Logstash笔记

最新推荐文章于 2022-09-05 14:17:02 发布
最新推荐文章于 2022-09-05 14:17:02 发布
阅读量148 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsylina/article/details/116562088
版权

Logstash学习资料

是什么

日志的分析,清洗

使用

bin目录是脚本目录

config目录是配置文件目录

Logstash是怎么工作的

一个开源的、服务端的数据处理pipeline(管道)。它开源接收多个源的数据,然后进行转换,最终将它们发送到指定的目的地。

Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分。对应的插件依次是,input、filter、output……,其中fileter是可选的,其他两个是必须的。

  • input插件
    在这里插入图片描述
  • Output插件
    在这里插入图片描述

安装使用

在这里插入图片描述

  • 启动

    nohup ./logstash -f logstash.conf & # 此处的conf文件里面定义了输入输出格式插件

  • logstash插件实例

    input{
      file {       # 输入file插件
      path => "/var/log/secure"
   }

    }

output{
       kafka {     # 输出kafka插件
              bootstrap_servers => "192.168.1.20:9092,192.168.1.30:9092,192.168.1.40:9092"
              topic_id => "osmessage"
            }
    }

  • Logstash事假文件的编写并从Kafka消费数据

    input{
	kafka {
	bootstrap_servers => "192.168.1.20:9092,192.168.1.30:9092,192.168.1.40:9092"
	topics => ["osmessage"]
	codec => "json"
	}
}

output{
	elasticsearch {
		hosts => ["192.168.1.60:9200"]
		index => "osmessagelog-%{+YYYY-MM-dd}"
	}
}

Logstash语法应用

基本语法组成

  • Input
  • Output
  • Filter
    在这里插入图片描述
    Input
    在这里插入图片描述
    标准输入(stdin)
input{
	stdin{
			add_field => {"key" => "iivey"} #表示增加一行自定义输出
			tages => ["add1"]
	}
}
oupt{
	stdout{
			codec => rubydebug
	}
}

  • Logstash编码插件

    编码插件(Codec)可以在Logstash输入或者输出时处理不不同类型的数据

    Codec插件支持常见的格式有plain、json、json_lines……

    • plain

      是一个空的解析器,它可以让用户自己指定格式,也就是说输入什么格式,输出就是什么格式。

      input{
	stdin{}
}
output{
	codec => "plain"
}

    • json、json_lines
      在这里插入图片描述

      input{
	stdin{}
}
output{
	codec => "json"
}
Filter

在这里插入图片描述

/usr/local/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns,在这个Logshtash的安装目录下可以查询Logstash自带的匹配模式
在线调试平台:grokdebug.herokuapp.com

  • 匹配模式
    在这里插入图片描述
    在这里插入图片描述

  • 删除字段

    input{
	stdin{}
}

filter{
	grok{
	match => ["message","%{IP:clientip}\ \[%{HTTPDDATE:timestamp}\]"]
	remove_field => ["message"] #表示删除某个字段
	}
date { #时间插件
	match => ["timestamp","dd/MMM/YYYY:HH:mm:ss Z"] #表示自己定义的时间赋给系统
	}
mutate {
	remove_field => ["timestamp"] # 上面时间被修改后,这里可以删除时间字段
	}
}

output{
	stdout{
	codec => rubydebug
	}
}

  • 时间处理(Date)
    在这里插入图片描述在这里插入图片描述

  • 数据修改(Mutate)
    在这里插入图片描述
    在这里插入图片描述

  • GeoIP地址归类查询
    在这里插入图片描述
    一个稍微有点难度的匹配
    GREEDYDATA :grok中科院匹配任何字符

input{
	stdin{}
}
filter{
	grok{
	match => {"message" => "%{TIMESTAMP_ISO8601:localtime\|\~\|%{IPORHOST:clientip}\|\~\|(%{GREEDYDATA:http_user_agent})\|\~\|(%DATA:http_referer)\|\~\|%{GREEDYDATA:mediaid}{GREEDYDATA:http_user_agent})\|\~\|(%DATA:http_referer)\|\~\|%{GREEDYDATA:mediaid}\|\~\|%{GREEDYDATA:osid}"}
	}
}

data {
	match => ["localtime","yyyy-MM-dd'T'HH:mm:ssZZ"]
	target => "@timestamp" #target表示赋值给@timestamp
}
mutate {
	remove_field => ["localtime"]
}
output{
	stdout{
		codec => "rubydebug"
	}
}
Output

在这里插入图片描述

  • 输出到Elasticsearch集群
    在这里插入图片描述
 output{
 	elasticsearch{
 		host => ["192.168.1.60:9200"]
 		index => "logstash-%{+YYYY.MM.dd}" #索引名称,可以使用变量格式,索引名称必须是小写字母,不能是大写
 		manage_template => false #是否开启自动管理模板的功能
 		template_name => "template_web_access_log" # 自定义模板的名称
 	}
 }

