ELK生态:Logstash增量读取log文件数据,导入到Elasticsearch

最新推荐文章于 2023-06-11 21:52:11 发布
最新推荐文章于 2023-06-11 21:52:11 发布
阅读量500 收藏
点赞数
分类专栏: logstash 文章标签: logstash
原文链接:https://blog.csdn.net/alan_liuyue/article/details/92582101
版权

简介
ELK生态之Logstash导入数据到Elasticsearch;
数据源:log格式文件,内容为log日志;
Elasticsearch和Logstash版本:5.6.1;
前提环境:Elasticsearch单机或集群;Logstash客户端;
实践
log文件内容:
01-Apr-2019 08:17:04.787 SEVERE [ajp-nio-8009-exec-7] org.apache.coyote.ajp.AjpMessage.processHeader Invalid message received with signature [5635]
01-Apr-2019 08:17:05.704 SEVERE [ajp-nio-8009-exec-9] org.apache.coyote.ajp.AjpMessage.processHeader Invalid message received with signature [18245]
01-Apr-2019 11:20:36.635 INFO [http-nio-8080-exec-6] org.apache.coyote.http11.Http11Processor.service Error parsing HTTP request header
 Note: further occurrences of HTTP request parsing errors will be logged at DEBUG level.
 java.lang.IllegalArgumentException: Invalid character found in method name. HTTP method names must be tokens
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:410)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:291)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:754)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1376)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:748)
 
 

log文件内容:
#读取log文件
input{
  file{
        #设置log文件路径,多个文件路径可设置成数组[],模糊匹配用*
        #指定单一文件
        path => "/data/es/logstash-5.6.1/files/test.log"
        #指定数组文件
        #path => ["/data/es/logstash-5.6.1/files/test-1.log","/data/es/logstash-5.6.1/files/test-2.log"]
        #指定同级目录模糊匹配
        #path => "/data/es/logstash-5.6.1/files/test*.log"
        #指定多级目录模糊匹配
        #path => "/data/es/logstash-5.6.1/files/**/test*.log"
      
        #可设置成begining或end,begining表示从头开始读取文件,end表示读取最新数据,可和ignore_older一起使用
        #begining只针对首次启动是否需要读取所有的历史数据,而当文件修改了之后,同样会自动增量更新新数据
        start_position =>"beginning"
      
        #设置输入规则
        codec => multiline {
            #利用正则匹配规则,匹配每一行开始的位置,这里匹配每一行开始的位置为数字
            pattern => "^[0-9]"
     
            #true表示不匹配正则表达式,false为匹配正则表达式,默认false
            #如果不匹配,则会结合what参数,进行合并操作
            negate => true
            
            #what可设置previous和next,previous则表示将所有不匹配的数据都合并到上一个正则事件
            #而next则相反,将所有的不匹配的数据都合并到下一个正则事件
            what => "previous"
 
            #表示当多长时间没有新的数据,最后一个正则匹配积累的多行数据都归属为最后一个事件,这里的10表示10秒
            #auto_flush_interval => 10
       }
       
       #当存在多个文件的时候可使用type指定输入输出路径
       type=>"log_index"
       
  }
}
    
#输出log文件
output{
    #输出控制台
    stdout {
        #codec => json
    }
    
    #输出到es
    if[type] == "log_index"{
        elasticsearch{
            hosts=>["127.0.0.1:9200"]
            
            #以当前的日期作为index和type
            index=>"log-%{+YYYY.MM.dd}"
            document_type=>"log-%{+YYYY.MM.dd}"
            
            #覆盖模板,不需要可注释掉,通用模板下载:https://download.csdn.net/download/alan_liuyue/11241484
            #template_overwrite=>true
            #template=>"/data/es/logstash-5.6.1/template/logstash.json"
        }
    }
}
 

