elk 之logstach管道用法

最新推荐文章于 2023-10-17 08:00:00 发布
最新推荐文章于 2023-10-17 08:00:00 发布
阅读量251 收藏
点赞数
分类专栏: ELK logstach 文章标签: elk elasticsearch 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunboychenll/article/details/108811352
版权
启动 Logstash
Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 logstash 不行,
需要按如下方式提供参数 :
./logstash -e "input {stdin {}} output {stdout{}}"

bin目录下

1: ./logstash -e "input {stdin {}} output {stdout{}}"

主要是输入和过滤 及 输出流程

例子2:

./bin/logstash -e "input {stdin {}} output {stdout{codec => plain}}"

2:通过定义conf文件来执行:

input { stdin { } }
filter {
    grok {
        match => {
                "message" => "%{WORD:request}\?client=%{WORD:client}&areaCode=%{NUMBER:area}&netWorkId=%{NUMBER:net}"
        }
        remove_field => ["message"]
    }
}
output { stdout {} }
 

1:一个是删除lock,一个是删除上次的偏移量

操作之前 ,删除.lock

std_es.conf 如下:

input { 
    stdin { } 
}
output { 
elasticsearch { 
   hosts => ["http://121.40.42.216:9200"] 
   index => "mystdin" 
   user => "elastic" 
   password => "elasticCll" } 
}

注:会自动创建索引

参考网址1:



ELK快速入门(二)通过logstash收集日志 - 别来无恙- - 博客园

logstash收集tomcat日志

参考网址2:logstash采集日志_木子金丰的博客-CSDN博客_logstash日志收集

grok表达式 参考 Grok常用表达式_zhangsaho的博客-CSDN博客_grok表达式

input {
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/logs/catalina.2019-07-18.log"
	codec => plain{ charset => "GBK" }
	type => "tomcat-catalina"
  }
  
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/log/disconf-log4j.log"
	type => "disconf-log4j"
	#多行日志合并
	codec => multiline{
      negate => true  #是否匹配到
      pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3})" #匹配的正则
      what => "previous" #将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
	}
  }
}

#从采集的数据处理
filter{
	grok{
		match => {"message" => "(?<logdatetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})"}
		remove_field => "logdatetime"
		add_field =>{
            "from" => "lifeng"
        }
	}
	date{
        match => ["logdatetime", "yyyy-MM-dd HH:mm:ss,SSS"]   #这里是如果datetime跟后面的格式匹配上了就会去替换,替换什么呢?target默认指的就是@timestamp,所以就是以datetime的时间更新@timestamp的时间
		target => "@timestamp"
	}
}


output{
	if[type] == "tomcat-catalina"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "tomcat-catalina-%{+YYYY.MM.dd}" #索引名称
			document_type => "tomcat-catalina" #type
		} 
	}
	
	if[type] == "disconf-log4j"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "disconf-log4j-%{+YYYY.MM.dd}" #索引名称
			document_type => "disconf-log4j" #type
		} 
	}
	
	stdout{

	}
}

Grok表达式

55.3.244.1 GET /index.html 15824 0.043

%{IP:client}\s*%{WORD:method}\s*%{URIPATHPARAM:request}\s*%{NUMBER:bytes}\s*%{NUMBER:duration}

 结果如下

127.0.0.1 - - [03/Nov/2021:15:47:20 +0800] "POST /ewj_market/admin/MarketAccountLog/Com_list.action HTTP/1.1" 200 26205


grok表达式1
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{POSINT:status}\s*%{POSINT:port}

grok表达式2
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{INT:status}\s*%{POSINT:port}



127.0.0.1 - - [03/Nov/2021:15:47:21 +0800] "GET /ewj_market/common_res/js/base64UTF8.js?_=1635925641868 HTTP/1.1" 200 3005

grok表达式
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{POSINT:status}\s*%{POSINT:port}

 

