Logstash语法

最新推荐文章于 2024-07-17 13:20:15 发布
最新推荐文章于 2024-07-17 13:20:15 发布
阅读量2.6k 收藏 5
点赞数 1
分类专栏: logstash 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunqingok/article/details/105229937
版权

1、 区段
{}定义区域
2、 数据类型
1) 希尔值 bool debug=>true
2) 字符串 string host=>”hostname”
3) 数值 number port=>514
4) 数组 array match=>[“datetime”,”linux”,”2020”] 数组支持倒序下标
5) 哈希 hash
options => {
key1 => “value1”
Key2 => “value2”
}
3、 字段引用
字段是Logstash:Event 对象的属性。
如:从geoip里获取longitude的值 [geoip][longitude][0]
Logstash支持变量内插,在字符串里使用引用 如:“dkdj%{[geoip][location][0]}”
4、 条件判断
If “_grokparsefailure” not in [tags] { }

Logstash命令行参数
1、-e 执行
2、–config或-f 配置
3、–configtest 或 –t 测试
4、–log或-l 设置存储日志路径
5、–filterworkers 或 –w 设置运行线程数
6、–pluginpath或-p 加载自己写的插件
7、–verbose 输出一定的调试日志 bin/logstash -v
8、–debug 输出更多的调试日志 bin/logstash –vv
Logstash插件
Bin/plugin list
Logstash后台启动
1、 nohup & 方式
2、 supervisord方式

Logstash插件配置
Discover_interval:Logstash每隔多久去检查一次被监听的path下是否有新文件,默认15秒
Exclude:不想被监听的文件可以排除出去
Sincedb_path:不想用默认的sincedb,可通过这个属性定义sincedb文件
Sincedb_write_interval:每隔多久写一次sincedb文件,15秒
Stat_interval:每隔多久检查一次被监听文件状态
Start_position:Logstash从什么位置开始读取文件数据,默认结束位置,类似tail –f,如果配置为“beginning”,则类似cat。此命令仅在该文件从未被监听过得时候起作用
Syslog输入
Collectd输入

Logstash过滤器
1、date时间处理 转换日志记录的时间字符串转存到@timestamp字段里
配置实例:logstash-filter-date插件支持五种时间格式
1)ISO8601 类似 “2011-04-19T03:44:01.103Z”
2)UNIX
3)UNIX_MS 从1970年始毫秒数
4)Joda-Time
2、grok 正则捕获
Patterns_dir选项指明路径
Remove_field用来删除掉message字段
Overwrite重写默认的message字段
3、高级用法
1)正则的多行匹配 在表达式开始位置加(?m)标记
2)多项选择,可用正则的数组
4、geoip地址查询
5、json编解码
Filter{ json{ source=>”message” target=>”jsoncontent”}}
6、 key-value切分
logstash-filter-kv插件
在这里插入图片描述
在这里插入图片描述

7、 metrics数值统计
logstash-filter-metrics插件
1) meter(速率阀值检测)
在这里插入图片描述
2) timer示例

在这里插入图片描述
8、 mutate数据修改
logstash-filter-mutate插件
1) 类型转换 可设置的转换类型有:integer、float、string
Filter{mutate{convert => [“request_time”,”float”]}}
2)字符串处理
Gsub:仅对字符串类型字段有效 gsub => [“urlparams”,”[\?#]”,”_”]
Split:分割字符串,filter{mutate{split => [“message”,”|”]}}
Join:仅对数组类型字段有效
Merge:合并两个数组或哈希字段
Strip:去除字段内容前后的空格
Lowercase:转小写
Uppercase:转大写
3) 字段处理
Rename:重命名某个字段
Update:更新某个字段的内容,字段不存在,不会新建
Replace:作用和update类似,字段不存在时,会自动添加新的字段
9、 ruby处理
在这里插入图片描述
10、 split拆分事件
filter{split{field=>”message” terminator=>”#”}}
split插件中使用yield功能,会使split出来的新事件结束其在filter阶段的历程,split后面的其他filter插件不起作用,进入到output阶段
11、 elapsed (transaction)可以在错乱的多行日志中,根据connected字段、maxspan窗口、startswith/endwidth标签等信息计算出事件的duration和count结果。

在这里插入图片描述

扩展方案
1、 通过redis队列扩展
1) 读取redis数据
Input{
Redis{
Data_type => “pattern_channel”
Key => “logstash-*”
Host => “192.168.0.2”
Port => 6379
Threads => 5
}
}
在这里插入图片描述
在这里插入图片描述
List类型
在这里插入图片描述
同时在两个终端运行logstash-f redis-input-list.conf进程,在第三个终端启动redis-cli命令交互:RPUSH logstash-list “hello world”
修改batch_count的值可以实现批量推送RPUSH logstash-list “hello world” “hello world” “hello world” “hello world” “hello world” “hello world”
2)输出redis
Input{stdin{}}
Output{
Redis{
Data_type => “channel”
Key => “logstash-chan-%{+yyyy.MM.dd}”
}
}
在redis-cli命令行终端输入订阅 SUBSCRIBE logstash-chan-2014.08.08
在logstash终端输入hello world,切回redis终端可以看到信息

