Logstash 7.x 配置自定义的ES模板

最新推荐文章于 2024-02-27 19:36:11 发布
最新推荐文章于 2024-02-27 19:36:11 发布
阅读量3.1k 收藏 6
点赞数
文章标签: elasticsearch 数据库 java logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014032410/article/details/126703146
版权

最近项目中使用到了ES,一切都开发好了,但是发现查询有问题。

由于在代码中用到了 wildcardQuery 而且还是用在时间上的,发现完全生效不了。只能一步步排查是什么原因

一、默认模板

由于 es 生成索引用的是用 logstash 来做的,logstash 有自己默认的模板,如果不配置自己的模板,就会以默认的模板来生成索引。

我们可以通过 http://127.0.0.1:9200/_template 链接来查看所有的模板。

也可以访问 http://127.0.0.1:9200/_template/logstash 来查看验证 logstash 的模板。

我们在 elasticsearch-head(具体如何安装可以自行百度) 里可以查看索引库信息,我们会发现,默认的模板会针对数据库的 timestamp 类型映射成 date 类型,是无法使用模糊查询的。

所以只能想办法该模板,或者改代码了。

二、改代码

由于 timestamp 映射成了 date 类型,无法模糊查询,当时试了好几次自定义模板都没成功,就想着改代码,曲线救国。

  1. logstash 配置文件里的sql 语句,针对要查询的日期字段生成了 对应的 yyyy-MMyyyy-MM-dd 格式的字段
  2. 更改代码里针对不同场景采用针对不同日期字段的精准查询

虽然实现了想要的效果,但是针对于自定义模板不生效,还是不死心。所以又是一通折腾,居然成功了。

三、自定义模板

一通的折腾,嘿,自定义模板成功了。

  1. 删除已经上传到 eslogstash 模板 DELETE http://localhost:9200/_template/logstash
  2. 自定义模板 ga-mapper.json ,下面的模板是在 logstash 的基础上改的。这里配置的是动态模板
{
    "index_patterns": "*ga*",
    "order": 1,
    "settings": {
        "index": {
          "refresh_interval": "10s",
          "number_of_shards": 1,
          "number_of_replicas": 0
        }
    },
    "mappings": {
        "dynamic_templates": [
            {
                "message_field": {
                    "path_match": "message",
                    "mapping": {
                        "norms": false,
                        "type": "text"
                    },
                    "match_mapping_type": "string"
                }
            },
            {
                "string_fields": {
                    "mapping": {
                        "norms": false,
                        "type": "text",
                        "fields": {
                            "keyword": {
                                "ignore_above": 256,
                                "type": "keyword"
                            }
                        }
                    },
                    "match_mapping_type": "string",
                    "match": "*"
                }
            },
            {
                "date_fields": {
                    "mapping": {
                        "norms": false,
                        "type": "text",
                        "fields": {
                            "keyword": {
                                "ignore_above": 256,
                                "type": "keyword"
                            }
                        }
                    },
                    "match_mapping_type": "date",
                    "match": "*"
                }
            }
        ],
        "properties": {
            "@timestamp": {
                "type": "date"
            },
            "geoip": {
                "dynamic": true,
                "properties": {
                    "ip": {
                        "type": "ip"
                    },
                    "latitude": {
                        "type": "half_float"
                    },
                    "location": {
                        "type": "geo_point"
                    },
                    "longitude": {
                        "type": "half_float"
                    }
                }
            },
            "@version": {
                "type": "keyword"
            }
        }
    }
}

注意:
index_patterns 要跟 logstash 配置文件的 index 对应上
order 一定要大于0

  1. 修改 logstash 的配置文件,这里主要是修改配置文件里的 output
output {
  elasticsearch {
        #es的ip和端口
        hosts => ["http://127.0.0.1:9200"]
        #ES索引名称(自己定义的)
        index => "ga"
        #自定义模板文件
        template => "F:/environment/logstash-7.3.2/ga-mapper.json"
        #模板名称
        template_name => "ga"
        manage_template => true
        #如果模板跟默认的logstash名称一直,则覆盖
        template_overwrite => true
        #设置数据的id为数据库中的字段
        document_id => "%{id}"
    }
    stdout {
        codec => json_lines
    }
}

