logstash的安装与使用(读取嵌套json平级格式,grok语法与正则使用,双线程处理,导入elasticsearch)

最新推荐文章于 2023-12-10 09:12:11 发布
最新推荐文章于 2023-12-10 09:12:11 发布
阅读量935 收藏 1
点赞数 2
分类专栏: Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42487460/article/details/106343331
版权

logstash的安装与使用

一、简介与安装

logstash的作用:日志收集

如何工作:

  • 输入(input):必须,如stdin、file、http、exec…
  • 过滤器(filter):可选,如grok、mutate…
  • 输出(output):必须,如stdout、elasticsearch、file…

编解码器

  • 作为输入或输出的一部分,分离传输与序列化过程

运行Logstash的两种方式

logstash -e CONFIG_STRING //使用给定的配置字符串,其格式同配置文件
logstash -f CONFIG_PATH //读取配置文件

安装环境:java8 Centos7

安装直接解压压缩包就可以,移动并重命名到你想到的文件中去,就酱🥳
在这里插入图片描述

二、简单体验

输入输出(配置字符串)

首先需要进入你安装的logstash的bin目录下,执行以下语句,如下图我们可以进行简单的输入输出
./logstash -e 'input { stdin{} } output { stdout {} }'
在这里插入图片描述

修改输出格式为json格式

  如果想修改输出的格式,我们可以将语句进行简单的修改,即可得到如json格式的输出类型
./logstash -e 'input { stdin{} } output { stdout {codec => rubydebug} }'
在这里插入图片描述

三、读取配置文件

输入输出

  1.读取配置文件,首先我们要自定义配置文件,新建一个目录,在目录下创建一个自定义的配置文件,开始编辑
在这里插入图片描述
注意格式规范

input {
    stdin {}
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述
  2.加载配置文件,简单执行检查
  ./logstash -f /opt/config/mylog.conf
在这里插入图片描述

读取文件中的内容

(1)读取普通文本

   若要读取文件中的内容,仅需修改配置文件即可

   1.首先你要有需要读取的文件,这里以新建的opt目录下先建的a.txt为例
在这里插入图片描述
   2.修改自定义配置文件
    格式入下,注意格式规范

input {
    file {
        path => "/opt/a.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述
   3.测试是否能够成功读取
在这里插入图片描述

(2)读取json格式内容

    若要读取为json格式的内容,修改配置文件如下

input {
    file {
        path => "/opt/a.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        codec => json
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述
   以下内容作为测试内容

{"browse":"chrome:true version:81.1","custid":"10000","jzy":{"eventCategory":"btn_click","position":"128 65","time":"2000-01-01 12:00:00","pageName":"index.html","msg":"body"}}
{"browse":"chrome:true version:81.1","custid":"29070","jzy":{"eventCategory":"btn_click","position":"128 65","time":"2000-01-01 12:01:00","pageName":"index.html","msg":"every"}}
{"browse":"chrome:true version:81.2","custid":"26775","jzy":{"eventCategory":"btn_click","position":"128 65","time":"2000-01-01 12:02:00","pageName":"index.html","msg":"body"}}
{"browse":"chrome:true version:81.1","custid":"43694","jzy":{"eventCategory":"href_click","position":"128 65","time":"2000-01-01 12:03:00","pageName":"index.html","msg":"hello"}}

在这里插入图片描述

执行测试结果如下:
在这里插入图片描述

(3)多层嵌套json平级格式

   以上测试出现大json套小json的内容为多层json,输出格式存在不平级的现象
在这里插入图片描述
   需要使用filter过滤,修改配置如下

input {
    file {
        path => "/opt/a.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        codec => json
    }
}
filter {
    mutate {
        add_field => { "@adv" => "%{jzy}" }
    }json {
         source => "@adv" 
         remove_field => [ "@adv","jzy" ]
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

   思路:用@adv接受jzy的json格式的内容,最后删除不需要的内容,是的jzy中的内容与browse的内容平级
在这里插入图片描述

   测试结果展示
在这里插入图片描述

四、grok语法与正则的使用

   现要对以下非json格式进行分割,并将其以json格式输出

68738|event_login|947700000426|192.168.56.1
50553|event_login|948042000426|192.168.56.2
76286|event_login|951224460426|192.168.56.3

   以上内容输入在/opt/b.txt中

方法1:

grok语法

input {
    file {
        path => "/opt/b.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
    }
}
filter {
    grok {
        match => { "message" => "%{NUMBER:usid}\|%{WORD:uname}\|%{NUMBER:times}\|%{IP:client_ip}" }
        remove_field => [ "message" ]
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述

