logstash的基础

最新推荐文章于 2022-03-13 21:33:05 发布
最新推荐文章于 2022-03-13 21:33:05 发布
阅读量117 收藏
点赞数
文章标签: 大数据
原文链接:http://www.cnblogs.com/erdanyang/p/10945989.html
版权

一、logstash的filter阶段的配置:

1、logstash的grok插件的配置:

#GREEDYDATA表达式的意思能匹配任意字符串

2、mutate插件

3、kv插件

4、date插件

二、logstash input阶段的配置:

2、file插件:

2.1、多行处理插件multiline 

 file {
   path => ["/home/bamboom/logs/*/*.log"]
   start_position => "beginning"
   codec => multiline {
        pattern => "^%{TIMESTAMP_ISO8601}"
        negate => true
        what => "previous"
    }
 }

总之就是:

  pattern 选项指定一个正则表达式。 事件匹配指定的正则表达式来确定是前一个事件的内容还是新的事件的内容。可以使用grok正则表达式的模板来配置该选项。

  what 选项有两个选择值: previous 或者 next。 previous 值指定行匹配pattern选项的内容是上一行的一部分。 next 指定行匹配pattern选项的内容是下一行的一部分。

  negate选项适用于multiline codec 行不匹配pattern选项指定的正则表达式。该配置使用negate => true 选项来指定任何不是以时间戳开始的行属于前行。也就是不匹配pattern的行都属于前行的内容的一部分。

三、logstash output阶段的配置:

1、es作为输出时的配置:

output {
    elasticsearch {
        id => 'onao_es'
        user => "elastic"
        password => "changeme"
        hosts => ["http://10.109.31.165:9200"]
        sniffing => false
        index => "logstash-%{+YYYY.MM.dd}"
        document_type => "logs"
    }
}

注意这里是由于把es部署在容器里,而把logstash部署在另外一台宿主机上经常出现的一个bug:

  正常现象:

  异常现象:

这几句日志是由于sniffing => false这条配置导致的;正常现象是false的情况,异常现象是true的情况。

参考文献:

grok:https://www.jianshu.com/p/e9ca52c1f85e

grok正则匹配表:https://blog.csdn.net/backKeith/article/details/78480125

oniguruma(正则表达式):https://www.jianshu.com/p/3f699ee4c17a

logstash最佳实践:http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/index.html

logstash配置文件:https://www.cnblogs.com/xiaobaozi-95/p/9214307.html

logstash插件详解:https://blog.csdn.net/bingdianone/article/details/86715916#filtergrok_130

