ELK:Logstash6.7版本配置记录及格式化时间

最新推荐文章于 2024-09-14 10:02:26 发布
最新推荐文章于 2024-09-14 10:02:26 发布
阅读量828 收藏 2
点赞数
分类专栏: ELK 文章标签: logstash timpstamp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slaron/article/details/108984448
版权

一、背景

项目统一升级ELK,原来的版本已经不适配新的集群,需要升级elk版本,升级的过程中很多配置改变,记录下相关操作。

这里只记录logstash的相关配置。

二、相关配置

我们都知道logstash配置文件的主要格式如下

input {
       
}

filter {

}

output {

}

原来项目使用的是2.3.4版本的logstash,升级到新版本后相关的配置发生了改变。

2.3.4版本input

input {
    kafka{
            group_id => "group_id"
            auto_offset_reset => "smallest"
            topic_id => "topic_id "
            zk_connect => "zk地址"
            codec => "json"
    }
}

6.7版本input

input { 
    kafka{
            group_id => "group_id"
            auto_offset_reset => "earliest"
            topics => ["topics"]
            bootstrap_servers => "kafka集群地址"
            codec => "json"
        }

}

6.7版本时区问题

由于需要统一时间解析格式(“yyyy-MM-dd’T’HH:mm:ss.SSS’+08:00’”),所以添加了 timestamp 字段

我们可以参考ruby相关的格式化文档

ruby时间格式化 strftime

Ruby 日期 & 时间(Date & Time)

 code => "event.set('timestamp', event.get('@timestamp').time.localtime.strftime('%Y-%m-%dT%H:%M:%S.%3N%:z'))"

我们可以看到time字段格式化为需要的格式了。
在这里插入图片描述
同时为了解决偏移8小时时区的问题,添加了 index_date 字段,通过gsub将该字段变换为
yyyy.MM.dd格式的显示

        ruby { 
            code => "event.set('index_date', event.get('@timestamp').time.localtime + 8*60*60)" 
        }

在这里插入图片描述
我们看下完整的filter格式

filter {
        
        #增加偏移时区,设置新字段 index_date  
        ruby { 
            code => "event.set('index_date', event.get('@timestamp').time.localtime + 8*60*60)" 
        }

        ruby {
	        code => "event.set('timestamp', event.get('@timestamp').time.localtime.strftime('%Y-%m-%dT%H:%M:%S.%3N%:z'))"
        }
        
        mutate {
            convert => ["index_date", "string"]
            gsub => ["index_date", "T([\S\s]*?Z)", ""]
            gsub => ["index_date", "-", "."]
        }
}

在output中使用上面新生成的field

output {      
	elasticsearch {
                hosts => "127.0.0.1:9200"
                index => "myindex-%{index_date}"
                user => "elastic"
                password => "changeme"
	}

