logstash 的基础语法与使用

已于 2023-05-19 12:07:11 修改
阅读量1.8k 收藏 4
点赞数 1
文章标签: elasticsearch java 大数据
于 2023-05-17 09:31:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qynwang/article/details/130694020
版权
本文详细介绍了Logstash的安装过程,包括下载、解压和配置,强调了配置文件的作用以及启动和关闭Logstash的命令。此外,还讲解了Logstash的语法和基础使用,如DSL、输入输出插件的配置、数据类型和条件判断,并提供了配置文件和命令行启动的示例。
摘要由CSDN通过智能技术生成

一、logstash安装与配置

1. 下载

下载地址:Past Releases of Elastic Stack Software | Elastic

  • 注:使用Logstatsh的版本号与elasticsearch版本号需要保持一致

2. 上传并解压

先上传到服务器 /home/software/ 下,然后解压,并将解压后的文件夹移动到 /usr/local/ 下

tar -zxvf logstash-7.6.2.tar.gz -C /usr/local/

进入到解压后的文件夹下 /usr/local/logstash-7.6.2/conf/ 下:

(1)conf下配置文件说明:

  • logstash配置文件:/config/logstash.yml
  • JVM参数文件:/config/jvm.options
  • 日志格式配置文件:/config/log4j2.properties
  • 启动配置,比如启动时的java位置、LS的home等:/config/startup.options

(2)操作命令中的一些配置项:

  • --path.config 或 –f :logstash启动时使用的配置文件
  • --configtest 或 –t:测试 Logstash 读取到的配置文件语法是否能正常解析
  • --log或-l:日志输出存储位置
  • --pipeline.workers 或 –w:运行 filter 和 output 的 pipeline 线程数量。默认是 CPU 核数。
  • --pipeline.batch.size 或 –b:每个 Logstash pipeline 线程,在执行具体的 filter 和 output 函数之前,最多能累积的日志条数。
  • --pipeline.batch.delay 或 –u:每个 Logstash pipeline 线程,在打包批量日志的时候,最多等待几毫秒。 --verbose:输出调试日志 --debug:输出更多的调试日志

(3)其他的一些重要项:

  • 数据收集目录:/usr/local/logstash-6.6.0/data
  • 插件目录:/usr/local/logstash-6.6.0/vendor/bundle/jruby/1.9/gems
  • 查看插件命令: /usr/local/logstash-6.6.0/bin/logstash-plugin list
  • 更新插件命令: /usr/local/logstash-6.6.0/bin/logstash-plugin update logstash-xxxx-xxxxx
  • 安装插件命令: /usr/local/logstash-6.6.0/bin/logstash-plugin install logstash-xxxx-xxxxx
  • 插件地址: https://github.com/logstash-plugins

(4)启动与关闭

Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 ./logstash 不行,会报异常,提示让你配置一下 pipelines.yml 文件

如果你没有配置 pipelines.yml 文件的话,那就需要指定一个配置文件启动,该配置文件 logstash-script.conf 需要自己新建:

# 启动
/usr/local/logstash-7.6.2/bin/logstash -f /usr/local/logstash-7.6.2/script/logstash-script.conf

如果也没有指定配置文件的话,可以按如下方式提供参数:

./logstash -e "input {stdin {}} output {stdout{}}"

启动时应注意: -e 参数后要使用双引号。如果在命令行启动日志中看“Successfully started Logstash API end-point l:port= >9600 ”,就证明启动成功。

在上面的命令行中,-e 代表输入配置字符串,定义了一个标准输入插件 ( 即 stdin) 和一个标准输出插件( 即 stdout), 意思就是从命令行提取输入,并在命令行直接 将提取的数据输出。如果想要更换输入或输出,只要将 input 或 output 中的插 件名称更改即可,这充分体现了 Logstash 管道配置的灵活性。按示例启Logstash,命令行将会等待输入,键入“ Hello World!” 后会在命令行返回结果如 下 

 在默认情况下, stdout 输出插件的编解码器为 rubydebug, 所以输出内容中 包含了版本、时间等信息,其中 message 属性包含的就是在命令行输入的内容。如果在启动时, 试着将输出插件的编码器更换为 plain 或 line ,则输入的结果将会发生变化 :

./logstash -e "input {stdin {}} output {stdout{codec => plain}}"

可以使用 jps 命令查看是否启动成功:

关闭:首先使用 jps 查看进程号,再使用 kill 命令关闭:

二、logstash 语法与基础使用

1. Logstash设计了自己的DSL,

包括有

  • 区域,
  • 注释,
  • 数据类型(布尔值,字符串,数值,数组,哈希),
  • 条件判断
  • 字段引用等。

2. Logstash用{}来定义区域。

区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。插件区域内则可以定义键值对设置。

3. 格式、语法、使用方式: 

(1)整体格式结构:

# 注释.
input {
  ...
}
 
filter {
  ...
}
 
output {
  ...
}

(2)input设置:

## 两个input设置:
input {
  file {
    path => "/var/log/messages"
    type => "syslog"
  }
  file {
    path => "/var/log/apache/access.log"
    type => "apache"
  }
}

