【星海出品】LogStash

已于 2024-06-21 09:11:30 修改
阅读量790 收藏 15
点赞数 7
文章标签: oracle 数据库 elk
于 2024-06-20 14:42:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41997073/article/details/139686782
版权

智谱清言
ZhipuAI

LogStash | Fluentd

Logstash 依赖于JAVA
Oracle 修复了 Java 超过一半的问题。所以我们到Oracle 官方网站上下载 java 的JDK,安装方法见之前的文档

LogStash 的核心价值就在于它将业务系统和数据展示系统隔离开来,屏蔽了各自系统变化对彼此的影响,使系统之间的依赖降低并可独自进化发展。
LogStash 可以从多个数据源提取数据,然后再清洗过滤并发送到指定的目标数据源。目标数据源也可以是多个,而且只要修改 LogStash 管道配置就可以轻松扩展数据的源头和目标。

LogStash 读取大文件主要通过其内部的一个关键组件——FileWatch Ruby Gem库。
这个库使得LogStash能够监听文件变化,并高效地读取大文件内容。

LogStash 使用 FileWatch 库来监听指定路径下的文件变化。
FileWatch 支持 glob 展开文件路径,这意味着可以指定通配符(如*.log)来匹配多个文件。

为了避免在读取大文件时漏掉数据,FileWatch 会记录一个 .sincedb 的数据库文件。
.sincedb 文件中记录了每个被监听的文件的 inode、major number、minor number 和当前读取位置(pos)。

LogStash 可以选择 tail 模式或 read 模式来读取文件。
Tail 模式:当文件有新数据写入时,LogStash 会继续从上一次读取的位置开始读取。
Read 模式:LogStash 会一次性读取整个文件内容,并在读取完成后关闭文件。
通过设置 close_older 参数,可以指定在读取文件后多久关闭文件。这有助于管理打开的文件句柄数量。

logstash可以通过设置 close_older 参数,可以指定在读取文件后多久关闭文件。这有助于管理打开的文件句柄数量。

input {  
  file {  
    path => "/var/log/myapp/*.log"  
    start_position => "beginning"  
    sincedb_path => "/dev/null" # 或者其他路径来存储sincedb文件  
    close_older => "5 minutes" # 5分钟后没有新日志则关闭文件句柄
    # close_older参数默认值是3600秒(即一小时)
    # discover_interval 默认15秒
  }  
}  
  
filter {  
  # ... 你的过滤配置 ...  
}  
  
output {  
  # ... 你的输出配置 ...  
}

%{IPORHOST:clientip} - - \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response:int} %{NUMBER:bytes:int} "%{GREEDYDATA:referrer}" "%{GREEDYDATA:agent}"

Xxx/logstash-xxx/vendor/bundle/jruby/xxx/gems/logstash-patterns-core-4.1.2/patterns

USER_IPADDRESS   ([0-9\.]+)\s+
DATETIME  ([0-9\-]+\s[0-9\:]+)\s+
METHOD  ([A-Z]+)\s+
URL ([\/A-Za-z0-9\.]+)\s+
STATUS  ([0-9]+)\s+
REQUEST_SEND  ([0-9]+)\s+
REQUEST_TIME  ([0-9\.]+)

grok {
  Patterns_dir => [“./patterns”]
    Match => {
        “message” => “%{USER_IPADDRESS:user_ip} %{DATETIME:date}  %{METHOD:method}    ”
  }
}
性能优化:

对于大文件,性能是关键。LogStash 提供了一系列配置选项来优化读取性能,如设置 discover_interval 来控制多久检查一次新文件,使用 exclude 参数来排除不需要的文件等。
还可以通过调整 JVM 堆内存大小、工作线程数等参数来进一步提高 LogStash 的性能。

Ibana

基础使用Management Dev Tools 的 Console

GET _search
{
  "query": {
    "match_all": {}
  }
}
#查看索引列表
GET _cat/indices

#查看索引
GET /_cat/indices?v

# 查看所有的log开头的索引信息
GET log*/_search  
{  
  "query": {  
    "match_all": {}  
  }  
}

#查看特定的log索引信息
GET logstash-20240621/_search
{  
  "query": {  
    "match_all": {}  
  }  
}

