ELK学习笔记(二)【原创】

最新推荐文章于 2021-12-11 09:19:32 发布
最新推荐文章于 2021-12-11 09:19:32 发布
阅读量127 收藏
点赞数
分类专栏: 监控 文章标签: ELK logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suifeng201/article/details/84882830
版权
在[url=http://zhenggm.iteye.com/admin/blogs/2336814]ELK学习笔记(一)【原创】[/url]中,介绍了Logstash的入门,本文再对Logstash进行分析,并将日志导入ES中。
[b]1. input[/b]
input 有很多种, 如stdin, file, log4j 等。这里只着重分析file, 下次在分析log4j. 

input{
  file {
		codec => multiline {
			 pattern => "^\["
			 negate => true
			 what => "previous"
			 charset => "UTF-8"		
		}
    path => ["/usr/local/apache-tomcat-gtw/logs/catalina.*"]
    start_position => "beginning"
    discover_interval => 2
    sincedb_path => "/usr/share/logstash/conf/logstash_gateway/config/tomcat_sincedb.txt"
		sincedb_write_interval => 2
  }
}

codec 使用多行模式分割日志
path 日志路径
start_position 表示从头开始
discover_interval 每两秒去扫描文件夹是否有日志文件变化
sincedb_path 记录日志读取到第几行
sincedb_write_interval 每两秒记录一次位置信息

[b]2. filter[/b]
上一篇中在filter中主要采用split对日志进行解析, 这一篇主要采用json模板来进行匹配。 

filter {
   mutate{  
        gsub => [ "message", "\[", "" ]  
        gsub => [ "message", "]", "" ]  
        remove_field => [ "@version" ] 
   }
   grok {
       	patterns_dir => "/usr/share/logstash/conf/logstash_gateway/logstash-patterns"
       	match => {
			"message" => "%{DATETIME:datetime} %{APP:app} %{LOGLEVEL:level} %{JAVACLASS:class} %{METHOD:method}"
		}
	}
	if [level] == 'DEBUG' {
                mutate {
                        replace => ["level_code",1000]
			convert => { 
				"level_code" => "integer" 
			}
                }
        }
	if [level] == 'INFO' {
		mutate {
			replace => ["level_code",2000]
			convert => { 
				"level_code" => "integer" 
			}
		}
	}
	if [level] == 'WARN' {
                mutate {
                        replace => ["level_code",3000]
			convert => { 
				"level_code" => "integer" 
			}            
                }               
        }    
	if [level] == 'ERROR' {
                mutate {
                        replace => ["level_code",4000]  
			convert => { 
				"level_code" => "integer" 
			}                
                }               
        }    
}

gsub 是对message中的[]进行替换,因为[是用来多行匹配的,在日志中实际没作用。
remove_field 移除不需要的字段 @Version字段是logstash自动加的,不需要
grok 采用正则对日志进行匹配
patterns_dir 正则表达式文件路径
%{DATETIME:datetime} 表示第一个字段是时间类型,转化为datetime field。
%{APP:app} 表示第二个字段是APP类型(自定义正则),转化为app field. 以下类推
后面是根据日志级别,定义level_code以便报表统计

[b]3.output[/b]
分别输出到ES和控制台 

output {
	elasticsearch {
      		hosts => ["192.168.3.140"]
		index => "gateway"
		template => '/usr/share/logstash/conf/logstash_gateway/template/logstash-gateway.json'
		template_name => 'logstash-gateway'
		template_overwrite => true
		flush_size => 20000
                idle_flush_time => 10
   	}
	stdout{
		codec => rubydebug
		codec => plain{charset=>"UTF-8"}
	}
}