(3)数据类型:

## bool类型
debug => true
## string类型
host => "hostname"
## number类型
port => 6789
## array or list类型
path => ["/var/log/message","/var/log/*.log"]
## hash类型
match => {
    "field1" => "value1"
    "field2" => "value2"
}
## codec类型
codec => "json"

(4)字段引用方式

# 定义字段
{
    "agent":  "Mozilla/5.0  (compatible;  MSIE  9.0)",
    "ip":  "192.168.24.44",
    "request":  "/index.html"
    "response":  {
        "status":  200,
        "bytes":  52353
    },
    "ua":  {
        "os":  "Windows  7"
    }
}
## 引用字段值:
[response][status]
[ua][os]

(5)条件判断condition

if EXPRESSION {
  ...
} else if EXPRESSION {
  ...
} else {
  ...
}

==(等于), !=(不等于), <(小于), >(大于), <=(小于等于), >=(大于等于), =~(匹配正则), !~(不匹配正则)
in(包含), not in(不包含), and(与), or(或), nand(非与), xor(非或)
()(复合表达式), !()(对复合表达式结果取反)

(6)使用环境变量:

## 使用环境变量(如果缺失会报错):
input { 
	tcp { 
		port => "${TCP_PORT}" 
	} 
}
## 使用环境变量(缺失使用默认值):
input { 
	tcp { 
		port => "${TCP_PORT:54321}" 
	} 
}

4. logstash 示例

## input 从标准输入流:
input { stdin { } }

## 输入数据之后 如何进行处理:
filter {
  ## grok:解析元数据插件,这里从input输入进来的所有数据默认都会存放到 "message" 字段中
  ## grok提供很多正则表达式,地址为:http://grokdebug.herokuapp.com/patterns
  ## 比如:%{COMBINEDAPACHELOG} 表示其中一种正则表达式 Apache的表达式
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  ## date:日期格式化
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

## output 从标准输出流:
output {
  elasticsearch { hosts => ["192.168.11.35:9200"] }
  stdout { codec => rubydebug }
}

5. file插件使用

## file插件
input {
    file {
        path => ["/var/log/*.log", "/var/log/message"]
        type => "system"
        start_position => "beginning"
    }
}

其他参数:

  • discover_interval ## 表示每隔多久检测一下文件,默认15秒
  • exclude ## 表示排除那些文件
  • close_older ## 文件超过多长时间没有更新,就关闭监听 默认3600s
  • ignore_older ## 每次检查文件列表 如果有一个文件 最后修改时间超过这个值 那么就忽略文件 86400s
  • sincedb_path ## sincedb保存文件的位置,默认存在home下(/dev/null)
  • sincedb_write_interval ## 每隔多久去记录一次 默认15秒
  • stat_interval ## 每隔多久查询一次文件状态 默认1秒
  • start_position ## 从头开始读取或者从结尾开始读取
     
