logstash.conf配置,从文件读取日志

于 2024-08-11 14:35:01 发布
阅读量269 收藏 1
点赞数 4
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41823946/article/details/141105227
版权

1:基础配置

完成基础配置即可完成日志读取解析

input {
  file{
	path => "/var/log/logstash/info.log"
	start_position => "beginning"
	sincedb_path => "/dev/null"
  }
}

filter{
	grok{
		match => { "message" => "%{TIMESTAMP_ISO8601:timestamp}  %{LOGLEVEL:loglevel} %{NUMBER:pid} --- \[%{DATA:thread}\] %{JAVACLASS:package}  : %{GREEDYDATA:message}"}
	}
}

output {
	elasticsearch {
		hosts  => ["http://172.17.0.2:9200"]
		index  => "elk"
	}
	stdout {
		codec => rubydebug
	}
}

但是解析的日志不够优雅

2:存在的问题

2.1:fix每次重新读取日志文件

file标签下

sincedb_path => "/dev/null" # 每次重新读取日志文件

sincedb_path => "/var/log/logstash/sincedb" # 从结束的位置继续读取日志文件:

2.2:fix message是数组(重复/冗余)

现象:

{
      "path" => "/var/log/logstash/info.log",
      "package" => "o.s.b.c.embedded.FilterRegistrationBean",
     "timestamp" => "2014-03-05 10:57:51.702",
      "loglevel" => "INFO",
       "message" => [
        [0] "2014-03-05 10:57:51.702  INFO 45469 --- [ost-startStop-1] o.s.b.c.embedded.FilterRegistrationBean  : info日志第一行\r",
        [1] "info日志第一行\r"
    ],
           "pid" => "45469",
        "thread" => "ost-startStop-1",
    "@timestamp" => 2024-08-11T03:17:59.712Z,
      "@version" => "1",
          "host" => "b10e967d1b3d"
}

注意看message是数组,第一个元素是全量的日志信息,第二个元素才是具体的日志信息

2.2.1 解决方案1: 

在filter下gork标签下加:overwrite => ["message"] 表示覆盖 

加上之后的message解析如下

{
      "path" => "/var/log/logstash/info.log",
      "package" => "o.s.b.c.embedded.FilterRegistrationBean",
     "timestamp" => "2014-03-05 10:57:51.702",
      "loglevel" => "INFO",
       "message" => "info日志第一行\r",
           "pid" => "45469",
        "thread" => "ost-startStop-1",
    "@timestamp" => 2024-08-11T03:17:59.712Z,
      "@version" => "1",
          "host" => "b10e967d1b3d"
}

现在message才是正常的,

2.2.2 解决方案2: 

grok中%{GREEDYDATA:message}不要使用message名字

可以随便定义其他名字,比如定义为%{GREEDYDATA:log_message},这样就会有message和log_message两个字段

效果如下

{
      "path" => "/var/log/logstash/info.log",
      "package" => "o.s.b.c.embedded.FilterRegistrationBean",
     "timestamp" => "2014-03-05 10:57:51.702",
      "loglevel" => "INFO",
       "message" => "2014-03-05 10:57:51.702  INFO 45469 --- [ost-startStop-1] o.s.b.c.embedded.FilterRegistrationBean  : info日志第一行\r",
    "log_message" => "info日志第一行\r",     
           "pid" => "45469",
        "thread" => "ost-startStop-1",
    "@timestamp" => 2024-08-11T03:17:59.712Z,
      "@version" => "1",
          "host" => "b10e967d1b3d"
}

2.3 fix 去掉日志最后的换行符

使用mutate过滤器的gsub功能去除message字段中的\r  

用法:在filter标签内加上

mutate {  
	gsub => [  
		# 第一个数组元素是字段名,第二个元素是正则表达式,第三个元素是替换后的文本  
		# 这里我们将message字段里的\r替换为空字符串  
		"message", "\r", "",  
		# 如果你也想去除\n,可以添加另一个替换规则  
		"message", "\n", ""  
	]  
}

解析效果:

