logstash采集日志

最新推荐文章于 2024-05-16 05:11:44 发布
置顶 最新推荐文章于 2024-05-16 05:11:44 发布
阅读量9.9k 收藏 9
点赞数 4
文章标签: logstash 采集日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010509052/article/details/96474651
版权

logstash主要用来采集分布式及微服务系统日志,从而对日志进行统一管理分析检索。
下载https://www.elastic.co/cn/downloads/logstash,根据自己系统对应下载(linux建议使用TAR.GZ,win系使用zip)笔者使用windows
在这里插入图片描述
下载后,解压。
1.采集控制台接收输入,并输出控制台。
进入config目录新建console2console.conf 文件

input {
  stdin{
  }
}

output{
  stdout{
  }
}

input 是输入,stdin是标准输入(即控制台),output是输出,stdout是标准输出(即控制台)
进入bin目录执行logstash.bat -f …/config/console2console.conf
在这里插入图片描述
但是当输入中文时不能正常显示,由于编码问题。同时也可以让输出json格式

input {
  stdin{
	codec => plain{ charset => "GBK" }
  }
}

output{
  stdout{
	codec => json
  }
}

亲测可以正常了。
2.采集日志文件到es(这是目前最常被使用的方法)
在config目录下新建file2es.conf文件

input {
  file{
	path => ["E:/devetool/apache-tomcat-7.0.77/logs/catalina.2019-07-18.log"]
	#采集的编码格式
	codec => plain{ charset => "GBK" }
  }
}

output{
  elasticsearch{ 
	hosts => "localhost:9200"
	index => "tomcat-catalina-%{+YYYY.MM.dd}" #索引名称
	document_type => "tomcat-catalina" #type
  }  
  stdout{
  
  }
}

此处stdout输出是为了观察采集,生产不需要, 采集端的编码格式要根据自己的环境来设置哦。
进入bin目录执行logstash.bat -f …/config/file2es.conf,在启动tomcat。等下观察es中的数据。
在这里插入图片描述
还可以采集多个文件,还有对日志过滤预处理等复杂处理。贴一份比较全的供参考哦

input {
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/logs/catalina.2019-07-18.log"
	codec => plain{ charset => "GBK" }
	type => "tomcat-catalina"
  }
  
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/log/disconf-log4j.log"
	type => "disconf-log4j"
	#多行日志合并
	codec => multiline{
      negate => true  #是否匹配到
      pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3})" #匹配的正则
      what => "previous" #将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
	}
  }
}

#从采集的数据处理
filter{
	grok{
		match => {"message" => "(?<logdatetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})"}
		remove_field => "logdatetime"
		add_field =>{
            "from" => "lifeng"
        }
	}
	date{
        match => ["logdatetime", "yyyy-MM-dd HH:mm:ss,SSS"]   #这里是如果datetime跟后面的格式匹配上了就会去替换,替换什么呢?target默认指的就是@timestamp,所以就是以datetime的时间更新@timestamp的时间
		target => "@timestamp"
	}
}


output{
	if[type] == "tomcat-catalina"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "tomcat-catalina-%{+YYYY.MM.dd}" #索引名称
			document_type => "tomcat-catalina" #type
		} 
	}
	
	if[type] == "disconf-log4j"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "disconf-log4j-%{+YYYY.MM.dd}" #索引名称
			document_type => "disconf-log4j" #type
		} 
	}
	