GET kibana_sample_data_logs/_search
{  
  "query": {  
    "match_all": {}  
  }  
}

PUT http://localhost:9200/{索引名}
#创建索引

#创建索引为logstash-20240620名字的索引
PUT /logstash-20240620

# 查看索引的设置
GET /index_search/_settings

# 查看整个集群健康状态
GET _cat/health

精确查询
{
“query”: {
“term”: {
“field_name”: “exact_value”
}
}
}
多匹配
{
“query”: {
“terms”: {
“field_name”: [“value1”, “value2”]
}
}
}

Ibana 使用 Management -> Dev Tools -> Grok Debugger 进行调试。

  • Sample Data

172.16.1.60 - - [20/Jun/2024:02:51:00 +0000] “GET / HTTP/1.1” 304 0 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36”

  • Grok Pattern

%{IPORHOST:clientip} - - [%{HTTPDATE:timestamp}] “%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}” %{NUMBER:response:int} %{NUMBER:bytes:int} “%{GREEDYDATA:referrer}” “%{GREEDYDATA:agent}”

  • Result

{
“request”: “/”,
“agent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36”,
“verb”: “GET”,
“referrer”: “-”,
“response”: 304,
“bytes”: 0,
“clientip”: “172.16.1.60”,
“httpversion”: “1.1”,
“timestamp”: “20/Jun/2024:02:51:00 +0000”
}

  • Custom

USER_IPADDRESS ([0-9.]+)\s+
DATETIME ([0-9-]+\s[0-9:]+)\s+
METHOD ([A-Z]+)\s+
URL ([/A-Za-z0-9.]+)\s+
STATUS ([0-9]+)\s+
REQUEST_SEND ([0-9]+)\s+
REQUEST_TIME ([0-9.]+)

#grok示例:

https://help.aliyun.com/zh/sls/user-guide/grok-patterns

  • data

%{IPORHOST:ip} %{Scheme:scheme} “%{Method:method} %{Path:path}” %{Code:port} %{BASE10NUM:bytes} “%{Agent:agent}” “%{Proxy:proxy}”

  • custom template

Scheme [a-z]+
Method [A-Z]+
Path [0-9a-zA-Z/.]+
Agent [\s\S]+
Proxy [0-9,.]+
Code [0-9]+

filter {
grok {
patterns_dir => [“./patterns”]
match => { “message” => “{IPORHOST:user_ip}” }
}
}

语法解释:
%{HOSTNAME},匹配请求的主机名
%{TIMESTAMP_ISO8601:time},代表时间戳
%{LOGLEVEL},代表日志级别
%{URIPATHPARAM},代表请求路径
%{INT},代表字符串整数数字大小
%{NUMBER}, 可以匹配整数或者小数

%{UUID},匹配类似091ece39-5444-44a1-9f1e-019a17286b48
%{IP}, 匹配ip
%{WORD}, 匹配请求的方式
%{GREEDYDATA},匹配所有剩余的数据
(?([\S+]*)),自定义正则
\s*或者\s+,代表多个空格
\S+或者\S*,代表匹配多个字符

\w+或者\w*,代表匹配多个字母
大括号里面:xxx,相当于起别名

(?<class_info>\S+)或者(?<class_info>([\S+]*)), 自定义正则匹配多个字符

fluentd

<source>
  @type tail
  path /var/log/application.log
  pos_file /var/log/application.log.pos
  tag application.log
  format json
</source>
 