{
     "@timestamp" => 2024-08-11T06:07:08.744Z,
            "pid" => "45469",
         "thread" => "ost-startStop-1",
        "message" => "info日志第一行",
           "path" => "/var/log/logstash/info.log",
       "@version" => "1",
           "host" => "b10e967d1b3d",
      "timestamp" => "2014-03-05 10:57:51.702",
       "loglevel" => "INFO",
        "package" => "o.s.b.c.embedded.FilterRegistrationBean"
 }

遇见雨巷
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解 logstash.conf
JineD的博客
03-06 9069
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos.d/logstash.repo [logstash-6.x] name=Elastic repository ..
Logstash7配置文件logstash.yml详解
热门推荐
JineD的博客
06-09 1万+
#使用分层表单来设置管道的批处理大小和批处理延迟 pipeline: batch: size: 125 #管道批处理大小 delay: 5 #管道批处理延迟 #若要表示与平面键相同的值: pipeline.batch.size: 125 pipeline.batch.delay: 5 #节点名称,在集群中具备唯一性,默认为logstash主机的主机名 node.name: logstast-node1 #.
ELK-Logstash文件配置
互联网知识分享
05-11 280
Grok 是 Logstash 最重要的插件之一。注释 /softWare/exercise/tmp/%{+yyyy}/%{+MM}/%{+dd}/%{host}.log 是一个保存输入内容的文件路径,custom format: %{message} 文件的内容格式。( --path.data=/softWare/exercise/tmp/ 如果有缓存对象的存在报错,就指定下路径)。( --path.data=/softWare/exercise/tmp/ 如果有缓存对象的存在报错,就指定下路径)。
Logstashconf文件
qq_39446651的博客
08-20 1944
Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,读者可以在https://github.com/logstash-plugins 下载各种功能的插件,也可以自行编写插件。 Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数...
rpm -ivh logstash.rpm 安装rpm版Logstash,无法读取配置文件Logstash.yml
A_stranger的专栏
12-13 1165
直接看文章末尾,前面不要看 使用的是Redhat 7 ,Logstash版本为6.8.0 使用systemctl 命令启动 [root@dycipvr00534 logstash]# systemctl restart logstash.service WARNING: Could not find logstash.yml which is typically located in ...
logstash可能遇到的无法读取系统日志的问题
qq_53137566的博客
04-14 1064
然后我就开始了痛苦的找问题过程,大概搜了很久,终于在一个博主那里发现了一个很细微的问题。也就是说配置文件中的path路径要使用的是UNIX的分隔符,而我的路径是我直接粘贴上去的。这几天刚学logstash,在读取日志这部分却被卡了好久,主要是这坑我真的是前所未料。这个坑确实很坑,主要是检查配置文件压根不报错,确实很难想到路径会出问题。安装什么的就是正常安装,然后在配置管道时,我是的配置文件如下。然后我就对我的path做了修改,也就是把 \ 变成了 /接下来我就把-t去掉,进行导入,奇怪的地方就出现了。
logstash 日志解析配置详解
深圳市多克创新科技有限公司
03-24 2071
logstash 日志解析配置详解
logstashlogstash使用多个子配置文件
shen12138的博客
07-24 332
这里有个误区在pipelines.yml中写conf.d/*,实测会有问题,不同的filter处理逻辑会复用。现在有两个从kafka采集日志配置文件:from_kafka1.conf,from_kafka2.conf。同时也可以根据pipeline.id设置不同的调优参数。修改pipelines.yml配置文件。使用bin/logstash启动即可。
logstash日志分析的配置和使用
qq_15821725的博客
12-28 367
转载自:https://www.cnblogs.com/yincheng/p/logstash.html logstash日志分析的配置和使用       logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是v
