logstash配置详解

最新推荐文章于 2024-06-24 20:10:19 发布
最新推荐文章于 2024-06-24 20:10:19 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: elk 文章标签: logstash elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuangmu9768/article/details/111060575
版权
logstash配置详解
#logstash pipeline 包含两个必须的元素:input和output,和一个可选元素:filter。从input读取事件源,(经过filter解析和处理之后),从output输出到目标存储库(elasticsearch或其他)
###命令
     bin/logstash [OPTIONS]
        -n	#logstash实例的名称,如果不设置默认为当前的主机名(比如我的主机名为sqczm)。
        -f	#配置文件,我们可以指定一个特定的文件,也可以指定一个特定的目录,如果指定的是特定的目录,则logstash会读取该目录下的所有文本文件,将其在内存中拼接成完整的大配置文件,再去执行。
        -e	#给定的可直接执行的配置内容,也就是说我们可以不指定-f参数,直接把配置文件中的内容作为字符串放到-e参数后面。
        -w	#指定工作线程的个数
        -p	#logstash用来加载插件的目录
        -l	#日志输出文件,如果不设置,logstash将会把日志发送至标准的output
        -t	#检查配置的语法是否正确并退出
        -r	#监视配置文件的变化,并且自动重新加载修改后的配置文件
        -config.reload.interval RELOAD_INTERVAL	#为了检查配置文件是否改变,而去拉取配置文件的频率
        -http.host HTTP_HOST	#Web API绑定的主机,默认为“127.0.0.1”
        -http.port HTTP_PORT	#Web API绑定的端口,默认为9600-9700之间
        -log.format FORMAT	#logstash写它自身日志的时候使用json还是文本格式,默认是“plain”
        -path.settings SETTINGS_DIR	#设置包含logstash.yml配置文件的目录,比如log4j日志配置。也可以设置LS_SETTINGS_DIR环境变量

### stdin 标准输入
### file 从文件读取数据 
    file{
        path => ['/var/log/nginx/access.log']  #要输入的文件路径
        type => 'nginx_access_log'
        start_position => "beginning"
    }
    # path  可以用/var/log/*.log,/var/log/**/*.log,如果是/var/log则是/var/log/*.log
    # type 通用选项. 用于激活过滤器
    # start_position 选择logstash开始读取文件的位置,beginning或者end。
    #还有一些常用的例如:discover_interval,exclude,sincedb_path,sincedb_write_interval等可以参考官网
### syslog 通过网络将系统日志消息读取为事件
    syslog{
        port =>"514" 
        type => "syslog"
    }
    # port 指定监听端口(同时建立TCP/UDP的514端口的监听)
    #从syslogs读取需要实现配置rsyslog:
    # cat /etc/rsyslog.conf   加入一行
    *.* @172.17.128.200:514   #指定日志输入到这个端口,然后logstash监听这个端口,如果有新日志输入则读取
    # service rsyslog restart   #重启日志服务
### beats 从Elastic beats接收事件 
    beats {
        port => 5044   #要监听的端口
    }
    # 还有host等选项
    # 从beat读取需要先配置beat端,从beat输出到logstash。
    # vim /etc/filebeat/filebeat.yml 
        ..........
        output.logstash:
        hosts: ["localhost:5044"]
### kafka  将 kafka topic 中的数据读取为事件
    kafka{
        bootstrap_servers=> "kafka01:9092,kafka02:9092,kafka03:9092"
        topics => ["access_log"]
        group_id => "logstash-file"
        codec => "json"
    }
    kafka{
        bootstrap_servers=> "kafka01:9092,kafka02:9092,kafka03:9092"
        topics => ["weixin_log","user_log"]  
        codec => "json"
    }
    # bootstrap_servers 用于建立群集初始连接的Kafka实例的URL列表。# topics  要订阅的主题列表,kafka topics# group_id 消费者所属组的标识符,默认为logstash。kafka中一个主题的消息将通过相同的方式分发到Logstash的group_id
    # codec 通用选项,用于输入数据的编解码器。