然后启动 logstash 即可

对应的代码已经放到了这里 https://github.com/rocketAccoon/logstash/tree/main

小溜溜哥
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新版linux logstash-7.16.2-linux-x86_64.tar.gz
12-20
最新版linux logstash-7.16.2-linux-x86_64.tar.gz
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
01-14
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
如何使用Logstash进行切片日志并在设置kafka集群接口
最新发布
yz2322944912的博客
02-27 1077
1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端并存储到esinput {tcp {filter {grok {output {stdout {​4、自定义日志2数据链路1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端input {tcp {filter {grok {output {stdout {​。
logstash-template模板logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
最新版linux logstash-7.9.3.tar.gz
10-26
最新版linux logstash-7.9.3.tar.gz
ELK - logstash 动态指定动态模板
面朝大海,春暖花开
01-31 1450
ELK - logstash 动态指定动态模板 基于 es: 7.10.x 写在前面 通过logstash写到es的数据,es 默认匹配logstash* 的模板, 并且 索引( index )名称也会自动加上 logstash-, 默认的 logstash 模板为: GET /_template/logstash { "logstash" : { "order" : 0, "version" : 60001, "index_patterns" : [ "logsta
logstash通过模板向指定索引传输数据
Automato的博客
03-01 783
logstash 通过模板创建索引,传输采集的数据
Logstash输入Kafka输出Es配置
技术人集结地
12-12 2260
Logstash是一个开源的数据收集引擎,具有实时管道功能。它可以从各种数据源中动态地统一和标准化数据,并将其发送到你选择的目的地。Logstash的早期目标主要是用于收集日志,但现在的功能已经远远超出这个范围。任何事件类型都可以通过Logstash进行分析,通过输入、过滤器和输出插件进行转换。Logstash的工作原理是使用管道方式进行日志的搜集处理和输出。这个管道包括三个阶段:输入、处理和输出。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地。
日志篇- ES+Logstash+Filebeat+Kibana+Kafka+zk 安装配置与使用详解
鬼刺
12-20 3047
分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。基于 Apache Lucene 构建,能对大容量的数据进行接近实时的存储、搜索和分析操作。通常被用作某些应用的基础搜索引擎,使其具有复杂的搜索功能;Logstash数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置;Kibana数据分析和可视化平台。通常与 Elasticsearch 配合使用,对其中数据进行搜索、分析和以统计图表的方式展示;Filebeat。
Logstash配置详解
u012017645的专栏
10-17 1万+
Logstash配置详解
logstashElasticsearch中创建的默认索引模板问题
JineD的博客
09-08 2443
背景 在ELK架构中,使用logstash收集服务器中的日志并写入到Elasticsearch中,有时候需要对日志中的字段mapping进行特殊的设置,此时可以通过自定义模板template解决,但是因为logstash默认会向Elasticsearch提交一个名为logstash模板,所以在定义logstash配置文件时有一些关键点需要注意。本文基于logstash-5.6.4和elastcisearch-5.6.4对需要注意的关键点进行列举。 logstash的默认模板 默认的logstash
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
12-16
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
Logstash输出到Elasticsearch笔记
热门推荐
Ghost Stories
02-08 2万+
output配置elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引中已经存在,那么本次插入工作失败 update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到...
使用Logstash和JDBC将MySQL的数据导入到Elasticsearch(ES)的过程
u011197085的博客
07-11 1353
Logstash配置文件中(通常是logstash.conf),你需要定义一个input和一个output。这个映射定义了一个index叫做"myindex",包含一个type叫做"mytype",以及三个字段,分别是"myfield1"(文本),“myfield2”(日期),和"myfield3"(整数)。请注意,首先你需要准备好的JDBC驱动,Logstash实例,Elasticsearch实例,以及你希望导入的MySQL数据。下载完成后,将jar文件放在一个Logstash可以访问的位置。
logstash同步数据从kafka到es集群
qq_38220334的博客
05-17 2172
【代码】logstash同步数据从kafka到es集群。
19-课程索引-Logstash创建索引-安装配置
minihuabei的博客
05-18 1836
3.4 Logstash创建索引 LogstashES下的一款开源软件,它能够同时 从多个来源采集数据、转换数据,然后将数据发送到Eleasticsearch 中创建索引。 本项目使用Logstash将MySQL中的数据采用到ES索引中。 3.4.1 下载Logstash 下载Logstash6.2.1版本,和本项目使用的Elasticsearch6.2.1版本一致。 我给大家已经准备了这个安装包,不用自己下载了,我准备的这个安装包里面logstash-input-jdbc这个插件,所以不用执行3.4
Elasticsearch的7.9.0版本配置索引模板template不生效问题
wuxun1997的专栏
09-10 1780
  采坑了。首先吐槽一下,下载elasticsearch的最新版本7.9.0了,配置索引模板跟原来6.X.X、6.X.X之前的都有点差别。新版的api中除了_template,又有了_index_template和_component_template,很容易混淆,让人不知所措。好了回归正题,我们这里使用的特指7.9.0的_template这个api。   事情是这样的,我在logstash配置...
Logstash数据同步和自定义模板配置IK中文分词
小鹏子的博客
01-15 1224
Logstash介绍和注意点 Logstash是elastic技术栈中的一个技术。它是一个数据采集引擎,可以从数据库采集数据到es中。它可以通过 同步增加和修改数据,但是数据库的删除它无法实现,但是我们可以设置删除为逻辑删除同时修改es来带到同步的目的,我们可以通过设置自增id主键或者时间来控制数据的自动同步,这个id或者时间就是用于给logstash进行识别的 id:假设现在有1000条数据,Logstatsh识别后会进行一次同步,同步完会记录这个id为1000,以后数据库新增数据,那么id会一直累加,
docker部署的logstash pipelines.yml配置
05-05
下面是一个示例的Logstash `pipelines.yml`文件,用于部署Docker容器中的Logstash: ```yaml - pipeline.id: main path.config: "/usr/share/logstash/pipeline/main.conf" ``` 说明: - `pipeline.id`: 指定管道的唯一标识符。在本例中,我们将其设置为“main”。 - `path.config`: 指定管道配置文件的路径。在本例中,我们将其设置为`/usr/share/logstash/pipeline/main.conf`,这是我们在Docker容器中安装Logstash时指定的配置文件路径。 请注意,如果您使用的是Logstash 7.0或更高版本,则不需要`pipelines.yml`文件。相反,您可以将多个管道配置文件放在一个目录中,并在Logstash启动命令中指定该目录。例如: ``` logstash -f /usr/share/logstash/pipeline/ ``` 这将启动Logstash,并加载`/usr/share/logstash/pipeline/`目录中的所有配置文件作为管道。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值