	stdout{

	}
}

实际生产使用可能还需要定制更多参数。可以参考官网,也可以私信。如果觉得还可以点个赞哦。

木子金丰
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Logstash收集Syslog日志
xuguokun1986的博客
05-17 1万+
1、rsyslog服务端配置 # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.ht
Logstash分析nginx日志
一起学习吧
07-04 544
Logstash分析nginx日志 文章目录Logstash分析nginx日志1 日志转化格式及步骤1.将nginx普通日志转换为json2.将nginx日志的时间格式进行格式化输出3.将nginx日志的来源ip进行地域分析4.将nginx日志的user-agent字段进行分析5.将nginx日志的bytes修改为整数6.移除没用的字段,message、headers 将日志先读入到filebeat(filebeat安装在装有nginx机器中)中,然后filebeat在输出到logstash中,logsta
logstash 日志收集
cwyxf123的博客
04-13 4706
1、logstash 收集系统日志 logstash配置文件 root@logstash-node1:~# vim /etc/logstash/conf.d/syslog-to-es.conf input { file { path =>"/var/log/syslog" #第一次从头收集,之后从新添加的日志收集 start_position => "beginning" #日志收集的间隔时间 stat_interval =>"3"
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2044
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1128
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
ELK | Logstash日志采集(Linux)
苏老师的博客
08-24 1987
Logstash 简介,Linux安装,以及性能调优
Logstash日志收集(三)
艾欧尼亚归我了
04-17 7023
Logstash日志收集(三)还是得先顺着官网了解一波:https://www.elastic.co/products/logstash一、跟着官网学习下Logstash的基本概念 集中,转换和隐藏。您的数据Logstash是一个开源的服务器端数据处理管道,可以同时从多个源中获取数据,并将其转换为您喜欢的“存储”(自然是Elasticsearch)。)1.1 Logstash 6.0.0新增功能用...
ELK详解(八)——Logstash收集系统日志实战
永远是少年
04-05 6886
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash收集系统日志。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
logstash日志抓取搭建
04-26
**Logstash日志抓取搭建** 在IT行业中,日志管理是系统监控和故障排查的重要环节。Logstash作为 Elastic Stack(ELK Stack)的一部分,专为收集、解析、过滤和转发各种日志数据而设计。它能从各种来源获取日志,...
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
logstash 采集log4j日志配置文件
07-27
logstash采集log4j日志发送到es配置文件,可以把日志根据日志级别区分开,一个级别一条日志是es中的一条数据
SpringBoot继承LogStash实现日志收集的方法示例
08-26
SpringBoot 继承 LogStash 实现日志收集的方法示例 本文主要介绍了 SpringBoot 继承 LogStash 实现日志收集的方法示例,旨在帮助开发者快速了解 LogStash 的配置和使用方法。 一、环境准备 在开始之前,需要安装 ...
logstash采集数据库数据插件
10-19
标题中的 "logstash采集数据库数据插件" 指的就是 "logstash-input-jdbc" 插件,它是 Logstash 官方提供的用于从关系型数据库中抽取数据的输入插件。这个插件支持多种数据库类型,包括 MySQL、PostgreSQL、Oracle、...
logstash快速入门
热门推荐
wp500的专栏
11-13 4万+
简介 Logstash是一个接收,处理,转发日志的工具。支持系统日志,webserver日志,错误日志,应用日志,总之包括所有可以抛出来的日志类型。怎么样听起来挺厉害的吧? 在一个典型的使用场景下(ELK):用Elasticsearch作为后台数据的存储,kibana用来前端的报表展示。Logstash在其过程中担任搬运工的角色,它为数据存储,报表查询和日志解析创建了一个功能强大的管道
LogStash基础笔记
zhizhong0209的博客
12-05 334
LogStash基础笔记1、LogStash介绍及安装1.1、介绍1.2 、node01机器安装LogStash下载安装包---可以直接将已经下载好的安装包上传到/home/es路径下即可解压1.3、Input插件1.3.1 stdin标准输入和stdout标准输出1.3.2 监控日志文件变化编写脚本检查配置文件是否可用启动服务发送数据其它参数说明1.3.3、jdbc插件第一步:编写脚本第二步:上传mysql连接驱动包到指定路劲第三步:检查配置文件是否可用第四步:启动服务第五步:数据库当中添加数据1.3.4
ELK日志分析平台实战-----(二)-----logstash数据采集
xrt0211的博客
06-14 921
ELK日志分析平台实战-----(二)-----logstash数据采集 1.logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 4. Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 5.
Logstash 安装及日志采集
半吊子Kyle的博客
08-12 836
Logstash 安装及日志采集需求分析安装配置启动测试FileBeat 采集日志LogstashLogstash 接收数据并打印Logstash 输出到 ElasticsearchLogstash 过滤器Grok 插件mutate 插件date 插件Logstash 解析所有字段并输出到 Elasticsearch 需求分析 通过 FileBeats 采集日志采集后的日志输出到 LogstashLogstash 处理过滤后(将每条日志解析成字段)将数据输出到 Elasticserch 安装配置 下
Logstash:实用 Logstash 收集 Syslog 日志指南
Elastic 中国社区官方博客
02-09 1万+
Syslog 是一种流行的标准,用于集中和格式化网络设备生成的日志数据。 它提供了一种生成和收集日志信息的标准化方式,例如程序错误、通知、警告、状态消息等。 几乎所有类 Unix 操作系统,例如基于 Linux 或 BSD 内核的操作系统,都使用负责收集和存储日志信息的 Syslog 守护进程。 它们通常存储在本地,但如果管理员希望能够从一个位置访问所有日志,它们也可以流式传输到中央服务器。 默认情况下,端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats:使用 Linux 系统
ELK详解(九)——Logstash日志收集实战
永远是少年
04-06 4957
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash日志收集实战。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
elk如何远程采集日志
05-24
要远程采集日志,需要在目标服务器上安装一个日志采集代理,如Logstash或Filebeat。然后,将代理配置为将日志发送到Elasticsearch集群中的一个或多个节点。 以下是大致步骤: 1. 在目标服务器上安装Logstash或Filebeat 2. 配置代理以获取要采集日志 3. 配置代理以将日志发送到Elasticsearch集群中的节点 4. 在Elasticsearch中创建适当的索引模板和搜索查询以检索日志 具体来说,可以按照以下步骤进行操作: 1. 安装Logstash或Filebeat 对于Logstash,可以按照官方文档中的指南进行操作。对于Filebeat,也可以按照官方文档中的指南进行操作。 2. 配置代理 在Logstash或Filebeat中,需要配置输入和输出。输入是指要采集日志文件或数据源,输出是指将日志发送到Elasticsearch集群中的节点。 例如,在Filebeat中,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/myapp/*.log output.elasticsearch: hosts: ["http://es-node1:9200", "http://es-node2:9200"] ``` 这将采集`/var/log/myapp/*.log`中的日志,并将其发送到`es-node1`和`es-node2`节点上的Elasticsearch。 3. 创建索引模板和搜索查询 在Elasticsearch中,需要创建一个适当的索引模板以确保日志正确地解析和存储。还可以创建搜索查询以检索和过滤日志。 例如,可以使用以下示例索引模板: ``` PUT _template/myapp_logs { "index_patterns": ["myapp-*"], "settings": { "number_of_shards": 1 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "message": { "type": "text" }, "tags": { "type": "keyword" } } } } ``` 此模板指定了一个索引模式,即`myapp-*`,并定义了索引中的字段。还可以创建搜索查询以检索和过滤日志。 总之,远程采集日志需要配置日志采集代理,并将其配置为将日志发送到Elasticsearch集群中的节点。然后,在Elasticsearch中创建索引模板和搜索查询以检索日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值