#filter plugin 过滤器插件,对事件执行中间处理
### grok   解析文本并构造 。把非结构化日志数据通过正则解析成结构化和可查询化 .
    #grok 语法:%{SYNTAX:SEMANTIC}   即 %{正则:自定义字段名}
    #多个match匹配规则,如果前面的匹配失败可以使用后面的继续匹配
    grok {
        match => ["message", "%{IP:clientip} - %{USER:user} \[%{HTTPDATE:raw_datetime}\] \"(?:%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion})\" (?:\"%{DATA:body}\" )?(?:\"%{DATA:cookie}\" )?%{NUMBER:response} (?:%{NUMBER:bytes:int}|-) \"%{DATA:referrer}\" \"%{DATA:agent}\" (?:(%{IP:proxy},? ?)*|-|unknown) (?:%{DATA:upstream_addr} |)%{NUMBER:request_time:float} (?:%{NUMBER:upstream_time:float}|-)"]
        match => ["message", "%{IP:clientip} - %{USER:user} \[%{HTTPDATE:raw_datetime}\] \"(?:%{WORD:verb} %{URI:request} HTTP/%{NUMBER:httpversion})\" (?:\"%{DATA:body}\" )?(?:\"%{DATA:cookie}\" )?%{NUMBER:response} (?:%{NUMBER:bytes:int}|-) \"%{DATA:referrer}\" \"%{DATA:agent}\" (?:(%{IP:proxy},? ?)*|-|unknown) (?:%{DATA:upstream_addr} |)%{NUMBER:request_time:float} (?:%{NUMBER:upstream_time:float}|-)"]       
    }
### date   日期解析  解析字段中的日期,然后转存
    date{
        match => ["raw_datetime","YYYY-MM-dd HH:mm:ss,SSS"]
        remove_field =>["raw_datetime"]
    }
### mutate  对字段做处理 重命名、删除、替换和修改字段。
    #covert 类型转换。类型包括:integer,float,integer_eu,float_eu,string和boolean 
    filter{
        mutate{
            covert => ["response","integer","bytes","float"]  #数组的类型转换
            convert => {"message"=>"integer"}
        }
    }
    #split   使用分隔符把字符串分割成数组
    #merge  合并字段  。数组和字符串 ,字符串和字符串
    #rename   对字段重命名
    #remove_field    移除字段
    #join  用分隔符连接数组,如果不是数组则不做处理 