转载于:https://www.cnblogs.com/erdanyang/p/10945989.html

weixin_30548917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash-conf
10-10
logstash-conf
logstash.conf
12-18
logstash.conf
logstash使用总结
01-28
ELK中Logstash使用配置,文档主要描述如何使用logstash进行数据规则配置过滤。
logstash.rar
04-09
logstash-6.7.0.tar.gz,linux,请修改后缀名。。请zsbd
LogStash 简介
Fisher3652的博客
03-13 1万+
目录1. 概述2. 体系结构2.1 插件2.2 事件2.2.1 访问事件属性2.2.2 事件 API2.3 队列2.3.1 持久化队列2.3.2 死信队列3. 管道配置3.1 主管道配置3.2 单管道配置3.3 多管道配置4. 编解码器插件4.1 plain 插件4.2 line 编解码器4.3 json 编解码器4.4 序列化编解码器5. 输入输出插件5.1 stdin 输入插件和 stdout 插件5.2 elasticsearch 插件5.3 文件插件5.3.1 事件属性5.3.2 读取模式5.3.3
Logstash
NULL
11-27 432
Logstash 主要作用 elasticsearch 与mysql 数据库进行同步 什么是Logstash logstash 是一款轻量级的日志搜索处理框架,可以方便的把分散的,多样化的日志搜集起来,并进行自定义的处理,然后传输到指定的位置,比如说某个服务器或者文件。 Logstash安装与测试 1),下载Logstash压缩包https://pan.baidu.com/s/...
logstash简介及架构(一篇精通直接上手)
Null的博客
07-04 7090
1、logstash介绍 数据收集处理引擎 ETL工具 2、logstash架构简介 Logstash Event是一个java object,它对外暴露了获取内部字段以及修改内部字段值的一些api。 下面举例讲解: stdin:标准输入 codec是line,这个codec的作用就是按照每一行切割数据,就是说把每一行都转换成logstash event stdout:标准输出 codec是json,这个codec的作用就是把每一个logstash event转换
Logstash启动遇到的几个问题
热门推荐
潇洒哥的读书笔记
06-22 3万+
1.Could not find any executable java binary. Please install java in your PATH or set JAVA_HOME.设置环境变量JAVA_HOME 或者 logstashlogstash.lib.sh 里面加上 export JAVA_HOME 就可以了2. Unable to find JRuby. If you
ELK+Filebeat搭建实时日志分析平台
a19860903的专栏
05-22 6347
本文转自:https://www.zybuluo.com/dume2007/note/665868 ELK Stack 简介 ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google
ELK重难点总结和整体优化配置
weixin_30501857的博客
03-21 272
本文收录在Linux运维企业架构实战系列 做了几周的测试,踩了无数的坑,总结一下,全是干货,给大家分享~ 一、elk 实用知识点总结 1、编码转换问题(主要就是中文乱码) (1)input 中的codec => plain 转码 codec => plain { charset => "GB2312" } 将GB2312 的文本编码,转为...
logstash-6.5.2.rpm
08-31
该资源为elk基础资源之logstash 日志采集与过滤,适合初学者安装,安装方式为Linux系统下用rpm方式安装(rpm -ivh logstash-6.5.2.rpm)与elasticsearch/kibana/并称ELK组件
logstash模式核心
02-22
文献资料Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式代码或配置示例,...
logstash-output-influxdb
05-30
Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您...
logstash-output-rabbitmq
05-30
Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您...
logstash-output-s3
05-07
文献资料Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,...
Logstash:实用 Logstash 收集 Syslog 日志指南
Elastic 中国社区官方博客
02-09 1万+
Syslog 是一种流行的标准,用于集中和格式化网络设备生成的日志数据。 它提供了一种生成和收集日志信息的标准化方式,例如程序错误、通知、警告、状态消息等。 几乎所有类 Unix 操作系统,例如基于 Linux 或 BSD 内核的操作系统,都使用负责收集和存储日志信息的 Syslog 守护进程。 它们通常存储在本地,但如果管理员希望能够从一个位置访问所有日志,它们也可以流式传输到中央服务器。 默认情况下,端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats:使用 Linux 系统
 logstash grok中的正则
Baron_ND的博客
11-03 438
logstash中的grok中正则匹配 其实当我们使用到匹配规则的时候,有时候可以适当的使用一些简单的技巧避免掉一些麻烦的正则写法,比如在json中套json数组的时候,多个中括号的匹配,就可以加个空格或者特殊字符区分,这个就可以方便的知道该匹配到哪里, eg. grok { match => { "message" => "^\[%{EXIM_DATE:datetime}\]\[%{GREEDYDATA:meth.
Logstash过滤器之常用插件使用
格子的博客
11-25 3844
Logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出来的日志写入到elasticsearch中。Logstash官方文档中介绍的logstash的过滤插件大概有四十多种,logstash常用的过滤插件有grok、mutate、kv、date、geoip插件等。 一、grok 插件 grok是logstash最主要的过滤插件,grok是通过系统预定义的正则表达式或者通过自己定义正则表达式来匹配日志中的各个值。 1、matc.
LogStash 错误:Logstash could not be started because there is already another instance usin
500Error
07-01 7290
$ ./bin/logstash -f ./myconfig/conf.conf 错误提示: Sending Logstash logs to /usr/local/logstash/logstash-6.5.0/logs which is now configured via log4j2.properties [2018-11-20T12:23:45,931][WARN ][logstash.config.source.multilocal] Ignoring the 'pipeline..
logstash dockerfile
最新发布
09-11
这个Dockerfile首先继承了centos:latest作为基础镜像,并安装了java、vim、telnet和lsof等工具。 然后将logstash-6.1.0.tar.gz解压缩至/usr/local目录下,并进入/usr/local/logstash-6.1.0目录。 接着添加了run.sh...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值