    stdout {
        codec => rubydebug
    }
}

简单的配置就完成了

胖胖的战士
关注
专栏目录
logstash-6.7.0
03-29
Logstash 2019最新版下载。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
Logstash 时间格式
Brave_heart4pzj的博客
05-17 2088
情景: 我这边对接kafka,通过^符号来进行字符串分割 其中, 有个时间字段,但是,时间是14位的数字字符串 类似:20220517162218 于是,我这边需要转换成date类型的,才能在页面上按时间查询 转换成:2022-05-17 14:51:23 代码: mutate{ split => ["message","^"] add_field => { "my_time" => "%{[message][8]}" } } da
日志格式化-logstash grok for openstack T版
最新发布
weixin_43391291的博客
09-14 434
【代码】日志格式化-logstash grok for openstack T版。
logstash 处理各种时间格式
trigfj的博客
11-10 2095
logstash 处理各种时间格式
logstash时间计算和格式化
shen12138的博客
12-04 3399
记录 时间格式:.strftime(’%Y-%m-%d %H:%M:%S.%L’) %L:毫秒 时间计算:code => “event.set(‘timestamp’, (event.get(‘timestamp’).time.localtime - 86060))” input { file { path => "/home/nxlog/test.txt" start_position => "beginning" } } filter{ gr
logstash 中将时间为带T格式的时间
sxf_123456的博客
12-08 3929
将column_time字段时间解析为2015-01-01T01:12:23格式时间,这种格式的时间为 ISO8601标准 filter {     date {         match ["column_time","yyyy-MM-dd'T'HH:mm:ss"]     } }
logstash - 7.17.6.7z 开源的数据收集引擎
10-13
4. **配置灵活性**:Logstash配置文件采用文本格式,易于理解和修改。用户可以根据需求自由组合输入、过滤和输出插件,实现定制的数据流管道。 5. **扩展性**:由于其插件架构,Logstash 容易扩展以适应新的...
ELK栈实战:构建实时日志分析与管理系统
"ELK平台搭建教程,包括Elasticsearch、Logstash和Kibana的介绍及作用,以及如何在CentOS 6.7系统环境下安装这三个组件的2.1.0、2.1.1和4.3.0版本。" ELK平台是一个流行的实时日志分析解决方案,由Elasticsearch、...
ELK-Elasticsearch、Logstash、Kibana部署对接展示
IvyXYW的博客
03-06 626
普通日志服务器 优点:提高安全性 集中存放日志 缺点:对日志的分析困难 ELK日志分析系统 Elasticsearch Logstash Kibana 日志处理步骤 1、将日志进行集中管理 2、将日志格式化Logstash)并输出到Elasticsearch 3、对格式化后的数据进行索引和存储(Elastcsearch) 4、前端数据的展示(Kibana) Elasticsearch 提供一个分布式多用户能力的全文搜索引擎 核心概念 接近实时 集群 索引 索引(库)–>类型(表)–>
elk日志分析系统、elk速成宝典、elk新手晋级大神
11-21
随着时间的发展,ELK栈已经成为Elastic Stack的一部分,而不仅仅是这三个组件。这套系统被广泛应用于收集、存储、搜索、分析和可视来自各种来源的日志数据。 #### 二、Elasticsearch详解 Elasticsearch是一个基于...
ELK日志分析系统概述及部署
稻香的博客
07-11 1686
目录一. ELK概述1. 概述1.1 ElasticSearch1.2 Kiabana1.3 Logstash1.4 Filebeat1.5 filebeat 结合 logstash 带来好处1.6 日志的集中管理 beats 包括四种工具1.7 缓存/消息队列(redis. kafka. RabbitMQ等)1.8 Fluentd2. 完整日志系统的基本特征3. ELK工作原理二. Elasticsearch的介绍1. 接近实时(NRT)2. 集群(cluster)3. 节点(node)4. 索引(i
linux 日志 时间格式,ELK日志时间格式
weixin_32155269的博客
05-02 593
最近在使用elk收集日志的时候,发现日志顺序是错乱的,网上查了下,确实存在这种问题,日志的顺序错乱,会直接导致开发在通过elk查找日志上下文的时候,找不到对应正确的上下文片段,导致开发不能正确的定位问题,我在网上也查看了一些资料,说实话,这方便的资料很少。经过网上资料,再结合自己的测试,最后终于找到了解决方案。就是对es的@timestamp字段重新赋值,把日志的时间字段作为新的数值赋值给@tim...
logstash date插件设置日期格式正确,但是在elasticsearch中一直不是date类型
QYHuiiQ
03-06 2133
[19/Feb/2020:03:53:09 -0500] date{ match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] target => "@http_timestamp" }
ELKlogstash通过配置文件对日志时间格式更改
没枕头我咋睡觉
11-10 1028
input { file { #ModSecurity审计日志的存放位置,请根据实际情况进行修改 path => ["/var/log/modsec_audit.log"] start_position => "beginning" } } filter{ json{ source => "message" remove_field => ["message"] } #以下到filter节点结束的内容,是为了将ModSecurit.
logstash时间@timestamp【或当前时间】转unix_ms毫秒时间
a123147abc的博客
01-20 1868
logstash时间@timestamp【或当前时间】转unix_ms毫秒时间logstash时间@timestamp【或当前时间】转unix_ms毫秒时间logstash时间@timestamp【或当前时间】转unix_ms毫秒时间戳 1. 下边代码是转换@timestamp到unix_ms,其实就是转换成了float乘1000再转成了int。unix_ms_time就是毫秒时间戳的field。 2. 这个语句转的是当前时间 (Time.now.to_f.round(3)*1000).to_i
3. Logstash 网络设备日志;输入-格式化-输出
木棍先生的博客
04-24 1695
================================================================= 1. 日志输入接口 input{ # 输入接口 udp{ #启用UDP协议 type => "syslog" # 类型为syslog host => "100.76.37.69" # 本机对外服务器IP地址 port => 5...
ELK测试 logstash 配置,包含解析时间字段
u011007997的专栏
05-21 1047
input { #使用beats 收集 日志 beats { port => "5044" } } filter { if[fields][logtype]=="access" { grok { match => { "message" => '%{HTTPDATE:logdate}' #...
logstash date插件介绍
weixin_30512785的博客
09-13 412
时间处理(Date) 之前章节已经提过, filters/date 插件可以用来转换你的日志记录中的时间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里 output { if [type] == "zj_frontend_access"{ elasticsearch { ...
Logstash 原理分析/配置文件详解 时间 日期 时区 ip 反斜杠 grok在线地址 类型转换
浮生若梦
10-05 6443
基本配置 Logstash 本身不能建立集群,Filebeat 连接 Logstash 后会自动轮询 Logstash 服务器是否可用,把数据发送到可用的 Logstash 服务器上面去 Logstash 配置,监听5044端口,接收 Filebeat 发送过来的日志,然后利用 grok 对日志过滤,根据不同的日志设置不同的 type,并将日志存储到 Elasticsearch 集群上面 项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值