Logstash收集方法

在这里插入图片描述

WillianmsLee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021-11-01Logstash关于日志清洗记录学习及应用
weixin_52116589的博客
11-01 1064
logstash日志清洗: 公司目前给我日志清洗任务,给了我乱七八糟资料之后看的一脸懵,最后决定自己动手整理整理这样有头绪点,记录一下自己学习过程。其中涉及到一些ip内容的我都改为ip,其他保持一致,欢迎大家一起讨论,我也是刚开始学习这个,如有写的不对请多指教。 一、学习阶段 1、首先理解logstash中各个语法: 事件:Logstash 每读取一次数据的行为叫做事件。 1)**Input:**输入插件,允许一个特定的事件源可以读取到 Logstash 管道中。 支持多种数据源:stdin,file,tc
logstash学习笔记
09-05
早期刚接触logstash时记录的学习笔记,今天翻到了就拿出来分享一下,适合初学者,大手子不要下载了。
logstash 笔记
qq_28808697的博客
03-01 201
Since filters are evaluated in sequence, make sure that the geoip section is after the grok section of the configuration file and that both the grok and geoip sections are nested within the filter se...
logstash使用自定义模板问题记录
tttmdds的专栏
11-22 2381
起因: 使用ogstash把日志存储到es,由于修改字段类型节省空间的需要,考虑使用自定义模板 经过: 根据网上配置了logstash.conf output { elasticsearch { hosts => ["127.0.0.1:9200"] index => "logstash-test-%{+YYYY.MM.dd}" timeout => 30 template => "/data/conf/...
logstash同步elasticsearch笔记
03-20
logstash同步elasticsearch笔记 2018,包括配置文件,和demo
devops笔记devops笔记
06-19
笔记将深入探讨DevOps的核心理念、工具链以及最佳实践。 一、DevOps的起源与发展 DevOps的概念在2009年被提出,它源于对传统软件开发与运维之间“墙”的挑战。随着敏捷开发的普及,人们发现即使开发速度快,如果...
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
02-03
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
logstash-output-influxdb
05-30
笔记 这个插件需要维护者——如果你愿意帮忙,请评论这个问题 ! Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础...
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
logstash监听交换机端口区分不通网络设备型号
11-25
Logstash 是一个强大的数据收集引擎,它能从各种数据源中获取数据,转换并将其转发到其他地方,如 Elasticsearch 或者其他存储系统。在IT监控领域,Logstash 常常与 ELK (Elasticsearch, Logstash, Kibana) 堆栈结合...
谷粒商城项目笔记.zip
01-26
6. **数据分析与监控**:使用ELK Stack(Elasticsearch、Logstash、Kibana)进行日志分析,以及Prometheus、Grafana的使用,实现系统监控。 7. **持续集成/持续部署(CI/CD)**:Jenkins、GitLab CI/CD等工具的配置和...
logstash_forwarder-formula:logstash-forwarder 的盐公式
06-08
笔记请参阅完整的。可用状态 安装logstash-forwarder包,设置配置文件,可选设置logstash-forwarder证书,并启用该服务。 该公式目前支持基于 Debian 和 RedHat 的发行版。 虽然 Debian 和 RedHat 的软件包提供了...
学习笔记
03-18
此外,笔记中可能还会涉及一些特定领域的工具,如数据库管理工具(如MySQL Workbench)、性能分析工具(如JProfiler、VisualVM)、日志分析工具(如Logstash、Kibana)等。掌握这些工具的使用,有助于我们在遇到问题...
Logstash 7.x 配置自定义的ES模板
此处无人的blog
09-05 3329
一通的折腾,嘿,自定义模板成功了。
Logstash输出到Elasticsearch笔记
热门推荐
Ghost Stories
02-08 2万+
output配置中elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引中已经存在,那么本次插入工作失败 update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到...
logstash常见数据清洗配置
舒克的博客
06-29 2088
ogstash通过插件的形式来配置input,filter,output,在消费数据后,如果需要对数据做处理,需要用到filter的很多功能。最近使用logstash传递kafka数据到es时,了解了一些logstash处理数据的方式,以下logstash的config做个简单分享: input { kafka { bootstrap_servers => "xxx.xxx.xxx.xx:9092,yyy.yyy.yyy.yy:9092," ##kafka地址,可以是集群 ...
ElasticSearch学习笔记
10-29
ElasticSearch学习笔记 ElasticSearch是基于Apache Lucene的搜索和数据分析引擎,提供了RESTful API用于数据的索引、搜索和分析。本笔记将对ElasticSearch的基本概念、架构、应用场景和实现细节进行详细介绍。 一...
安装logstash
最新发布
11-18
以下是在CentOS 7下安装Logstash的步骤: 1.下载Logstash的RPM包,可以使用引用中提供的离线安装包,也可以在官网下载最新版本的RPM包。 2.使用以下命令安装Logstash: ```shell sudo rpm -ivh logstash-6.2.4.rpm ``` 3.安装完成后,可以使用以下命令启动Logstash: ```shell sudo systemctl start logstash ``` 4.如果需要在系统启动时自动启动Logstash,可以使用以下命令: ```shell sudo systemctl enable logstash ``` 5.如果需要停止Logstash,可以使用以下命令: ```shell sudo systemctl stop logstash ``` 6.如果需要重新启动Logstash,可以使用以下命令: ```shell sudo systemctl restart logstash ``` 7.如果需要查看Logstash的状态,可以使用以下命令: ```shell sudo systemctl status logstash ``` 关于Logstash的配置和使用,可以参考引用中的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值