sq0723
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash语法入门
悦分享
08-19 195
logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被监听的日志文件的读取进度(时间戳),这个sincedb数据文件的默认路径在 /plugins/inputs/file下面,文件名类似于.sincedb_452905a167cf4509fd08acb964fdb20c,而表示logstash插件存储目录,默认是LOGSTASH_HOME/data。
如何搭建自己的grokdebug工具测试logstash语法
运维打怪晋级之路
12-02 1892
grokdebug 一个方便的 grok 调试工具,grok 的语法编写起来还是有点吃力的,但是使用grokdebug可以提高我们排查问题的效率,但是服务提供大多数是国外的服务器,我们在墙内服务比较困难,目前grokdebug 提供了docker 版本了
Logstash配置语法
weixin_45880055的博客
08-11 3951
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
3.Logstash配置语法
大勇若怯任卷舒
03-10 2018
3.1 Logstash语法 Logstash 设计了自己的 DSL,基本的语法功能包括有: 区域 注释 数据类型(布尔值,字符串,数值,数组,哈希)  条件判断 字段引用等 3.2 区段(section) Logstash 用 {} 来定义区域。区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。 插件区域内则可以定义键值对设置。示例如下: 3.3 数据类型 Logstash 支持少量的数据值类型: bool debug => true string host
logstash配置文件中filter方法介绍
最新发布
qq_37647812的博客
07-17 860
logstash配置文件中filter方法介绍
logstash语法 结构
snail_bi的博客
11-19 289
配置结构以及插件位置 输入插件: input{ … } 过滤插件: filter{ … } 输出插件: output{ … } 数据类型 - Array users => [{id => 1,name => N1},{id => 2,name => N2}] - lists path => ["/var/log/messages","/var...
Logstash常用语法使用介绍
Eric_W_的博客
04-07 737
Logstash常用语法使用样例介绍
ELK实战之logstash部署及基本语法
weixin_33716557的博客
11-12 252
一、logstash的安装 1、logstash介绍 Logstash是一个开源的数据收集引擎,可以水平伸缩,而且logstash是整个ELK当中拥有最多插件的一个组件,其可以接收来自不同源的数据并统一输入到指定的且可以是不同目的地。 logstash收集日志基本流程: input-->codec-->filter-->codec-...
logstash语法
01-24
以下是Logstash的基本语法组成: 1. 输入插件(Input):用于从不同来源收集数据。常见的输入插件包括file(读取文件)、stdin(读取标准输入)、tcp(接收TCP数据)等。 2. 编码插件(Codec):用于解析和编码...
logstash配置语法
weixin_34233421的博客
01-28 165
Logstash 用 {} 来定义区域input { stdin {} syslog {}}数据类型booldebug => truestringhost => "hostname"numberport => 514arraymatch => ["datetime", "UNIX", "666"]hashoptions => {key1 ...
logstash配置文件
weixin_33670786的博客
06-26 442
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos....
Logstash语法常用案例解析(一)
weixin_34384557的博客
05-25 432
摘要简述logstash的常用插件,以及简单的使用案例一:基础运行建议使用supervisor来管理ELK中的各个组件,方便同一管理安装 https://www.aolens.cn/?p=809 有讲解提供一个常用的配置:[program:logstash] command=/opt/logstash/bin/logstash-f/opt/logstash/co...
Logstash查询语法
HappyHappyWang的专栏
11-03 369
Elasticsearch is a Java based log indexer. You can search through Elasticsearch indices using Lucene search syntax for more complicated query. And simple wildcard search works too. http://lucene....
logstash基础语法与使用
Little_fxc的博客
04-20 346
## 解压安装 tar -zxvf logstash-6.6.0.tar.gz -C /usr/local/ ## conf下配置文件说明: # logstash配置文件:/config/logstash.yml # JVM参数文件:/config/jvm.options # 日志格式配置文件:log4j2.properties # 制作Linux服务参数:/config/startup.options ## 配置文件说明: vim /usr/local/logstash-6.6.0/config/lo
logstash 的基础语法与使用
Qynwang的博客
05-17 1766
区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。插件区域内则可以定义键值对设置。
Logstash的使用以及语法格式
菜鸟也学大数据的博客
09-07 1285
Logstash的启动方式 第一种:logstah绝对路径/bin/logstash -e ‘input { stdin { } } output { stdout { } }’ 第二种:logstah绝对路径/bin/logstash -f 配置文件 Logstash语法格式 标准结构: input { stdin {} } output { stdout {} } 设置输出格式: input { stdin {} } output { #输出格式常用的有json、rub
Logstash常用插件的使用
dayi_123的博客
04-03 7552
Logstash常用插件的使用        Elk作为日志收集分析系统,除了使用filebeat及logstash等工具收集日志外,另一个重要的功能就是分析日志,分析日志是依据日志中的一些关键字段对日志进行切段取值,所以,在分析日志前就需要将这些关键字段取出来。logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出...
logstash的四个插件
chenx2022的博客
07-12 467
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
logstash使用grok正则解析日志
热门推荐
云守护的专栏
10-21 4万+
http://xiaorui.cc/2015/01/27/logstash%E4%BD%BF%E7%94%A8grok%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90%E6%97%A5%E5%BF%97%E9%81%87%E5%88%B0%E7%9A%84%E9%97%AE%E9%A2%98/ http://grokdebug.herokuapp.com/ logs
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值