Logstash的使用以及语法格式

最新推荐文章于 2024-08-16 18:44:59 发布
最新推荐文章于 2024-08-16 18:44:59 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: 菜鸟也学大数据 Logstash 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38468167/article/details/108446523
版权

Logstash的启动方式

  • 第一种:logstah绝对路径/bin/logstash -e ‘input { stdin { } } output { stdout { } }’
  • 第二种:logstah绝对路径/bin/logstash -f 配置文件

Logstash的语法格式

  • 标准结构:
input {
	stdin {} 
} 
output {
	stdout {} 
}
  • 设置输出格式:
input {
	stdin {} 
} 
output {
#输出格式常用的有json、rubydebug、plain...
	stdout { codec => "json"}
}
  • Logstash连接Elasticsearch:
input {
	stdin {} 
} 
output {
	stdout {} 
	elasticsearch { hosts => ["IP地址:9200"] }
}
  • 从文件中获得事件流
input {
 	file {
        path =>"/var/log/message" #必须有(最好是绝对路径)
#		path =>["/var/log/messages","/var/log/messages-2019*"] #多文件格式
        start_position =>"beginning"
        sincedb_path => "/dev/null"
		codec => "json"  #应用编码器
    }
} 
output {
	stdout {} 
}
  • grok:使用正则表达式解析任意文本和结构
input {
	stdin {} 
} 
#过滤器
filter{
        grok{
        		# %{类型属性:字段名} 
                match => { "message" => "%{NUMBER:duration} %{IP:client}"} #注意保留空格
        }
}
output {
	stdout { codec => "rubydebug" } 
}
  • grok自定义模式
input {
	stdin {} 
} 
filter{
        grok{
        		#标准格式
        		#(?<date>\d*[./-]\d*[./-]\d* \d*:\d*:\d*) %{NUMBER:duration} %{IP:client}
        		#匹配138开头后面跟8位长度的手机的号,字段名为Tallphone
                match => {"message" => "(?<Tallphone>138\d{8})"}
        }
}
output {
	stdout { codec => "rubydebug"} 
}
  • 输出插件
input {
	stdin {} 
} 
#output可以同时使用多个输出插件
output {
	stdout{codec=>rubydebug} 
    file {
		# file默认以JSON格式输出每行
		#设置输出路径
       	path =>"/tmp/message.out" 
    } 
}
  • 条件判断
input{
	stdin{}
}
filter{
        grok{
                match=>{"message"=>"%{NUMBER:duration} %{IP:client}"}
        }
        mutate{convert=>["duration","integer"]}
}
output{ 
		#判断字段duration<100,则以rubydebug格式输至出控制台
       	if [duration]<100{
               stdout{codec=>rubydebug}
       	}
}