Logstash 数据采集框架详解
tian830937的专栏
01-13 1046
文件描述配置Logstash的yml。包含在单个Logstash实例中运行多个管道的框架和说明。配置Logstash的JVM,使用此文件设置总堆空间的初始值和最大值,此文件中的所有其他设置都被视为专家设置。包含log4j 2库的默认设置。
logstash-audit:selinux audit.log 的 logstash 配置(grok 模式和 logstash.conf
07-10
这个配置文件告诉 Logstash 从 `/var/log/audit/audit.log` 读取审计日志,使用 grok 过滤器解析日志,并将结果发送到 Elasticsearch 存储。Elasticsearch 是一个分布式搜索引擎,可以方便地对结构化数据进行搜索、...
logstash配置文件
07-27
例如,`file`插件可以用来读取日志文件,`tcp`插件监听网络端口接收TCP数据流,`udp`插件则用于UDP数据。配置文件中,输入插件的一般格式如下: ```ruby input { plugin_type { option1 => "value1" option2 => ...
logstash-conf
10-10
"logstash-conf" 指的是 Logstash配置文件,它是 Logstash 工作的核心,定义了 Logstash 如何从各种数据源采集数据,如何处理这些数据,以及如何将处理后的数据发送到指定的输出目标。 在 Logstash 配置文件中,...
logstash.rar
01-16
1. **数据收集**:Logstash 可以从各种不同的数据源(如日志文件、网络端口、数据库等)收集数据。它支持多种输入插件,比如 file input 用于读取文件系统中的日志,http input 用于接收 HTTP 请求等。 2. **数据...
最新版linux logstash-7.9.3.tar.gz
10-26
例如,你可以使用file input来读取系统日志文件,或者使用 beats input接收来自Filebeat或Metricbeat的数据。过滤插件则允许对收集到的数据进行清洗、转换和丰富,比如提取特定字段、转换数据格式或应用正则表达式...
系统控制和管理接口:在Linux中利用电源和性能域进行平台资源抽象
最新发布
csdnsqst0046的博客
08-09 876
在本文中,您可以了解到如何利用我们的方法将复杂性从Linux驱动程序(需要为每个平台编写不同的开发程序)转移到固件。由于固件已经适配了平台,因此固件知道需要采取哪些手段来配置外设。您可以了解我们如何定义逻辑性能和电源域,而不是单独处理每个平台资源。您还可以了解到我们如何努力实现这一目标,以及您如何进行尝试并做出贡献。
如何解码Linux下事件响应工具evtest的时间戳
weixin_44199156的博客
08-08 343
这里放一下原文链接在开发input子系统驱动时,常常会使用evtest工具进行测试。evtest是打印evdev内核事件的工具,它直接从内核设备读取并打印设备描述的带有值和符号名的事件,可以用来调试鼠标、键盘、触摸板等输入设备evtest通常用于在X.org中调试输入设备的问题,evtest提供了内核的处理信息。根据这些信息,可以判断是内核问题还是X.org问题。输出数据中,“type”是input类型,可以是“EV KEY”、“EV SW”、“EV SND”、“EV LED”或数值;
Linux中宏观的看待线程
2301_77479435的博客
08-07 415
Linux中宏观的看待线程
Linux 从基础到进阶】进程管理与性能调优
weixin_39372311的博客
08-08 435
通过本文的介绍,您已经了解了 Linux 系统中进程管理和性能调优的基本概念和操作方法。本文提供了适用于 CentOS 和 Ubuntu 系统的具体命令和示例,涵盖了 CPU、内存、I/O 和网络的性能调优策略。合理的进程管理和性能调优可以显著提升系统的稳定性和运行效率。如有任何问题或需要进一步的帮助,请参考CentOS 官方文档和Ubuntu 官方文档或在 CSDN 博客中查阅相关内容。
logstash怎么配置logstash.conf
03-21
Logstash是一个开源的数据收集引擎,用于将不同来源的数据进行收集、转换和发送到目标位置。配置Logstash的主要方式是通过编写logstash.conf文件,下面是一个简单的logstash.conf配置文件示例: ``` input { file { path => "/path/to/logfile.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } stdout { codec => rubydebug } } ``` 上述配置文件中,input部分指定了数据的输入来源,这里使用file插件来读取指定路径下的日志文件。filter部分定义了对输入数据的处理方式,这里使用grok插件来解析日志中的时间戳、日志级别和消息内容。output部分定义了数据的输出目标,这里使用elasticsearch插件将数据发送到本地的Elasticsearch实例,并指定了索引名称为logs-加上当前日期。同时,还使用stdout插件将数据输出到控制台进行调试。 你可以根据自己的需求修改配置文件中的各个部分来适配你的日志收集和处理需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值