补充file-input字段说明:
codec => #可选项,默认是plain,可设置其他编码方式;
 
discover_interval => #可选项,logstash多久检查一下path下有新文件,默认15s;
 
exclude => #可选项,排除path下不想监听的文件;
 
sincedb_path => #可选项,记录文件以及文件读取信息位置的数据文件;
 
sincedb_write_interval => #可选项,logstash多久写一次sincedb文件,默认15s;
 
stat_interval => #可选项,logstash多久检查一次被监听文件的变化,默认1s;
 
start_position => #可选项,表示从哪个位置读取文件数据,初次导入为:beginning,最新数据为:end
 
path => #必选项,配置文件路径,可定义多个,也可模糊匹配;
 
tags => #可选项,在数据处理过程中,由具体的插件来添加或者删除的标记;
 
type => #可选项,当有多个file的时候,可用于一对一匹配输入或者输出;
 

注意事项
logstash启动之后,进程会一直处于运行状态,若log文件被修改,程序会自动监听,导入新数据;
若需要重新导入数据,则需要删除logstash安装目录下 \plugins\inputs\file 下的文件(该文件属于隐藏文件),所以直接删除该目录即可,之后目录会重新生成;
如果使用了模板覆盖,需要将模板的message字段设置成分词,否则无法有效进行分词全局搜索;
总结
Logstash读取log文件内容导入Elasticsearch,可以实时将日志保存以及展示,达到快速搜索日志的效果;
实践是检验认识真理性的唯一标准,自己动手丰衣足食~
————————————————
版权声明:本文为CSDN博主「尘光掠影」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/alan_liuyue/article/details/92582101

