logstash发送数据到elasticsearch之自定义模板

已于 2022-02-07 18:16:24 修改
阅读量1.9k 收藏 8
点赞数 1
分类专栏: elk 文章标签: elasticsearch
于 2021-09-10 10:19:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43702146/article/details/120215807
版权

1 首先配置logstash.conf

# 输入来自filebeat
input {
  beats {
    port => "5044"
  }
}

# 过滤器
filter {

        grok {
                match =>{
                        "message"=>"(?<data>({.*}))"
                }
        }

        grok {
                match =>{
                        "message"=>"%{TIMESTAMP_ISO8601:logTime}"
                }
        }

        grok {
                match =>{
                        "message"=>"%{LOGLEVEL:logLevel}"
                }
        }


        grok {
                match => {
                        "message"=>"(?<userId>(?<=\"userId\":)(\d+))"
                }
        }

        # 设置东八区时间
        ruby {
                code => "event.set('logstashTime', event.get('@timestamp').time.localtime + 8*60*60);
                        event.set('@timestamp', event.get('logstashTime'))"
        }
		
		# 忽略字段
        mutate {
                remove_field => "offset"
                remove_field => "@version"
                remove_field => "input_type"
                # remove_field => "beat"
                remove_field => "host"
                remove_field => "source"
                remove_field => "type"
                remove_field => "tags"
                remove_field => "prospector"
                remove_field => "input"
                remove_field => "log"
        }

}

# 输出追加到日志中
output {
  stdout { codec => rubydebug }
}

# 输出到es
output {
  elasticsearch {
  	# host
    hosts => ["http://elasticsearch:9200"]
    # 开启logstash自动管理模板功能,默认manage_template参数为true, 否则logstash将不会调用Elasticsearch API创建模板。  
    manage_template => true
    # 自定义索引 按照天拆分
    index => "my-log-%{+YYYY.MM.dd}"
    # 自定义类型
    document_type=> "_doc"
    # 映射模板文件所在位置
    template => "/usr/share/logstash/templates/my-log.json"
    #template_name => "my-log"
    # 是否覆盖已存在的模板,template_overwrite为true则template的order高的,满足同样条件(如均以searchlog-开头)的template将覆盖order低的
    template_overwrite => true
  }
}

2 配置模板文件 my-log.json

{
		# 按照名字匹配
        "template": "my-log-*",
        # 排序
        "order": 1,
        # 索引分片等配置
        "settings": {
                "number_of_shards": 1,
                "number_of_replicas": 0,
                "refresh_interval": "60s",
                "index.max_result_window":10000000,
				"index.blocks.read_only_allow_delete":null
        },
        # 映射
        "mappings": {
                "_doc": {
                		# 严格映射
                        "dynamic":"strict",
                        "properties": {

                                "message": {
                                		# 分词器
                                        "analyzer": "ik_max_word",
                                        "index": true,
                                        "store": false,
                                        "type": "text"
                                },

                                "data": {
                                        "analyzer": "ik_max_word",
                                        "index": true,
                                        "store": false,
                                        "type": "text"
                                },

                                "userId": {
                                        "type": "long"
                                },

                                "logLevel": {
                                        "store": false,
                                        "type": "keyword"
                                },
                                "from": {
                                        "store": false,
                                        "type": "keyword"
                                },

                                ""      
                                "@timestamp": {
                                        "format": "strict_date_optional_time||yyyy-MM-dd HH:mm:ss.SSS||epoch_millis",
                                        "type": "date"
                                },

                                "logstashTime": {
                                        "format": "strict_date_optional_time||yyyy-MM-dd HH:mm:ss.SSS||epoch_millis",
                                        "type": "date"
                                },

                                "logTime": {
                                        "format": "strict_date_optional_time||yyyy-MM-dd HH:mm:ss.SSS||epoch_millis",
                                        "type": "date"
                                },

                                        "type": "date"
                                },

                                "beat": {
                                        "properties": {
                                                "hostname": {
                                                        "store": false,
                                                        "type": "keyword"
                                                },
                                                "name": {
                                                        "store": false,
                                                        "type": "keyword"
                                                },
                                                "version": {
                                                        "store": false,
                                                        "type": "keyword"
                                                }
                                        }
                                }

