简介、部署与使用
shy871的博客
06-29 4893
Logstash简介、部署与使用1. Logstash简介2. Logstash工作过程3. Logstash安装运行4. Logstash配置 结合项目中使用ELK做日志管理工具,前面已整合介绍了Elasticsearch的相关内容,本文结合项目时间以及官网等网络资料,继续整合做ELK技术栈中的Logstash相关简介、工作过程、安装运行以及相关配置等内容。文中不免疏漏之处,望请读者予以评论探讨不足之处,共同学习、不断进步,不胜感激! 1. Logstash简介 Logstash 是一个开源数据收集引擎,
Logstash 部署
最新发布
宇博士的博客
11-27 525
 主要是用来日志的搜集、分析、过滤日志的工具。用于管理日志和事件的工具,你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用,例如搜索、存储等
ELK详解(六)——Logstash部署与简单应用
永远是少年
04-04 4102
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash部署与简单应用。 一、Logstash部署 Logstash命令与模块简介 三、Logstash简单应用 (一)标准输入输出 ()输出到文件 (三)输出到Elasticsearch
Logstash安装部署
weixin_47980221的博客
06-29 1873
1、logstash安装准备   logstash是基于java语言开发,所以先安装JDK。logstash 7 目前只支持 Java8 或者 Java 11,安装前确认JDK版本是否正确 2、安装配置 [root@localhost app]# tar xf logstash-7.12.1-linux-x86_64.tar.gz [root@localhost app]# mv logst...
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第种类型是...
docker-compose和ELK配置文件.zip
07-30
docker集群ELK部署读取本地日志--配置文件;包含docker-compose集群化部署ELK的配置脚本和elasticsearch、kibana的配置文件、logstash解析日志的配置文件
elk-formula:用于ELK(Elasticsearch,Logstash,Kibana)堆栈的SaltStack公式
03-15
elk.service.logstash 部署Logstash容器。 elk.service.kibana 部署Kibana Pod。 elk.service.elasticsearch.destroy 销毁Elasticsearch吊舱。 elk.service.logstash.destroy 销毁Logstash吊舱。 elk.service....
Docker-compose部署ELK的示例代码
01-20
环境 ... logstash version 6.6.1 一、ELK-dockerfile文件编写及配置文件 ● elasticsearch 1、elasticsearch-dockerfile FROM centos:latest ADD elasticsearch-6.6.1.tar.gz /usr/local/ COPY el
logstash-6.7.0
03-29
Logstash 2019最新版下载。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤...
ELK安装--Logstash部署
qq_51085767的博客
03-08 907
Logstash部署
Logstash 安装部署
学海无涯的博客
11-06 1966
一、Logstash安装部署 1、下载安装包 访问elasticSearch官网地址 https://www.elastic.co/ 下载指定版本的安装包:kibana-6.1.1-linux-x86_64.tar.gz 2、规划安装目录 /export/servers/ 3、上传安装包到指定目录 通过FTP工具上传安装包到指定目录 4、解压安装包 tar -zxvf logstash-6.1.1...
Logstash 部署及基础使用
qq_43164571的博客
09-08 1005
Logstash 部署及基础使用。1.input收集file案例 2.input收集tcp案例 3.input收集beats案列 4.input收集redis案列 5.output发送给file案列 6.output发送给redis
logstash安装部署(整合es)
xxxxx
05-30 1751
下载kibana安装包 https://www.elastic.co/cn/downloads/past-releases/logstash-6-2-2 最新版本:https://www.elastic.co/cn/downloads/logstash 解压tar -xzvf logstash-6.2.2.tar.gz /usr/local/logstash-6.2.2 传数据库启动jar包到logstash目录下 /usr/local/logstash-6.2.2 在/usr/local/log
docker-compose部署elk
05-18
Docker-compose 部署 ELK(Elasticsearch、Logstash、Kibana)的步骤如下: 1. 创建一个目录,例如 elk,用于存放 docker-compose.yml 文件和其他配置文件。 2. 在 elk 目录下创建一个 docker-compose.yml 文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值