 

sunboychenll
关注
专栏目录
【微服务】springboot集成ELK使用详解
congge
01-28 1万+
springboot集成ELK使用详解
docker搭建简单elk日志系统5(logstash管道配置文件logstash.conf)
weixin_44835704的博客
04-24 1353
造成这个现象的原因是:@timestamp字段是filebeat收集日志的时间,但是filebeat收集日志并不是应用产生一条日志就收集一条,而是一批一批收集的,也就是最上面两条日志是同一批次收集的,es并不能区分同一批里面日志的先后顺序;而日志里面的时间才是日志真实产生的时间,@timestamp只是收集日志的时间;设置数据流主要是方便设置索引的生命周期,日志会不断地产生,但是磁盘确实有限的资源,所以需要给索引设置生命周期,自动删除那些老旧的日志,为新的日志腾出空间;同logstash.yml中的配置。
elk7.7.1【系列十一】logstash声明多个管道
qq_29384639的博客
09-24 339
默认logstash只有一个管道,当conf.d下有多个配置文件时,其实走的都是一个管道,针对不同业务场景,需要配置不同管道进行数据流通。 vim /etc/logstash/pipelines.yml - pipeline.id: conf1 path.config: "/etc/logstash/conf.d/conf1.conf" - pipeline.id: conf2 path.config: "/etc/logstash/conf.d/conf2.conf" 这样不同业务之间
ELK安装、部署、调试(六) logstash的安装和配置
ly4983的专栏
08-30 1776
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。管道Logstash Pipeline)是Logstash中独立的运行单元,每个管道都包含两个必须的元素输入(input)和输出(output),和一个可选的元素过滤器(filter),事件处理管道负责协调它们的执行。
elk处理基础数据_使用ELK堆栈和Ruby构建数据处理管道
cuml0912的博客
07-02 288
elk处理基础数据 应用程序日志通常包含有价值的数据。 我们如何及时,经济地提取这些数据? 作为一个示例应用程序,我们将讨论一个多租户系统,在该系统中我们通过子域托管多个站点。 日志文件中的URL包含路径(/api, /search, etc)和参数(?foo=bar) 。 如果我们不想使用ELK ,则可以使用API​​构建不同的数据处理管道来接收消息,将消息放入队列中,然后由工作人员处理数...
Logstach入门
wuychn
06-16 682
一、下载安装 下载地址:https://www.elastic.co/cn/downloads/past-releases#logstash。下载完成后直接解压即可。 二、Hello World 1、创建配置文件 logstash.conf: input { stdin { } } output { elasticsearch { hosts => ["localhost:92...
Spring Boot 使用 logback、logstashELK 记录日志文件的方法
08-28
Spring Boot 使用 logback、logstashELK 记录日志文件的方法 Spring Boot 是一个基于 Java 的框架,用于构建可靠的、可维护的、灵活的 web 应用程序。在日志记录方面,Spring Boot 默认使用 logback 记录日志,...
ELK之GEOIP数据库包
03-21
在IT领域,ELKElasticsearchLogstash、Kibana)是一个广泛使用的日志分析和可视化套件。这个组合使得数据收集、处理、存储和展示变得简单且高效。当我们谈论“ELK之GEOIP数据库包”,我们指的是一个增强ELK功能...
ELK 资料ELK 资料ELK 资料ELK 资料ELK 资料ELK 资料
11-01
"ELK 资料总结" ELKElasticSearchLogstash、Kibana)是一款功能强大且广泛应用的数据分析、搜索和可视化工具集,下面是 ELK 的知识点总结: 一、搜索的介绍 搜索是指通过一定手段来检索到我们需要的信息,...
使用Docker搭建ELK日志系统的方法示例
01-10
以下安装都是以 ~/ 目录作为安装根目录。 ElasticSearch 下载镜像: $ sudo docker pull elasticsearch:5.5.0 ...特别注意的是如果使用v6以上版本会出现jdk的错误,我们查看日志 $ docker logs -f myes
Logstash部署与使用
qq_19283249的博客
06-04 8326