                        }
                }
        }
}

3 关于日期的format

"format": "strict_date_optional_time||yyyy-MM-dd HH:mm:ss.SSS||epoch_millis",
分别对应日期格式 =>
2021-09-09T17:19:21.262Z||2021-09-09 17:19:20.000||时间戳

4 关于"dynamic"字段

一般的,mapping则又可以分为动态映射(dynamic mapping)和静态(显式)映射(explicit mapping)和精确(严格)映射(strict mappings),具体由dynamic属性控制。

  • 动态映射(dynamic:true)
  • 静态映射(dynamic:false)
  • 严格模式(dynamic:strict)

前言

一般的,mapping则又可以分为动态映射(dynamic mapping)和静态(显式)映射(explicit mapping)和精确(严格)映射(strict mappings),具体由dynamic属性控制。

动态映射(dynamic:true)

现在有这样的一个索引:

PUT m1
{
  "mappings": {
    "doc":{
      "properties": {
        "name": {
          "type": "text"
        },
        "age": {
          "type": "long"
        }
      }
    }
  }
}

通过GET m1/_mapping看一下mappings信息:

{
  "m1" : {
    "mappings" : {
      "doc" : {
        "dynamic" : "true",
        "properties" : {
          "age" : {
            "type" : "long"
          },
          "name" : {
            "type" : "text"
          }
        }
      }
    }
  }
}

添加一些数据,并且新增一个sex字段:

PUT m1/doc/1
{
  "name": "小黑",
  "age": 18,
  "sex": "不详"
}

当然,新的字段查询也没问题:

GET m1/doc/_search
{
  "query": {
    "match": {
      "sex": "不详"
    }
  }
}

返回结果:

{
  "took" : 1,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : 1,
    "max_score" : 0.5753642,
    "hits" : [
      {
        "_index" : "m1",
        "_type" : "doc",
        "_id" : "1",
        "_score" : 0.5753642,
        "_source" : {
          "name" : "小黑",
          "age" : 18,
          "sex" : "不详"
        }
      }
    ]
  }
}

现在,一切都很正常,跟elasticsearch自动创建时一样。那是因为,当 Elasticsearch 遇到文档中以前未遇到的字段,它用动态映射来确定字段的数据类型并自动把新的字段添加到类型映射。我们再来看mappings你就明白了:

{
  "m1" : {
    "mappings" : {
      "doc" : {
        "dynamic" : "true",
        "properties" : {
          "age" : {
            "type" : "long"
          },
          "name" : {
            "type" : "text"
          },
          "sex" : {
            "type" : "text",
            "fields" : {
              "keyword" : {
                "type" : "keyword",
                "ignore_above" : 256
              }
            }
          }
        }
      }
    }
  }
}

通过上例可以发下,elasticsearch帮我们新增了一个sex的映射。所以。这一切看起来如此自然。这一切的功劳都要归功于dynamic属性。我们知道在关系型数据库中,字段创建后除非手动修改,则永远不会更改。但是,elasticsearch默认是允许添加新的字段的,也就是dynamic:true
其实创建索引的时候,是这样的:

PUT m1
{
  "mappings": {
    "doc":{
      "dynamic":true,
      "properties": {
        "name": {
          "type": "text"
        },
        "age": {
          "type": "long"
        }
      }
    }
  }
}

上例中,当dynamic设置为true的时候,elasticsearch就会帮我们动态的添加映射属性。也就是等于啥都没做!
这里有一点需要注意的是:mappings一旦创建,则无法修改。因为Lucene生成倒排索引后就不能改了。

静态映射(dynamic:false)

现在,我们将dynamic值设置为false

PUT m2
{
  "mappings": {
    "doc":{
      "dynamic":false,
      "properties": {
        "name": {
          "type": "text"
        },
        "age": {
          "type": "long"
        }
      }
    }
  }
}

现在再来测试一下falsetrue有什么区别:

PUT m2/doc/1
{
  "name": "小黑",
  "age":18
}
PUT m2/doc/2
{
  "name": "小白",
  "age": 16,
  "sex": "不详"
}

第二条数据相对于第一条数据来说,多了一个sex属性,我们以sex为条件来查询一下:

GET m2/doc/_search
{
  "query": {
    "match": {
      "sex": "不详"
    }
  }
}

结果如下:

{
  "took" : 0,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : 0,
    "max_score" : null,
    "hits" : [ ]
  }
}

结果是空的,也就是什么都没查询到,那是为什呢?来GET m2/_mapping一下此时m2mappings信息:

{
  "m2" : {
    "mappings" : {
      "doc" : {
        "dynamic" : "false",
        "properties" : {
          "age" : {
            "type" : "long"
          },
          "name" : {
            "type" : "text"
          }
        }
      }
    }
  }
}

可以看到elasticsearch并没有为新增的sex建立映射关系。所以查询不到。
当elasticsearch察觉到有新增字段时,因为dynamic:false的关系,会忽略该字段,但是仍会存储该字段。
在有些情况下,dynamic:false依然不够,所以还需要更严谨的策略来进一步做限制。

严格模式(dynamic:strict)

让我们再创建一个mappings,并且将dynamic的状态改为strict

PUT m3
{
  "mappings": {
    "doc": {
      "dynamic": "strict", 
      "properties": {
        "name": {
          "type": "text"
        },
        "age": {
          "type": "long"
        }
      }
    }
  }
}

现在,添加两篇文档:

PUT m3/doc/1
{
  "name": "小黑",
  "age": 18
}
PUT m3/doc/2
{
  "name": "小白",
  "age": 18,
  "sex": "不详"
}

第一篇文档添加和查询都没问题。但是,当添加第二篇文档的时候,你会发现报错了:

{
  "error": {
    "root_cause": [
      {
        "type": "strict_dynamic_mapping_exception",
        "reason": "mapping set to strict, dynamic introduction of [sex] within [doc] is not allowed"
      }
    ],
    "type": "strict_dynamic_mapping_exception",
    "reason": "mapping set to strict, dynamic introduction of [sex] within [doc] is not allowed"
  },
  "status": 400
}

错误提示,严格动态映射异常!说人话就是,当dynamic:strict的时候,elasticsearch如果遇到新字段,会抛出异常。
上述这种严谨的作风洒家称为——严格模式!

小结:

  • 动态映射(dynamic:true):动态添加新的字段(或缺省)。
  • 静态映射(dynamic:false):忽略新的字段。在原有的映射基础上,当有新的字段时,不会主动的添加新的映射关系,只作为查询结果出现在查询中。
  • 严格模式(dynamic: strict):如果遇到新的字段,就抛出异常。

一般静态映射用的较多。就像HTMLimg标签一样,src为自带的属性,你可以在需要的时候添加id或者class属性。
当然,如果你非常非常了解你的数据,并且未来很长一段时间不会改变,strict不失为一个好选择。