Java知者
关注
Logstash原理与代码实例讲解
AI天才研究院
06-08 1075
Logstash原理与代码实例讲解 1.背景介绍 在当今数据驱动的世界中,日志数据是一种非常重要的数据源。它包含了系统、应用程序和用户活动的宝贵信息,对于故障排查、安全监控、用户行为分析等场景都具有重要意义。然而,由于日志数据通常是非结构化的、分散的,并且数据量巨大,因此很难对其进行高效的
Logstash语法入门
悦分享
08-19 230
logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被监听的日志文件的读取进度(时间戳),这个sincedb数据文件的默认路径在 /plugins/inputs/file下面,文件名类似于.sincedb_452905a167cf4509fd08acb964fdb20c,而表示logstash插件存储目录,默认是LOGSTASH_HOME/data。
Logstash配置语法
weixin_45880055的博客
08-11 4058
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
1.LogStash入门教程
宇智波带土
05-29 265
首先Logstash需要依赖JDK 1.7+版本,请确认服务器是否安装了正确的JDK并配置了ClassPath。 Logstash提供了一个启动脚本,通过该脚本启动服务。 可以在该文件中配置JAVA_OPTS和LS_JAVA_OPTS配置JVM,JMS(如果想通过JMS监控的话)相关的参数。   下载并启动服务   curl -O https://download.elasticse...
logstash使用教程
weixin_34216196的博客
08-24 2794
一、简单使用 cd logstash_HOME bin/logstash -e 'input { stdin { } } output { stdout {} }' 启动 Logstash 后,再键入 Hello hiekay,结果如下: image.png 在生产环境中,Logstash 的...
Logstash学习-配置语法
dizhengu5338的博客
12-20 224
区段(section) Logstash 用{}来定义区域。区域内可以包括插件区域定义,你可以在一个区域定义多个插件,插件区域内则可以定义键值对设置。 数据类型 Logstash支持少量的数据值类型: bool  debug => true string  host => "localhost" number  port => 80 array  ma...
Logstash常用语法使用介绍
Eric_W_的博客
04-07 944
Logstash常用语法使用样例介绍
3.Logstash配置语法
大勇若怯任卷舒
03-10 2040
3.1 Logstash语法 Logstash 设计了自己的 DSL,基本的语法功能包括有: 区域 注释 数据类型(布尔值,字符串,数值,数组,哈希)  条件判断 字段引用等 3.2 区段(section) Logstash 用 {} 来定义区域。区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。 插件区域内则可以定义键值对设置。示例如下: 3.3 数据类型 Logstash 支持少量的数据值类型: bool debug => true string host
LogStash基础笔记
zhizhong0209的博客
12-05 506
LogStash基础笔记1、LogStash介绍及安装1.1、介绍1.2 、node01机器安装LogStash下载安装包---可以直接将已经下载好的安装包上传到/home/es路径下即可解压1.3、Input插件1.3.1 stdin标准输入和stdout标准输出1.3.2 监控日志文件变化编写脚本检查配置文件是否可用启动服务发送数据其它参数说明1.3.3、jdbc插件第一步:编写脚本第二步:上传mysql连接驱动包到指定路劲第三步:检查配置文件是否可用第四步:启动服务第五步:数据库当中添加数据1.3.4
Logstash入门教程
小识的博客
06-05 1073
参考博客 每次从头读日志 [1]https://blog.csdn.net/jiao_fuyou/article/details/50777816
logstash入门(简单而全面)_curl logstash
最新发布
2401_85599413的博客
06-24 1209
为了确保成功运行Logstash建议大家使用较近期的jre版本。可以获取开源版本的jre在:一旦jre已经成功在你的系统中安装完成,我们就可以继续了。
LogstashLogstash 入门教程 (一)
热门推荐
Elastic 中国社区官方博客
05-07 8万+
Logstash是一个功能强大的工具,可与各种部署集成。 它提供了大量插件,可帮助你解析,丰富,转换和缓冲来自各种来源的数据。 如果你的数据需要Beats中没有的其他处理,则需要将Logstash添加到部署中。 Logstash是Elastic栈非常重要的一部分,但是它不仅仅为Elasticsearch使用。它可以介绍广泛的各种数据源。Logstash可以帮利用它自己的Filter帮我们对......
LogstashLogstash 入门教程 (二)
Elastic 中国社区官方博客
05-08 3万+
这是之前系列文章“LogstashLogstash 入门教程 (一)”的续集。在之前的文章中,我们详细地介绍了Logstash是什么?在今天的文章中,我们将详细介绍如果使用Logstash,并把 Apache Web log导入到 Elasticsearch中。在这篇文章中,我们将触及到如下的过滤器: Grok Geoip Useragent Date Mutate 安装 Elastic.........
Logstash 详细介绍、安装与使用
一个认真学习的女孩子的博客
03-14 9091
Logstash 是一个具有实时管道功能的开源数据收集引擎。Logstash可以动态统一来自不同来源的数据,并将数据规范化到您选择的目标中。为了多样化的高级下游分析和可视化用例,清理和使所有数据平等化。虽然 Logstash 最初在日志收集方面推动了创新,但它的能力远远超出了该用例。任何类型的事件都可以通过广泛的输入、过滤和输出插件进行增强和转换,许多本地编解码器进一步简化了摄入过程。Logstash 通过利用更多的数据量和种类加速您的洞察力。Logstash 到 Elastic Cloud 无服务器。
Logstash使用指南
技术人集结地
11-30 2788
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集中、转换和存储数据是Logstash的典型用法。输入:采集各种样式、大小和来源的数据。
Logstash语法
sunqingok的博客
03-31 2662
1、 区段 {}定义区域 2、 数据类型 1) 希尔值 bool debug=>true 2) 字符串 string host=>”hostname” 3) 数值 number port=>514 4) 数组 array match=>[“datetime”,”linux”,”2020”] 数组支持倒序下标 5) 哈希 hash options =&g...
ELK日志管理之——logstash配置语法
weixin_30457465的博客
11-20 477
Logstash 设计了自己的 DSL —— 有点像 Puppet 的 DSL,或许因为都是用 Ruby 语言写的吧 —— 包括有区域,注释,数据类型(布尔值,字符串,数值,数组,哈希),条件判断,字段引用等。 一、基本语法组成 logstash.conf配置文件里至少需要有input和output两个部分构成 input { #输入 } filter ...
Logstash语法常用案例解析(一)
weixin_34384557的博客
05-25 448
摘要简述logstash的常用插件,以及简单的使用案例一:基础运行建议使用supervisor来管理ELK中的各个组件,方便同一管理安装 https://www.aolens.cn/?p=809 有讲解提供一个常用的配置:[program:logstash] command=/opt/logstash/bin/logstash-f/opt/logstash/co...
ELK实战之logstash部署及基本语法
weixin_33716557的博客
11-12 269
一、logstash的安装 1、logstash介绍 Logstash是一个开源的数据收集引擎,可以水平伸缩,而且logstash是整个ELK当中拥有最多插件的一个组件,其可以接收来自不同源的数据并统一输入到指定的且可以是不同目的地。 logstash收集日志基本流程: input-->codec-->filter-->codec-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值