测试:匹配日志信息

  • 测试数据:
    [2019-03-18T16:16:59,362][INFO ][logstash.modules.scaffold] Initializing module
    [2019-03-18T16:17:00,114][WARN ][logstash.config.source.multilocal] Ignoring
  • 实现代码:
input{
        file{
        		#创建test.json文件放入日志数据
                path => "/opt/logstash/tmp/test.json"
                start_position => "beginning"
                sincedb_path => "/dev/null"
                codec => "json"
}
}
filter{
        grok{
        		#通过\[和\]来匹配对应数据
                match => {"message" => "\[%{DATA:date}\]\[%{DATA:level}\]\[%{DATA:proc}\] %{DATA:msg}"}
}
}
output{
		#当level匹配到WARN时将信息显示到控制台
        if [level]=="WARN "{
        stdout{codec => "rubydebug"}
}
}
菜鸟也学大数据
关注
专栏目录
Logstash语法入门
悦分享
08-19 217
logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被监听的日志文件的读取进度(时间戳),这个sincedb数据文件的默认路径在 /plugins/inputs/file下面,文件名类似于.sincedb_452905a167cf4509fd08acb964fdb20c,而表示logstash插件存储目录,默认是LOGSTASH_HOME/data。
3.Logstash配置语法
大勇若怯任卷舒
03-10 2036
3.1 Logstash语法 Logstash 设计了自己的 DSL,基本的语法功能包括有: 区域 注释 数据类型(布尔值,字符串,数值,数组,哈希)  条件判断 字段引用等 3.2 区段(section) Logstash 用 {} 来定义区域。区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。 插件区域内则可以定义键值对设置。示例如下: 3.3 数据类型 Logstash 支持少量的数据值类型: bool debug => true string host
logstash配置
lai0yuan的博客
03-30 663
input 文件输入 file { type =&gt; "nginxaccess" #路径 path =&gt; "/usr/local/nginx/logs/access.log" #开始位置 start_position =&gt; "beginning" } filter 过滤器插件-grok 1. 安装 bi...
Logstash配置语法
weixin_45880055的博客
08-11 4023
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
logstash详解
最新发布
qq_44027353的博客
08-16 1598
Logstash通过管道完成数据的采集与处理,管道配置中包含input、output和filter(可选)插件,input和output用来配置输入和输出数据源、filter用来对数据进行过滤或预处理。Logstash 是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的存储库中。通过Logstash过滤器解析各个事件,识别已命名的字段来构建结构,并将它们转换成通用格式,最终将数据从源端传输到存储库中。机器宕机,数据也不会丢失;
Logstash语法
sunqingok的博客
03-31 2640
1、 区段 {}定义区域 2、 数据类型 1) 希尔值 bool debug=>true 2) 字符串 string host=>”hostname” 3) 数值 number port=>514 4) 数组 array match=>[“datetime”,”linux”,”2020”] 数组支持倒序下标 5) 哈希 hash options =&g...
Logstash常用语法使用介绍
Eric_W_的博客
04-07 865
Logstash常用语法使用样例介绍
logstash配置文件
weixin_33670786的博客
06-26 453
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos....
Logstash filter 的使用
m0_56342013的博客
06-18 1169
Logstash filter 的使用
logstash-config:logstash-config提供了用Go编写的Logstash配置格式的解析器和抽象语法树(AST)
02-04
Logstash配置格式语法分析基础是原始的,仅需进行很小的更改即可使用logstash-config使用从PEG生成解析器(解析器表达语法)。 特别感谢Martin Angers( )。 该软件包目前正在开发中,没有API保证。 安装 ...
logstash语法 结构
snail_bi的博客
11-19 301
配置结构以及插件位置 输入插件: input{ … } 过滤插件: filter{ … } 输出插件: output{ … } 数据类型 - Array users => [{id => 1,name => N1},{id => 2,name => N2}] - lists path => ["/var/log/messages","/var...
Logstash查询语法
HappyHappyWang的专栏
11-03 375
Elasticsearch is a Java based log indexer. You can search through Elasticsearch indices using Lucene search syntax for more complicated query. And simple wildcard search works too. http://lucene....
logstash 格式处理
yevvzi的博客
10-11 1027
1.java抛出exception后日志不在一行 通过使用codec multiline 在logstash::input中添加 codec => multiline {             pattern => "^\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}"  正则匹配             negate => true  false为
logstash kafka output 输出原始数据格式
xueba207的专栏
11-08 1万+
有个场景需要从kafka topic中读出message,然后转到另一个kakfa集群的topic中,为省事就用了logstash。但logstash处理后不是原始数据,需要修改codec plain的消息格式配置
Logstash的数据类型和基本语法
蒜蓉粉丝蒸扇贝的专栏
08-11 2万+
From:http://www.ttlsa.com/elk/elk-logstash-configuration-syntax/ logstash支持的数据类型有: array 数组可以是单个或者多个字符串值。 path => [ "/var/log/messages", "/var/log/*.log" ] path => "/data/mysql/mysql.log"
Logstash:Email output plugin
Elastic 中国社区官方博客
03-08 1414
在我们使用Logstash时,有时需要在信息处理时,在收到输出时发送电子邮件, 或者检查到某个条件而发出一个邮件进行提示。详细的描述可以参阅Email output plugin。在目前的Logstash的安装中,已经包含这个插件,我们不需要做任何的安装。在今天的教程中,我们来运用一个例子来展示。 配置Logstash 在本例子中,我们来使用hotmail来展示。我们首先定义一个Logs...
logstash Grok内置字段类型
Cls的博客
04-17 1493
相关链接: https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns USERNAME [a-zA-...
logstash使用grok正则解析日志
热门推荐
云守护的专栏
10-21 4万+
http://xiaorui.cc/2015/01/27/logstash%E4%BD%BF%E7%94%A8grok%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90%E6%97%A5%E5%BF%97%E9%81%87%E5%88%B0%E7%9A%84%E9%97%AE%E9%A2%98/ http://grokdebug.herokuapp.com/ logs
使用logstash grok解析x-forwarder log
QYHuiiQ
03-10 366
x-forwarder.log中的特点是: 前面第一个ip是client,后面的ip都是proxy,proxy可以有多个。 logstash conf: if "," in [message]{ grok{ match => { "message" => "%{IP:client}(?:, %{IP:proxy1}|)(?:, %...
logstash语法
01-24
Logstash是一个开源的数据收集引擎,用于实时处理和转发日志和其他事件数据。它使用简单的配置文件来定义数据流的输入、过滤和输出。以下是Logstash的基本语法组成: 1. 输入插件(Input):用于从不同来源收集数据。常见的输入插件包括file(读取文件)、stdin(读取标准输入)、tcp(接收TCP数据)等。 2. 编码插件(Codec):用于解析和编码数据。它可以将数据从一种格式转换为另一种格式,例如将JSON数据解析为结构化数据。常见的编码插件包括json(解析JSON数据)、plain(纯文本编码)等。 3. 过滤器插件(Filter):用于对数据进行处理和转换。它可以根据条件过滤数据、添加字段、修改字段值等。常见的过滤器插件包括grok(通过正则表达式解析日志数据)、mutate(修改字段值)、date(解析日期字段)等。 4. 输出插件(Output):用于将处理后的数据发送到不同的目的地。常见的输出插件包括elasticsearch(发送数据到Elasticsearch)、stdout(输出到标准输出)、file(写入文件)等。 以下是一个示例配置文件,演示了Logstash的基本语法: ```shell input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } stdout { codec => rubydebug } } ``` 上述配置文件的含义是:从指定路径的文件中读取日志数据,使用grok插件解析日志数据,然后将处理后的数据发送到Elasticsearch,并在标准输出中打印调试信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值