L-960
关注
专栏目录
elastic-alert:基于ElasticSearch的业务数据监控告警系统
05-09
ElasticAlert是建立在Elasticsearch之上的一个告警系统,专为监控和管理Elasticsearch中的业务数据而设计。ElasticAlert通过持续查询Elasticsearch并设置规则,当查询结果满足特定条件时,会触发告警,帮助用户及时...
如何为logstash+elasticsearch配置索引模板?
三劫散仙
04-12 2733
[size=medium] 在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群中,但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了: 举个例子,假如有10台需要的监控的机器,他们的机器名...
Logstash输出Elasticsearch笔记
Ghost Stories
02-08 2万+
output配置中elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引中已经存在,那么本次插入工作失败 update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到...
Logstash Elasticsearch 输出插件使用教程
最新发布
gitblog_00693的博客
09-05 336
Logstash Elasticsearch 输出插件使用教程 logstash-output-elasticsearch项目地址:https://gitcode.com/gh_mirrors/lo/logstash-output-elasticsearch 1. 项目的目录结构及介绍 logstash-output-elasticsearch/ ├── CONTRIBUTING.md ├── ...
logstash的output配置中指定elasticsearch的template
B.I.T
12-29 1万+
之前采用的是通过filebeat收集nginx的日志,直接到elasticsearch。filebeat带有nginx的module模块,通过这个nginx模块实现filebeat对nginx日志中字段的处理。最近由于一些实际的使用场景和需求,对nginx日志的手机和处理方式做了一下调整: filebeat收集nginx原始日志信息到kafka,然后logstash再从kafka读取日志,并进行
logstash之output插件-输出数据到控制台、file文件、elasticsearch、redis
传智燕青
11-24 8369
output插件是经过了input,然后过滤结构化数据之后,接下来我们需要借助output传到我们想传到的地方.output相当于一个输出管道。 将采集数据标准输出到控制台 配置示例 output { stdout { codec => rubydebug } } Codec 来自 Coder/decoder 两个单词的首字母缩写,Logst...
logstash-output elasticsearch插件使用
热门推荐
yesicatt的博客
11-29 2万+
logstash-output elasticsearch插件使用模板将数据导出到es存储
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1660
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
ElasticSearch5.2全网最全技术视频
05-26
- **ES插件开发**:教授如何开发自定义插件来扩展Elasticsearch的功能。 #### 2.2 复杂项目实战 - **实战项目**:开发一款基于地理位置的智能餐厅App搜索引擎和数据分析系统。 - **应用高级知识点**:综合运用从...
logstash-filter-grok-4.3.0.tar.gz
11-23
Logstash 中配置合适的输出插件(如 `elasticsearch`),可以让解析后的数据无缝地流入 Elasticsearch,进而进行实时搜索、聚合分析和可视化。 在解压 `logstash-filter-grok-4.3.0` 文件后,你可能会找到以下...
Elasticsearch Demo 读取word内容写入到Es上并展示在WebFrom页面上
10-26
Elasticsearch支持多种数据导入工具,如Logstash或JDBC River(已废弃),但在这个场景下,可能是通过自定义脚本或API接口直接进行的。 接着,我们要**配置Elasticsearch**。这包括安装Elasticsearch、创建索引模板...
logstash-7.5.1.zip
12-30
处理后的数据最终会被推送到各种目标,如 Elasticsearch(用于搜索和分析)、Elastic Stack 的其他组件(如 Kibana 用于可视化)、或者其他的存储系统如 Kafka 或数据库。 【标签】"logstash 7.5.1" 强调了这个版本...
Filebeat配置顶级字段Logstash在output输出Elasticsearch中的使用
非著名运维的博客
05-01 1564
Filebeat配置顶级字段Logstash在output输出Elasticsearch中的使用
Filebeat收集日志数据传输到Redis,通过Logstash来根据日志字段创建不同的ES索引
非著名运维的博客
04-19 6067
Filebeat收集日志数据传输到Redis,通过Logstash来根据日志字段创建不同的ES索引
Logstash输入Kafka输出Es配置
技术人集结地
12-12 3177
Logstash是一个开源的数据收集引擎,具有实时管道功能。它可以从各种数据源中动态地统一和标准化数据,并将其发送到你选择的目的地。Logstash的早期目标主要是用于收集日志,但现在的功能已经远远超出这个范围。任何事件类型都可以通过Logstash进行分析,通过输入、过滤器和输出插件进行转换。Logstash的工作原理是使用管道方式进行日志的搜集处理和输出。这个管道包括三个阶段:输入、处理和输出。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地。
Logstash 导入数据到 ES
weixin_49818933的博客
07-01 2860
安装后的日志文件目录 /var/log/logstash-stdout.log /var/log/logstash-stderr.log 导入的设置文件路径 /etc/logstash/conf.d ORACLE转ES 使用 logstash-input-jdbc 插件读取 oracle 的数据,这个插件的工作原理比较简单,就是定时执行一个 sql,然后将 sql 执行的结果写入到流中,增量获取的方式没有通过 binlog 方式同步,而是用一个递增字段作为条件去查询,每次都记录当
logstash通过模板指定索引传输数据
Automato的博客
03-01 875
logstash 通过模板创建索引,传输采集的数据
Logstash 7.x 配置自定义ES模板
此处无人的blog
09-05 3505
一通的折腾,嘿,自定义模板成功了。
使用logstash将项目的日志存储到Elasticsearch中(详细!新手避坑点!)
m0_73761022的博客
01-10 2445
使用logstash将项目的日志存储到Elasticsearch中新手教程,以及避坑点,和详细的教程。
filebeat自定义es的document_id
05-10
你可以使用LogstashElasticsearch输出插件来将Filebeat事件发送到Elasticsearch。在Logstash中,你可以使用一个唯一的字段(如UUID)作为document ID,例如: ``` output { elasticsearch { hosts => [...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

L-960

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值