    #gsub  用正则或者字符串替换字段值。仅对字符串有效 
    #update  更新字段。如果字段不存在,则不做处理

    #replace 更新字段。如果字段不存在,则创建
### geoip  根据来自Maxmind GeoLite2数据库的数据添加有关IP地址的地理位置的信息 
### ruby    ruby插件可以执行任意Ruby代码
### urldecode    用于解码被编码的字段,可以解决URL中 中文乱码的问题 
### kv   通过指定分隔符将字符串分割成key/value 
### useragent 添加有关用户代理(如系列,操作系统,版本和设备)的信息
### logstash 比较运算符
  等于:   ==, !=, <, >, <=, >=
  正则:   =~, !~ 
  包含关系:  in, not in
  支持的布尔运算符:and, or, nand, xor
  支持的一元运算符: !
### output plugin  输出插件,将事件发送到特定目标。
    #stdout标准输出。将事件输出到屏幕上 
        output{
            stdout{
                codec => "rubydebug"
            }
        }
    #file将事件写入文件
        file {
           path => "/data/logstash/%{host}/{application}
           codec => line { format => "%{message}"} 
        }
    #kafka  将事件发送到kafka 
        kafka{
            bootstrap_servers => "localhost:9092"
            topic_id => "test_topic"  #必需的设置。生成消息的主题
        }
    #elasticseach  在es中存储日志 
        elasticsearch {
            hosts => "localhost:9200"
            index => "nginx-access-log-%{+YYYY.MM.dd}"  
        }
        #index 事件写入的索引。可以按照日志来创建索引,以便于删旧数据和按时间来搜索日志
shuangmu9768
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash 配置
桃花惜春风
01-16 2538
文章目录课前三分钟配置文件settings配置 课前三分钟 配置文件 Logstash配置文件分为两种: settings配置文件,主要是配置Logstash启动相关配置和一些资源上的配置。 pipeline配置文件,主要就是我们自行创建的,以.conf结尾的文件,用于配置数据的输入输出。 settings配置 Logstash主要包含一下几个配置文件: logstash.yml Log...
logstash配置文件说明
大团猿的博客
10-28 1676
logstash配置语句详解 logstash配置文件包含三个配置部分,分别为:input{}、filter{}、output{}。 {} 定义区域,区域内可以定义一个或多个插件,通过插件对数据进行收集,加工处理,输出。 数据类型: 布尔值类型: ssl_enable => true 字节类型: bytes => “1MiB” 字符串类型: name => “xkops” 数值类型: port => 22 数组: match => [“datetime”,“UNIX”] 哈希
logstash配置语法
Baron_ND的博客
10-29 1717
logstash pipeline 包含两个必须的元素:input和output,和一个可选元素:filter。 从input读取事件源,(经过filter解析和处理之后),从output输出到目标存储库(elasticsearch或其他)。 在生产环境使用logstash,一般使用都将配置写入文件里面,然后启动logstash。 具体参照官网:https://www.elastic.co/guide/en/logstash/7.1/index.html 处理nginx日志 # v...
logstash使用
Hanyinh的博客
11-07 2694
点击下载logstash logstash介绍 一、简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地 二、使用 把下载的文件放到随便一个目录下,然后解压 用命令行进行配置,然后实现logstash功能 在路径\bin下打开命令窗口,输入命令
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_85599426的博客
06-24 428
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!message解析后得到的键值对数据。[外链图片转存中…(img-9GvDKst5-1719231007414)][外链图片转存中…(img-aGnbao1M-1719231007414)]
logstash服务安装
weixin_44835704的博客
06-07 2840
1.资源下载 wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.2.tar.gz 解压服务安装包 2、解压服务安装包 tar -zxvf logstash-7.4.2.tar.gz 3、创建 logstash.conf 由于 logstash 启动的时候必须指定相应的配置文件,因此需要创建一个 logstash配置文件。 本文档是将 logstash 服务自身的 logstash-sample.conf进行复制并在此基础
logstash-启动
大帅的博客
08-26 3万+
logstash依赖于JDK,所以需要先安装JAVA_HOME环境变量 安装路径需要注意,不能含有冒号(:)
Logstash 详细介绍、安装与使用
一个认真学习的女孩子的博客
03-14 4604
Logstash 是一个具有实时管道功能的开源数据收集引擎。Logstash可以动态统一来自不同来源的数据,并将数据规范化到您选择的目标中。为了多样化的高级下游分析和可视化用例,清理和使所有数据平等化。虽然 Logstash 最初在日志收集方面推动了创新,但它的能力远远超出了该用例。任何类型的事件都可以通过广泛的输入、过滤和输出插件进行增强和转换,许多本地编解码器进一步简化了摄入过程。Logstash 通过利用更多的数据量和种类加速您的洞察力。Logstash 到 Elastic Cloud 无服务器。
LogstashLogstash 入门教程 (二)
Elastic 中国社区官方博客
05-08 3万+
这是之前系列文章“LogstashLogstash 入门教程 (一)”的续集。在之前的文章中,我们详细地介绍了Logstash是什么?在今天的文章中,我们将详细介绍如果使用Logstash,并把 Apache Web log导入到 Elasticsearch中。在这篇文章中,我们将触及到如下的过滤器: Grok Geoip Useragent Date Mutate 安装 Elastic.........
logstash设置端口密码
leveretz的博客
11-25 2057
logstash设置端口密码
Logstash配置详解
u012017645的专栏
10-17 2万+
Logstash配置详解
logstashlogstash monitor
wyz0516071128的博客
11-12 3314
logstash 提供了四种api用于监控: Node Info API Plugins Info API Node Stats API Hot Threads API 在logstash启动后,我们可以通过访问9600端口,curl -XGET 'localhost:9600/?pretty',获取logstash的基本信息。 { "host": "logstash.1", ...
ELKLogstash配置和用法
浮尘笔记
08-22 2199
Logstash配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
ELK安装、部署、调试(六) logstash的安装和配置
ly4983的专栏
08-30 1744
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。管道(Logstash Pipeline)是Logstash中独立的运行单元,每个管道都包含两个必须的元素输入(input)和输出(output),和一个可选的元素过滤器(filter),事件处理管道负责协调它们的执行。
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
Logstash的介绍、原理、优缺点、使用、持久化到磁盘、性能测试
u010739163的博客
08-24 2万+
一、ELK介绍 对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELKStack,所以说ELKStack指的是Elasticsearch、Logstash、Kibana技术栈的结合。 二、Logstash简介 Logstash 是一款...
ELK安装、部署、调试 (八)logstash配置语法详解
ly4983的专栏
09-01 1354
于.sincedb_234534534sdfgsfd23,<path.data>为logstash的插件存储目录默认是LOGSTASH_HOME/data实验一:本机/var/log/secure为输入日志,标准输出。nohup /usr/local/logstash/bin/logstash -f /usr/local/logstash/2logstash-1.conf &4.查看。**********************************************实验四:读取tcp网络数据。
Logstash核心配置详解: 面对繁杂的Logstash配置,这份文档一定能让您少走弯路
禅与计算机程序设计艺术
09-19 5992
本文将详细解读并逐步配置Logstash核心组件,从而保障日志数据采集、清洗、加工、分析的完整链路。由于业务需求的不断变化和复杂性的增加,日志采集、清洗、处理成为企业运维效率中最耗时的环节之一。很多企业为了解决这个痛点,都选择了开源日志收集工具如Elastic Stack,其灵活高效的架构可以满足各个公司不同场景下的日志采集、存储、查询需求。在配置Logstash时,要注意它的核心组件配置,其中的pipeline模块非常重要,其次还有input、filter、output三部分构成。
logstash配置中\s是什么意思
07-28
- *1* *2* *3* [Logstash配置详解](https://blog.csdn.net/u012017645/article/details/127319892)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值