方法2:

正则匹配:

input {
    file {
        path => "/opt/b.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
    }
}
filter {
    grok {        match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }
        remove_field => [ "message" ]
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述

展示结果
在这里插入图片描述

五、双线程处理

   同时读取两个文件,这里以a.txt json格式,与b.txt普通格式为例

   修改配置如下

input {
    file {
        path => "/opt/b.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        type => "system"
    }
    file {
        path => "/opt/a.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        codec => json
        type => "action"
    }
}
filter {
    if [type] == "system" {
        grok {            match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }
            remove_field => [ "message" ]
        }
    }else {
         mutate {
             add_field => { "@adv" => "%{jzy}" }
         }
         json {
            source => "@adv"
            remove_field => [ "@adv","jzy" ]
         }
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

在这里插入图片描述
结果展示:
在这里插入图片描述

六、使用logstash将读取内容导入到elasticsearch

elasticsearch {
            hosts => "http://XXXX:XXX"
            index => "XXXX"
            document_type => "XXXX"
        }

主要格式修改配置文件内容为更改输出为保存到elasticsearch中,一看就懂,👀如下图所示
在这里插入图片描述

多加练习🐱‍💻🐱‍💻🐱‍💻,熟能生巧!💪💪 fighting🤖

a姜哲雨
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash过滤器-json插件解析多层json嵌套
theminer的博客
01-08 2918
logstash过滤器-json插件解析多层json嵌套 2019-08-26发表者 Venus 版本:logstash 6.6.2 方法:用logstash过滤器中的json插件配置选项实现 首先介绍用到的参数参数:add_field作用:添加字段 参数:%{field}作用:调用事件中的指定字段 参数:remove_field作用:删除字段 官方插件资料:JSON filter plugin | Logstash Reference [6.6] | Elastic 通过文档描述,json插.
logstash+grok+json+elasticsearch解析复杂日志数据(一)
热门推荐
cuixuange的博客
11-25 2万+
这几天学习了logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤器插件,输出插件等等,甚至还有许多美未能进入官
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程
logstashgrok过滤
yanggd1987的专栏
01-11 2万+
简介  前面我们的nginx日志编码使用jsonlogstash直接输入预定义好的 JSON 数据,这样就可以省略掉 filter/grok 配置,但是在我们的生产环境中,日志格式往往使用的是普通的格式,因此就不得不使用logstash的filter/grok进行过滤,下面我们就来讲下如何配置。配置1.nginx日志格式 为了帮助我们有效的理解grok正则表达式,因此在这我们将日志格式定义的
Logstash核心配置详解: 面对繁杂的Logstash配置,这份文档一定能让您少走弯路
禅与计算机程序设计艺术
09-19 5342
本文将详细解读并逐步配置Logstash核心组件,从而保障日志数据采集、清洗、加工、分析的完整链路。由于业务需求的不断变化和复杂性的增加,日志采集、清洗、处理成为企业运维效率中最耗时的环节之一。很多企业为了解决这个痛点,都选择了开源日志收集工具如Elastic Stack,其灵活高效的架构可以满足各个公司不同场景下的日志采集、存储、查询需求。在配置Logstash时,要注意它的核心组件配置,其中的pipeline模块非常重要,其次还有input、filter、output三部分构成。
ELK之Logstash解析json报错 JSON parse error:Unrecognized character escape ‘x‘
最新发布
一掬净土
12-10 1340
上述有说解析的nginx日志的第一行204个字符()无法解析:发现就是json中的request_body的只在转义的时候变成了\\x22。
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1449
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
Logstash处理json根式日志文档的三种方式
为一个人走几座城
05-19 1968