Logstash是一个收集与处理数据的引擎,就像ElasticSearch是专门用来检索的引擎一样,Logstash用于收集、处理和转换各种数据源(文件、数据库、网站等)的数据,并将其转换为统一的格式。Logstash支持多种插件,进行数据过滤、转换和输出,可以方便地与 ES 和 Kibana 集成使用。还支持多线程处理和事件模型,可以在大规模数据处理场景下提供高性能、高可用的服务。
logstash快速入门
热门推荐
wp500的专栏
11-13 4万+
简介 Logstash是一个接收,处理,转发日志的工具。支持系统日志,webserver日志,错误日志,应用日志,总之包括所有可以抛出来的日志类型。怎么样听起来挺厉害的吧? 在一个典型的使用场景下(ELK):用Elasticsearch作为后台数据的存储,kibana用来前端的报表展示。Logstash在其过程中担任搬运工的角色,它为数据存储,报表查询和日志解析创建了一个功能强大的管道
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
最新发布
栗筝i的博客
10-17 4669
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2292
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
LogStash 简介
Fisher3652的博客
03-13 1万+
目录1. 概述2. 体系结构2.1 插件2.2 事件2.2.1 访问事件属性2.2.2 事件 API2.3 队列2.3.1 持久化队列2.3.2 死信队列3. 管道配置3.1 主管道配置3.2 单管道配置3.3 多管道配置4. 编解码器插件4.1 plain 插件4.2 line 编解码器4.3 json 编解码器4.4 序列化编解码器5. 输入输出插件5.1 stdin 输入插件和 stdout 插件5.2 elasticsearch 插件5.3 文件插件5.3.1 事件属性5.3.2 读取模式5.3.3
ELK入门——解决:删除索引,重运行logstach后messages数据量变少
Netceor的博客
01-22 1263
logstash在第一次导入数据时将自动创建一个文件监控记录(sincedb),则logstach会认为该文件已经读取过,即使删除索引,也不会重头读取。导致重新运行logstash会发现记录量非常少,有两种解决办法 一、禁止sincedb 在配置文件中加入代码行sincedb_path => "/dev/null",即 input { file { path => "/var/log/messages" type => "systemlog" start
Matlab的Categorical类型的一个常见用法
qq_39864882的博客
11-13 1万+
categorical是一个Matlab数据类型,可将数值分配给有限组的离散类别,比如“高”,“中”,“低”三个组。分类数组能提供高效的数据存储和方便的非数值数据处理,同时为数值保留有意义的名称。分类数组的一个常见用法是识别出table里的指定行数据。 一、将数组数据格式设置为分类类型 可用 B = categorical(A),将A转换成categorical类型的数组B。 也可在导入数据的界面,选则数据类型为categorical。 二、查看包含的分类名 用categories(A)函数查看categ
ELKElasticSearchLogstash,Kibana)入门详解
林夕
07-09 1万+
麋鹿ELKElasticSearchLogstash和Kiabana三个开源工具组成。一,ELK概述1 ,ELK 简介ElasticSearch:是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制, restful风格接口,多数据源,自动搜索负载等。Logstash: 是一个完全开源的工具,他可以对你的日志进行收集,分析,并将其存储供以后使用。Kibana...
logstash篇之入门与运行机制
lyzkks的博客
07-14 1万+
介绍 简介 logstash 是一个数据收集处理引擎。 工作流程 分为三个阶段 处理流 pipeline pipeline 是input-filter-output的三个阶段的处理流程,包含队列管理、插件生命周期管理。 logstash event 原始数据进入logstash后在内部流转并不是以原始数据的形式流转,在input处被转换为event,在outp...
CentOS7.x使用Docker快速部署ELK stack
"Cenos7.x使用docker部署ELK( Elastic Stack)无脑教程" 这篇教程主要介绍了如何在CentOS7.x系统中通过Docker简单快速地部署ELKElasticsearchLogstash、Kibana)堆栈。ELK是用于日志管理和分析的流行工具组合,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值