<match application.log>
  @type elasticsearch
  host elasticsearch_host
  port elasticsearch_port
  index_name application_index
  type_name log
  logstash_format true
  flush_interval 10s
</match>

fluentd -c /path/to/your/fluentd.conf

apt-get install ruby
apt-get install fluentd

相对logstash更轻量。功能支持插件模式

活跃的煤矿打工人
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash安装部署手册
05-12
Logstash 是一个强大的数据收集、处理和转发工具,属于 Elastic Stack 的重要组成部分。它能够从各种数据源(如日志文件、数据库等)收集数据,然后进行过滤、转换,并将处理后的数据发送到各种目的地(如 Elastic...
logstash的配置文件
07-27
Logstash 是一个强大的数据收集、处理和转发工具,广泛应用于日志管理和监控系统中。它的核心功能是通过输入(input)、过滤(filter)和输出(output)插件,实现对各种数据源的数据进行处理,并将处理后的数据发送...
Logstash使用指南
技术人集结地
11-30 2493
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集中、转换和存储数据是Logstash的典型用法。输入:采集各种样式、大小和来源的数据。
Logstash
人丑就要多读书的博客
10-31 2388
一、Logstash架构介绍 1.1 为什么需要Logstash 对于部分生产上的日志无法像 Nginx 那样,可以直接将输出的日志转为 Json 格式,但是可以借助 Logstash来将我们的 ”非结构化数据“,转为 “结构化数据”; filbeat --> logstash(input fileter output) --es 1.2 什么是Logstash Logstash 是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中。。官网
Windows安装启动logstash
Zhang Phil
06-06 7688
Windows安装启动logstash(1)下载logstash,下载链接:Download Logstash Free | Get Started Now | Elastic(2)下载完成后,解压。自己写一个Windows环境下的配置文件,名字可自己定义,比如叫:my_logstash.conf,内容: 注意my_logstash.conf的存放位置,这个配置文件需要放在“home”下,和logstash解压后形成的bin,config,jdk等目录文件夹同层级,否则后面启动会报找不到这个配置文件。(
LogStash 简介
热门推荐
Fisher3652的博客
03-13 1万+
目录1. 概述2. 体系结构2.1 插件2.2 事件2.2.1 访问事件属性2.2.2 事件 API2.3 队列2.3.1 持久化队列2.3.2 死信队列3. 管道配置3.1 主管道配置3.2 单管道配置3.3 多管道配置4. 编解码器插件4.1 plain 插件4.2 line 编解码器4.3 json 编解码器4.4 序列化编解码器5. 输入输出插件5.1 stdin 输入插件和 stdout 插件5.2 elasticsearch 插件5.3 文件插件5.3.1 事件属性5.3.2 读取模式5.3.3
LogStash安装
Fisher3652的博客
03-13 1万+
目录1. 下载安装报2. 上传到服务器3. 启动 Logstash4. 连接 Elasticsearch 1. 下载安装报 这里选择7.14.0版本,下载地址 2. 上传到服务器 解压 tar -zxvf logstash-7.14.0-linux-x86_64.tar.gz 3. 启动 Logstash Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 logstash 不行, 需要按如下方式提供参数: ./logstash -e "input {stdin {
Logstash数据同步
summer_fish的专栏
10-12 1117
结果:
Logstash初探
独行侠梦的博客
01-20 1492
前言 logstash是一个开源带实时管道处理能力的数据收集处理引擎,不仅仅可以收集转换结构化数据,对非结构化数据也有强大的分析处理能力。 pipeline三板斧 logstash的管道包含三个部分,输入,过滤,输出,复杂的pipeline可能会有多个input输入,filter和多个ouput输出,可以使用命令-e参数行定义变量配置,使用配置文件定义复杂配置,通过参数f指定使用某个配置...
Logstash:实用 Logstash 收集 Syslog 日志指南
Elastic 中国社区官方博客
02-09 1万+