hosts 搜索引擎地址
index 索引名称
template 模板文件
template_name 模板文件中的模板名称
template_overwrite 设为true,当模板变更时可以更新
flush_size 每次20000再新增索引
idle_flush_time 超过10s,如果还没到达20000也刷新索引
suifeng201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK学习笔记(六)【原创
05-01
NULL 博文链接:https://zhenggm.iteye.com/blog/2405156
ELK学习笔记
Hing-Zhang的博客
03-11 278
ELK 官网: https://www.elastic.co/cn/elasticsearch/ ElasticSearch 安装JDK # 查看有哪些版本可安装 yum search java | grep openjdk # 安装openjdk1.8(推荐安装1.8和openjdk11) sudo yum install java-1.8.0-openjdk* #注:暂时不需要配置环境变量 #配置环境变量 打开/etc/profile,添加如下信息,下面 JAVA_HOME,JRE_HOME 为自
elk 学习笔记
lepton126的专栏
03-30 467
学习笔记,零散,主要是操作过程elasticsearch logstash kafka kibana1、73,74,75,75scp clusteruser@192.168.104.73:/home/clusteruser/opt/jdk-8u151-linux-x64.tar.gz /home/clusteruser/opt$ pwd/home/clusteruser/opt tar -zxvf...
ELK学习笔记1
08-08
ELK学习笔记1
00_ELK阅读笔记1
最新发布
08-08
ELK阅读笔记1】- Logstash 日志处理配置详解 Logstash 是 Elastic Stack(ELK Stack)中的重要组件,负责收集、解析、过滤和转发各种日志数据。本笔记主要探讨基于 Logstash 的日志处理配置语法以及相关知识点。 ...
ELK学习视频.zip
07-05
这个"ELK学习视频.zip"压缩包包含了一系列教程,帮助用户从零开始搭建和配置一个完整的ELK环境,并结合CentOS7、Nginx、MySQL进行实践操作。 1. **CentOS7**:CentOS是一款基于RHEL(Red Hat Enterprise Linux)的...
ELK详细搭建及使用笔记word文档
11-15
ELK详细搭建及使用笔记word文档,包含所需文件下载地址。通过ELK(ElasticSearch + LogStash + Kibana = ELKStack),轻松几步搭建ELK环境,对数据进行实时监控和分析。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Elasticsearch是一个高度可扩展的开源全文搜索和分析引擎。它允许您快速,近实时地存储,搜索和分析大量数据。它通常用作支持具有复杂搜索功能和需求的应用程序的底层引擎/技术。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。 Kibana:Web前端,可以将ElasticSearch检索后的日志转化为各种图表,为用户提供数据可视化支持。
[elk] elk 学习笔记
fzbbw的博客
09-01 288
[elk] elk学习笔记(1)一、elasticsearch学习新11变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导...
ELK平台学习笔记
小陈工的博客
12-11 444
一、ELK平台 1.1概念: ELK是由ElasticSearch、Logstash和Kiabana三个开源工具组成的开源实时日志分析平台 1.2 ELK的工作原理: 1.3解析:Logstash收集AppServer产生的Log,并存放到ElasticSearch集群中,而Kibana则从ES集群中查询数据生成图表,再返回给Browser。 、Elasticsearch 2.1概念:Elasticsearch 是一个分布式可扩展的实时搜索和分析引擎 2.2存储数据结构: ...
ELK学习笔记(三)
赵客缦胡缨,吴钩霜雪明。银鞍照白马,飒沓如流星。
08-26 138
ELK学习笔记(三)(本文是在Linux环境下进行) 经过在windows环境下的运行(配置logstash时真的很困难,改了一次又一次),今天是在Linux下的测试环境下进行实战。今天的流程如下: filebeat => logstash => elasticsearch => kibana 首先声明的是,我们的测试环境下的这些组件都是下载解压好的,可以直接使用,没有配置好的...
ELK学习笔记(一)【原创
未觉池塘青草梦,阶前梧叶已秋声
11-09 142
最近在做日志系统的选型,最终选择ELK来做应用日志监控。 ELK 是 elastic公司的三个产品集合, 分别指 ES, Logstash, Kibana。目前ELK版本为5.0.0, 需要jdk1.8支持。 logstash采集采用input,中间用filter处理,然后output。 input可以控制台输入,也可以日志文件导入,也可以端口监听输入。 output可以输出到控制台,re...
史上最全ELK搭建笔记-持续更新
进阶的小橙子
12-05 1529
首先就是下载 elasticsearch,kibana,logstash对应的版本,最好版本一致,建议在 Linux 环境下搭建 建议大家安装最先版本的软件,比如我的es,logstash,kibana都是最新版本6.5.1,且版本一致,最新版都是自带x-pack的 1- elasticsearch 下载地址,戳开就是 2- logstash 下载地址,戳开就是 3- kibana 下载地...
ELK日志框架搭建及实现笔记
初学者乐园的博客
09-05 1027
logstash配置及启动 进入到安装目录logstash-6.0.0/bin下,测试是否安装成功 ./logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}' 临时启动: ./logstash -f ../config/logstash.conf 永久启动: nohup ./logstash -f ../conf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值