Logstash语法

最新推荐文章于 2024-04-07 10:56:04 发布
最新推荐文章于 2024-04-07 10:56:04 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: logstash 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunqingok/article/details/105229937
版权

1、 区段
{}定义区域
2、 数据类型
1) 希尔值 bool debug=>true
2) 字符串 string host=>”hostname”
3) 数值 number port=>514
4) 数组 array match=>[“datetime”,”linux”,”2020”] 数组支持倒序下标
5) 哈希 hash
options => {
key1 => “value1”
Key2 => “value2”
}
3、 字段引用
字段是Logstash:Event 对象的属性。
如:从geoip里获取longitude的值 [geoip][longitude][0]
Logstash支持变量内插,在字符串里使用引用 如:“dkdj%{[geoip][location][0]}”
4、 条件判断
If “_grokparsefailure” not in [tags] { }

Logstash命令行参数
1、-e 执行
2、–config或-f 配置
3、–configtest 或 –t 测试
4、–log或-l 设置存储日志路径
5、–filterworkers 或 –w 设置运行线程数
6、–pluginpath或-p 加载自己写的插件
7、–verbose 输出一定的调试日志 bin/logstash -v
8、–debug 输出更多的调试日志 bin/logstash –vv
Logstash插件
Bin/plugin list
Logstash后台启动
1、 nohup & 方式
2、 supervisord方式

Logstash插件配置
Discover_interval:Logstash每隔多久去检查一次被监听的path下是否有新文件,默认15秒
Exclude:不想被监听的文件可以排除出去
Sincedb_path:不想用默认的sincedb,可通过这个属性定义sincedb文件
Sincedb_write_interval:每隔多久写一次sincedb文件,15秒
Stat_interval:每隔多久检查一次被监听文件状态
Start_position:Logstash从什么位置开始读取文件数据,默认结束位置,类似tail –f,如果配置为“beginning”,则类似cat。此命令仅在该文件从未被监听过得时候起作用
Syslog输入
Collectd输入

Logstash过滤器
1、date时间处理 转换日志记录的时间字符串转存到@timestamp字段里
配置实例:logstash-filter-date插件支持五种时间格式
1)ISO8601 类似 “2011-04-19T03:44:01.103Z”
2)UNIX
3)UNIX_MS 从1970年始毫秒数
4)Joda-Time
2、grok 正则捕获
Patterns_dir选项指明路径
Remove_field用来删除掉message字段
Overwrite重写默认的message字段
3、高级用法
1)正则的多行匹配 在表达式开始位置加(?m)标记
2)多项选择,可用正则的数组
4、geoip地址查询
5、json编解码
Filter{ json{ source=>”message” target=>”jsoncontent”}}
6、 key-value切分
logstash-filter-kv插件
在这里插入图片描述
在这里插入图片描述

7、 metrics数值统计
logstash-filter-metrics插件
1) meter(速率阀值检测)
在这里插入图片描述
2) timer示例

在这里插入图片描述
8、 mutate数据修改
logstash-filter-mutate插件
1) 类型转换 可设置的转换类型有:integer、float、string
Filter{mutate{convert => [“request_time”,”float”]}}
2)字符串处理
Gsub:仅对字符串类型字段有效 gsub => [“urlparams”,”[\?#]”,”_”]
Split:分割字符串,filter{mutate{split => [“message”,”|”]}}
Join:仅对数组类型字段有效
Merge:合并两个数组或哈希字段
Strip:去除字段内容前后的空格
Lowercase:转小写
Uppercase:转大写
3) 字段处理
Rename:重命名某个字段
Update:更新某个字段的内容,字段不存在,不会新建
Replace:作用和update类似,字段不存在时,会自动添加新的字段
9、 ruby处理
在这里插入图片描述
10、 split拆分事件
filter{split{field=>”message” terminator=>”#”}}
split插件中使用yield功能,会使split出来的新事件结束其在filter阶段的历程,split后面的其他filter插件不起作用,进入到output阶段
11、 elapsed (transaction)可以在错乱的多行日志中,根据connected字段、maxspan窗口、startswith/endwidth标签等信息计算出事件的duration和count结果。