假设日志文件中的每一行记录格式json的,如:{"Method":"JSAPI.JSTicket","Message":"JSTicket:kgt8ON7yVITDhtdwci0qeZg4L-Dj1O5WF42Nog47n_0aGF4WPJDIF2UA9MeS8GzLe6MPjyp2WlzvsL0nlvkohw","CreateTime":"2015/10/13 9:39:59",&am
logstash安装以及各种数据情况的处理方法+解析嵌套json格式数据详解
Clozzz的博客
05-25 1159
json语句: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 预期的解析格式: { "name":"zhangsan", "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } logstash配置文件写法: input { stdin {
grokJSON 检测
my_bai的博客
06-22 1956
https://github.com/qiniu/logkit/wiki/Grok-Parser    #grok 格式检测 https://github.com/qiniu/logkit/wiki/Grok-Parser   #json 格式检测
最新ELK日志方案三大件安装使用 -es logstash kibana
09-04
2021.9.4时最新版本 elasticsearch-7.14.0 logstash-7.14.0 kibana-7.14.0
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装安装 GrokToRegex,请使用 go get go get github....
logstash-5.6.15安装使用
03-21
Logstash是一个完全开源的工具,它可以对你的日志进行收集、过滤、分析,支持大量的数据获取方法,并将其存储供以后使用(如搜索)。 教程:https://mp.csdn.net/mdeditor/88687853#
elasticsearch_loader:用于将数据文件(json,parquet,csv,tsv)批量加载到ElasticSearch的工具
02-03
批量上传JSON文件/ JSON行到Elasticsearch 将镶木地板文件批量上传到Elasticsearch 预定义自定义映射 上传前删除索引 使用文档本身的_id索引文档 直接从网址加载数据 SSL和基本身份验证 Unicode支持 :victory_...
LogstashGrok 模式示例
Elastic 中国社区官方博客
10-10 1533
Logstash 可以轻松解析 CSV 和 JSON 文件,因为这些格式的数据组织得很好,可以进行 Elasticsearch 分析。但是,有时我们需要处理非结构化数据,例如纯文本日志。在这些情况下,我们需要使用 Logstash Grok 或其他第 3 方服务解析数据以使其成为结构化数据。本教程将通过使用 Logstash Grok 进行解析,帮助你利用 Elasticsearch 的分析和查询功能。因此,让我们深入了解如何使用 Logstash Grok 过滤器处理非结构化数据。
10.Grok正则
王双颖的博客
06-22 468
推荐使用工具kibana 或者使用下面提供的解析工具 https://www.5axxw.com/tools/v2/grok.html #特殊匹配 (%{GREEDYDATA:json1}|-) 匹配所有数据 %{QS:agent} 匹配"-"数据 # 匹配规则 LogFile="%{WORD:logfile}";Time="%{DATA:time}";SIP="%{IPV4:sip}"; #关键字 WORD 匹配单词 DATA 匹配任意数据 IPV4 匹配IP NUMBE
java-grok通过正则表达式解析日志
程序员Monkey的专栏
08-07 8229
项目中有一个新的需求,就是需要解析日志,将日志中的部分数据分析获取出来供系统使用,通俗的讲就是抓取日志中的部分有用的信息,比如下面的apache日志信息,我需要解析每行日志,获取每行日志的IP地址、用户、创建时间、请求方式、地址....如果我们单纯使用java的方式,可能会想到通过文件流读取日志信息,然后逐行解析字符串,但是这种方式太过于复杂,而且效率比较低,在网上查询了相关的资料,决定使用log
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8102
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
logstash+grok+json+elasticsearch解析复杂日志数据(二)
cuixuange的博客
10-19 9201
接着上面一篇来说,这篇主要介绍logstash处理实时数据问题,日志数据更新时,logstash处理方式是默认每15s检查一次文件夹,每5秒检查一次文件,这些参数可以改变的。遇到当处理较多批次数据时,logstash出现卡死状态的原因,我目前猜测是输入文件较多logstash处理很快,而输出插件input elasticsearch这个插件线程限制,导致的死锁问题,后面详细说。最后展示一下ki
logstash + grok 正则语法
05-24
Logstash是一个数据收集、处理、转发的工具,而GrokLogstash中用于解析日志的插件,可以通过预定义的模式或自定义正则表达式来解析日志。下面是一些常用的Grok正则语法: 1. 基本语法: %{PATTERN:fieldName},将匹配的部分存储在指定的字段中。 2. 匹配数字: %{NUMBER:fieldName}。 3. 匹配IP地址: %{IP:fieldName}。 4. 匹配日期: %{DATESTAMP:fieldName},可以指定日期格式。 5. 匹配文本: %{WORD:fieldName},匹配单词。 6. 匹配路径: %{PATH:fieldName},匹配文件路径。 7. 匹配URI: %{URI:fieldName},匹配URL地址。 8. 匹配邮箱: %{EMAILADDRESS:fieldName}。 9. 自定义正则表达式: %{PATTERN:fieldName:REGEX},其中REGEX为自定义的正则表达式。 以上是一些常用的Grok正则语法,可以根据实际需求进行选择和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值