read_you2011
关注
专栏目录
ELK -- es + kibana + logstash 读取配置mysql数据增量分析
qq_43539962的博客
05-31 433
es + kibana + logstash 读取配置mysql数据增量分析logstash镜像拉取配置去kibana看数据 ElasticSearch和kibana的docker安装配置上一个笔记有详细安装 链接: ELK – es+kibana+fileBeat读取Nginx日志文件分析 logstash镜像拉取 docker pull logstash:7.6.2 配置 先启动镜像 docker run -it -d logstash:7.6.2 把镜像文件拷贝出来 docker cp 1c
ELK:对于docker使用logstash收集nginx日志到elasticsearch的步骤小结
qq_40673345的博客
12-19 2674
基于CentOs7 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:ElasticsearchLogstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
ELK生态Logstash增量读取csv文件数据导入Elasticsearch
alan_liuyue的博客
06-14 5306
简介 ELK生态Logstash导入数据Elasticsearch数据源:csv格式文件ElasticsearchLogstash版本:5.6.1; 前提环境:Elasticsearch单机或集群;Logstash客户端; 实践 csv文件内容: "sixmonth","23","男","1998/6/3 18:31:46" "xiaoming","23","男","19...
logstash增量读取mysql中的数据到es中
weixin_33720078的博客
12-03 956
在工作中,需要把mysql中的数据写入到es中进行分析;官方文档:https://www.elastic.co/guide/en/logstash/6.3/plugins-inputs-jdbc.html下面是配置方法:input{ jdbc{ #数据库驱动路径 jdbc_driver_library=>"/data/my...
logstash直接获取日志
玄鼎工作室
07-27 825
input { file { type => “java-log” path => “/opt/elk-example.log” codec => multiline { pattern => “^%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{TIME}.*” negate => “true” what => “previous” } start_position => “beginning” } } filter { grok{ match
logstash安装以及简单读取文件功能
weixin_42324319的博客
09-20 1701
Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。 上传logstash并解压缩 tar -zxvf logstash-7.3.1.tar.gz 编辑配置文件 vi test.conf input { #标准输入 stdin { #通用选项,用于输入数据的编解码器 codec => plai...
logstash实现日志文件同步到elasticsearch深入详解
qq_43679873的博客
01-17 597
logstash实现日志文件同步到elasticsearch深入详解
企业运维实战--ELK日志分析平台之logstash数据采集
Rabbit_hyl的博客
08-14 556
企业运维实战--ELK日志分析平台之logstash数据采集前言--logstash简介logstash数据采集安装日志采集输出插件 前言–logstash简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 logstash数据采集 安装 rpm -ivh jdk-8u171-linux-x64.rpm rpm -ivh logstash-7.6.1.rpm 日志采集输出插件 命令行数据采集并显示
ELK-(elasticsearch+logstash+kibana)环境搭建
bryce·loski
09-11 9340
# 环境:elasticsearch 2.4.6,kibana4.6.1 ,logstash2.4.0 机器虚拟机IP为:192.168.75.6 安装elasticsearch 更改config目录下的 elasticsearch.yml #集群名称,如果有多个集群,那么每个集群名就得是唯一的 cluster.name: my.elk #节点名称 node.name: node-192.168.75.6 #该节点是否是master,true表示是的,false表示否,默认是true node.master
Logstash读取指定日志并在屏幕输出
小白
05-26 3739
【1】跳转到logstash的根目录 cd /root/logstash-6.3.2 【2】新建一个conf配置文件 vi logstash.conf input { file { path => "/root/logstash-6.3.2/logs/test.log" start_position => "beginning" } } output { stdout { codec => rubydebug } } 【3】在新
通过logstash导入日志分析-ELK
LMC技术人生专栏
09-04 1709
因为要对日志进行日常分析,排查一些线上问题,日志文件又特别大,采用这种配置方式导入,再进行可视化相当 方便 下面贴出导入日志的配置,只是简单的导入,对于mapping类型的定义,还有过滤的条件插件都 没有安装,后续会安装一些常用插件,让数据导入更有含义些,还有包括经纬度,IP地址,时间格式,等都 可以自己去定义   代码如下 , 日志输出格式自己修改下 input { file { ...
elk文件
weixin_33810006的博客
01-26 372
=================正则匹配 [root@web02 conf.d]# cat apache-grok.conf input{ file { path => "/var/log/httpd/access_log" type => "apache_access.log" start_position => "beginni...
elk之手动导入数据
高新富的博客
04-10 761
参考地址 https://www.elastic.co/guide/cn/kibana/current/tutorial-load-dataset.html
logstash日志分析的配置和使用
weixin_33840661的博客
02-01 665
logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的...
logstash使用总结
最新发布
csdncjh的博客
06-11 4115
如下实现了取@timestamp的天,动态创建index索引以itemId字段作为索引idlush_size和两个参数共同控制 LogstashElasticsearch 发送批量数据的行为。以上面示例来说:Logstash 会努力攒到 5条数据一次性发送出去,但是如果 5秒钟内也没攒够 5条,Logstash 还是会以当前攒到的数据量发一次。flush_size的大小不能超过 Logstash 运行时的命令行参数设置的batch_size,否则将以batch_size为批量发送的大小。
Logstash日志同步工具
weixin_44848382的博客
12-06 1190
Logstash日志同步工具安装logstash配置logstash配置文件介绍sincedb数据文件功能介绍漏掉的日志文件如何读取logstash从头读取某个日志文件的方法sincedb参数说明: 安装logstash 如果有yum源可以直接安装 yum install logstash -y 如果没有yum源,可以官方下载相关软件包https://www.elastic.co/cn/downloads/logstash 配置logstash 配置文件介绍 配置文件:/etc/logstash/co
ELK详解(八)——Logstash收集系统日志实战
永远是少年
04-05 7016
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集系统日志。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
ELK数据批量导入、查询)
weixin_40018205的博客
07-30 4802
ELK 是一个实时分布式的日志分析平台    ELK 是一整套的解决方案    (E)lasticsearch  --  数据库    (L)ogstash        --  收集日志、标准化的程序    (K)ibana            --  图形的展示工具 [root@kibana ~]# gzip -d '/root/桌面/shakespeare.json.gz' gzip...
ELK Stack入门:Logstash数据处理与Elasticsearch集成
Logstash则是一款强大的数据处理管道工具,它可以收集来自各种来源的数据(如系统日志、网络设备等),然后通过过滤器进行清洗、转换,最后将处理后的数据发送到Elasticsearch或其他目标。Logstash的工作流程由输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值