在这里插入图片描述

扩展方案
1、 通过redis队列扩展
1) 读取redis数据
Input{
Redis{
Data_type => “pattern_channel”
Key => “logstash-*”
Host => “192.168.0.2”
Port => 6379
Threads => 5
}
}
在这里插入图片描述
在这里插入图片描述
List类型
在这里插入图片描述
同时在两个终端运行logstash-f redis-input-list.conf进程,在第三个终端启动redis-cli命令交互:RPUSH logstash-list “hello world”
修改batch_count的值可以实现批量推送RPUSH logstash-list “hello world” “hello world” “hello world” “hello world” “hello world” “hello world”
2)输出redis
Input{stdin{}}
Output{
Redis{
Data_type => “channel”
Key => “logstash-chan-%{+yyyy.MM.dd}”
}
}
在redis-cli命令行终端输入订阅 SUBSCRIBE logstash-chan-2014.08.08
在logstash终端输入hello world,切回redis终端可以看到信息

sq0723
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash语法入门
悦分享
08-19 173
logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被监听的日志文件的读取进度(时间戳),这个sincedb数据文件的默认路径在 /plugins/inputs/file下面,文件名类似于.sincedb_452905a167cf4509fd08acb964fdb20c,而表示logstash插件存储目录,默认是LOGSTASH_HOME/data。
Logstash配置语法
weixin_45880055的博客
08-11 3711
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
3.Logstash配置语法
大勇若怯任卷舒
03-10 1995
3.1 Logstash语法 Logstash 设计了自己的 DSL,基本的语法功能包括有: 区域 注释 数据类型(布尔值,字符串,数值,数组,哈希)  条件判断 字段引用等 3.2 区段(section) Logstash 用 {} 来定义区域。区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。 插件区域内则可以定义键值对设置。示例如下: 3.3 数据类型 Logstash 支持少量的数据值类型: bool debug => true string host
Logstash常用语法使用介绍
最新发布
Eric_W_的博客
04-07 462
Logstash常用语法使用样例介绍
logstash语法 结构
snail_bi的博客
11-19 279
配置结构以及插件位置 输入插件: input{ … } 过滤插件: filter{ … } 输出插件: output{ … } 数据类型 - Array users => [{id => 1,name => N1},{id => 2,name => N2}] - lists path => ["/var/log/messages","/var...
ELK实战之logstash部署及基本语法
weixin_33716557的博客
11-12 244
一、logstash的安装 1、logstash介绍 Logstash是一个开源的数据收集引擎,可以水平伸缩,而且logstash是整个ELK当中拥有最多插件的一个组件,其可以接收来自不同源的数据并统一输入到指定的且可以是不同目的地。 logstash收集日志基本流程: input-->codec-->filter-->codec-...
logstash主配置文件
08-30
该配置文件有logstash的stdin、file、tcp、udp、syslog、beats、grok、elasticsearch插件配置
logstash配置文件.rar
12-18
logstash6.2.2多管道输出es聚合配置案例,共3个管道,文章,论坛,产品管道。其中:文章和论坛是简单配置,产品使用聚合配置,用ruby语法写了聚合逻辑。
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动: 下载并使用“首选项” >“插件” >“从磁盘安装插件”手动安装。
logstash-config:logstash-config提供了用Go编写的Logstash配置格式的解析器和抽象语法树(AST)
02-04
logstash-config: 配置文件的解析器和抽象语法树 总览 Go软件包配置为配置文件提供了一个随时可用的解析器。 Logstash配置格式的语法分析基础是原始的,仅需进行很小的更改即可使用。 logstash-config使用从PEG...
Spring Cloud集成ELK完成日志收集实战(elasticsearch、logstash、kibana)
01-07
对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELK,所以说ELK指的是...
logstash配置语法
weixin_34233421的博客