Syslog 是一种流行的标准,用于集中和格式化网络设备生成的日志数据。 它提供了一种生成和收集日志信息的标准化方式,例如程序错误、通知、警告、状态消息等。 几乎所有类 Unix 操作系统,例如基于 Linux 或 BSD 内核的操作系统,都使用负责收集和存储日志信息的 Syslog 守护进程。 它们通常存储在本地,但如果管理员希望能够从一个位置访问所有日志,它们也可以流式传输到中央服务器。 默认情况下,端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats:使用 Linux 系统
LogStash 安装
语雀同名:犬豪 yuque.com/qhao
11-02 2557
LogStash安装 1、LogStash插件介绍 Logstash是一个具有实时管道的开源数据收集引擎。可以动态地统一不同来源的数据,并将数据归到不同目的地。也是一个管理事件和日志工具。你可以用它来收集日志,分析它们,并将它们储存起来以供以后使用。 Logstash 通常都是和 Kibana 以及 Elasticsearch 一起使用。 2、logStash安装 #注意版本和elasticsearch,kibana 必须保持一致,es,kibana都是6.2.4版本 wget https://artifa
logstash 启动命令
日日留心的技术专栏
11-04 1万+
1. 指定配置文件启动 斌目录下执行 ./logstash -f /etc/logstash/config.d/xxx.conf & 配置数据存储路径 参考: https://blog.csdn.net/sxf_123456/article/details/78863949 2. pipelines 启动 pipelines 实现批量运行,配置之后不用一个一个指定启动 参考: https://blog.csdn.net/UbuntuTouch/article/details/100995868?d
logstash.conf
12-18
logstash.conf
logstash.rar
04-09
Logstash 是一个强大的开源数据收集、处理和转发引擎,它属于 Elastic Stack(以前称为 ELK Stack,即Elasticsearch、Logstash、Kibana 的组合)的一部分。在 IT 监控、日志管理和数据分析领域,Logstash 受到了广泛...
logstash-conf
10-10
"logstash-conf" 指的是 Logstash 的配置文件,它是 Logstash 工作的核心,定义了 Logstash 如何从各种数据源采集数据,如何处理这些数据,以及如何将处理后的数据发送到指定的输出目标。 在 Logstash 配置文件中,...
如何调整Oracle SGA的大小
codemami的博客
07-08 534
Oracle 11g及之后的版本引入了自动内存管理(Automatic Memory Management,AMM)和自动共享内存管理(Automatic Shared Memory Management,ASMM)等特性,可以自动调整SGA和PGA(Process Global Area)的大小。可以使用SQL*Plus或其他数据库管理工具连接到数据库,并使用ALTER SYSTEM命令来修改参数,但请注意,对于SGA大小的修改,通常需要将其设置为SCOPE=SPFILE,以便在数据库重启后生效。
ArcGIS Pro SDK (八)地理数据库 2 定义
小小程序猿
07-09 362
() =>// 对于企业级数据库,必须使用数据库名和用户名限定数据集名称。// 对于企业级数据库,必须使用数据库名和用户名限定数据集名称。// 无论数据集是否在 FeatureDataset 中,都没有关系。// 获取 RelationshipClass 的定义。// 获取 FeatureDataset 的定义。} });// 无论数据集是否在 FeatureDataset 中,都没有关系。// 对于企业级数据库,必须使用数据库名和用户名限定数据集名称。
电子科大数据库第四章:数据库设计与实现
m0_73672331的博客
07-04 1026
一种面向用户的系统数据模型,用来描述现实世界的系统概念化数据结构。
oracle逻辑层级详解(表空间、段、区、数据块)
最新发布
睡不醒的每天
07-09 410
oracle数据库内的每个表空间由一个或者多个称为数据文件的文件组成。·每个oracle数据库的标准数据块大小是在创建数据库时由初始化参数DB_BLOCK_SIZE指定的。oracle服务器通过表空间和逻辑存储结构(包括段、区和数据块),能够实现磁盘空间使用的小粒度控制。除了SYSTEM表空间或者有活动还原段的表空间,可将其它表空间置于脱机状态而不会影响数据库运行。·oracle数据库内的数据存储在数据块内,数据块为最精细的粒度等级。oracle数据库可以从逻辑上分组到称为表空间的更小的逻辑空间区。
安装logstash
11-18
以下是在CentOS 7下安装Logstash的步骤: 1.下载Logstash的RPM包,可以使用引用中提供的离线安装包,也可以在官网下载最新版本的RPM包。 2.使用以下命令安装Logstash: ```shell sudo rpm -ivh logstash-6.2.4.rpm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值