01-28 158
Logstash 用 {} 来定义区域input { stdin {} syslog {}}数据类型booldebug => truestringhost => "hostname"numberport => 514arraymatch => ["datetime", "UNIX", "666"]hashoptions => {key1 ...
logstash配置文件
weixin_33670786的博客
06-26 425
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos....
Logstash语法常用案例解析(一)
weixin_34384557的博客
05-25 425
摘要简述logstash的常用插件,以及简单的使用案例一:基础运行建议使用supervisor来管理ELK中的各个组件,方便同一管理安装 https://www.aolens.cn/?p=809 有讲解提供一个常用的配置:[program:logstash] command=/opt/logstash/bin/logstash-f/opt/logstash/co...
Logstash查询语法
HappyHappyWang的专栏
11-03 355
Elasticsearch is a Java based log indexer. You can search through Elasticsearch indices using Lucene search syntax for more complicated query. And simple wildcard search works too. http://lucene....
logstash基础语法与使用
Little_fxc的博客
04-20 312
## 解压安装 tar -zxvf logstash-6.6.0.tar.gz -C /usr/local/ ## conf下配置文件说明: # logstash配置文件:/config/logstash.yml # JVM参数文件:/config/jvm.options # 日志格式配置文件:log4j2.properties # 制作Linux服务参数:/config/startup.options ## 配置文件说明: vim /usr/local/logstash-6.6.0/config/lo
logstash 的基础语法与使用
Qynwang的博客
05-17 1664
区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。插件区域内则可以定义键值对设置。
Logstash的使用以及语法格式
菜鸟也学大数据的博客
09-07 1246
Logstash的启动方式 第一种:logstah绝对路径/bin/logstash -e ‘input { stdin { } } output { stdout { } }’ 第二种:logstah绝对路径/bin/logstash -f 配置文件 Logstash语法格式 标准结构: input { stdin {} } output { stdout {} } 设置输出格式: input { stdin {} } output { #输出格式常用的有json、rub
Logstash常用插件的使用
dayi_123的博客
04-03 7456
Logstash常用插件的使用        Elk作为日志收集分析系统,除了使用filebeat及logstash等工具收集日志外,另一个重要的功能就是分析日志,分析日志是依据日志中的一些关键字段对日志进行切段取值,所以,在分析日志前就需要将这些关键字段取出来。logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出...
logstash语法
01-24
Logstash是一个开源的数据收集引擎,用于实时处理和转发日志和其他事件数据。它使用简单的配置文件来定义数据流的输入、过滤和输出。以下是Logstash的基本语法组成: 1. 输入插件(Input):用于从不同来源收集数据。常见的输入插件包括file(读取文件)、stdin(读取标准输入)、tcp(接收TCP数据)等。 2. 编码插件(Codec):用于解析和编码数据。它可以将数据从一种格式转换为另一种格式,例如将JSON数据解析为结构化数据。常见的编码插件包括json(解析JSON数据)、plain(纯文本编码)等。 3. 过滤器插件(Filter):用于对数据进行处理和转换。它可以根据条件过滤数据、添加字段、修改字段值等。常见的过滤器插件包括grok(通过正则表达式解析日志数据)、mutate(修改字段值)、date(解析日期字段)等。 4. 输出插件(Output):用于将处理后的数据发送到不同的目的地。常见的输出插件包括elasticsearch(发送数据到Elasticsearch)、stdout(输出到标准输出)、file(写入文件)等。 以下是一个示例配置文件,演示了Logstash的基本语法: ```shell input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } stdout { codec => rubydebug } } ``` 上述配置文件的含义是:从指定路径的文件中读取日志数据,使用grok插件解析日志数据,然后将处理后的数据发送到Elasticsearch,并在标准输出中打印调试信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值