Logstash输出到Elasticsearch笔记

最新推荐文章于 2023-10-17 08:00:00 发布
最新推荐文章于 2023-10-17 08:00:00 发布
阅读量1.1w 收藏 12
点赞数 1
分类专栏: 随笔普通文章

output配置中elasticsearch配置

action

  • index 给一个文档建立索引
  • delete 通过id值删除一个文档(这个action需要指定一个id值)
  • create 插入一条文档信息,如果这条文档信息在索引中已经存在,那么本次插入工作失败
  • update 通过id值更新一个文档。更新有个特殊的案例upsert,如果被更新的文档还不存在,那么就会用到upsert

示例:

action => "index"
  • 1

index

写入事件所用的索引。可以动态的使用%{foo}语法,它的默认值是: 
“logstash-%{+YYYY.MM.dd}”,以天为单位分割的索引,使你可以很容易的删除老的数据或者搜索指定时间范围内的数据。

索引不能包含大写字母。推荐使用以周为索引的ISO 8601格式,例如logstash-%{+xxxx.ww}

示例:

 index => "tomcat_logs_index_%{+YYYY.MM.dd}"
  • 1

hosts

是一个数组类型的值

意http协议使用的是http地址,端口是9200,示例:

hosts => ["192.168.102.209:9200", "192.168.102.216:9200"]
  • 1

document_type

定义es索引的type,一般你应该让同一种类型的日志存到同一种type中,比如debug日志和error日志存到不同的type中

如果不设置默认type为logs

template

如果你愿意,你可以设置指向你自己模板的路径。如果没有设置,那么默认的模板会被使用

template_name

这个配置项用来定义在Elasticsearch中模板的命名

注意删除旧的模板

curl -XDELETE <http://localhost:9200/_template/OldTemplateName?pretty>
  • 1

template_overwrite

布尔类型 默认为false 
设置为true表示如果你有一个自定义的模板叫logstash,那么将会用你自定义模板覆盖默认模板logstash

manage_template

布尔类型 默认为true 
设置为false将关闭logstash自动管理模板功能 
比如你定义了一个自定义模板,更加字段名动态生成字段,那么应该设置为false

order参数

ELK Stack 在入门学习过程中,必然会碰到自己修改定制索引映射(mapping)乃至模板(template)的问题。 
这时候,不少比较认真看 Logstash 文档的新用户会通过下面这段配置来制定自己的模板策略:

output {
    elasticsearch {
        host => "127.0.0.1"
        manage_template => true
        template => "/path/to/mytemplate"
        template_name => "myname"
    }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

然而随后就发现,自己辛辛苦苦修改出来的模板,通过 curl -XGET ‘http://127.0.0.1:9200/_template/myname’ 看也确实上传成功了,但实际新数据索引创建出来,就是没生效!

这个原因是:Logstash 默认会上传一个名叫 logstash 的模板到 ES 里。如果你在使用上面这个配置之前,曾经运行过 Logstash(一般来说都会),那么 ES 里就已经存在这么一个模板了。你可以curl -XGET ‘http://127.0.0.1:9200/_template/logstash’ 验证。

这个时候,ES 里就变成有两个模板,logstash 和 myname,都匹配 logstash-* 索引名,要求设置一定的映射规则了。

ES 会按照一定的规则来尝试自动 merge 多个都匹配上了的模板规则,最终运用到索引上

其中要点就是:template 是可以设置 order 参数的!而不写这个参数,默认的 order 值就是 0。order 值越大,在 merge 规则的时候优先级越高。

所以,解决这个问题的办法很简单:在你自定义的 template 里,加一行,变成这样:

{
    "template" : "logstash-*",
    "order" : 1,
    "settings" : { ... },
    "mappings" : { ... }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

当然,其实如果只从 Logstash 配置角度出发,其实更简单的办法是:直接修改原来默认的 logstash 模板,然后模板名称也不要改,就好了:

output {
    elasticsearch {
        host => "127.0.0.1"
        manage_template => true
        template_overwrite => true
    }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

为elasticsearch配置模板

在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群中

但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了:

所以这时候,就需要我们自定义一些索引模板了

在logstash与elasticsearch集成的时候,总共有如下几种使用模板的方式:

  1. 使用默认自带的索引模板 ,大部分的字段都会分词,适合开发和时候快速验证使用

  2. 在logstash收集端自定义配置模板,因为分散在收集机器上,维护比较麻烦

  3. 在elasticsearc服务端自定义配置模板,由elasticsearch负责加载模板,可动态更改,全局生效,维护比较容易

使用默认自带的索引模板

ElasticSearch默认自带了一个名字为”logstash”的模板,默认应用于Logstash写入数据到ElasticSearch使用

优点:最简单,无须任何配置

缺点:无法自定义一些配置,例如:分词方式

在logstash收集端自定义配置模板

使用第二种,适合小规模集群的日志收集

需要在logstash的output插件中使用template指定本机器上的一个模板json路径, 例如 template => “/tmp/logstash.json”

优点:配置简单

缺点:因为分散在Logstash Indexer机器上,维护起来比较麻烦

在elasticsearc服务端自定义配置模板

manage_template => false//关闭logstash自动管理模板功能  
template_name => "xxx"//映射模板的名字
  • 1
  • 2

第三种需要在elasticsearch的集群中的config/templates路径下配置模板json,在elasticsearch中索引模板可分为两种

静态模板

适合索引字段数据固定的场景,一旦配置完成,不能向里面加入多余的字段,否则会报错

优点:scheam已知,业务场景明确,不容易出现因字段随便映射从而造成元数据撑爆es内存,从而导致es集群全部宕机,维护比较容易,可动态更改,全局生效。

缺点:字段数多的情况下配置稍繁琐

一个静态索引模板配置例子如下:

{  
  "xxx" : {  
      "template": "xxx-*",  
        "settings": {  
            "index.number_of_shards": 3,  
            "number_of_replicas": 0   
        },  
    "mappings" : {  
      "logs" : {  
        "properties" : {  
          "@timestamp" : { //这是专门给kibana用的一个字段,时间索引
            "type" : "date",  
            "format" : "dateOptionalTime",  
            "doc_values" : true  
          },  
          "@version" : {  
            "type" : "string",  
            "index" : "not_analyzed",  
            "doc_values" : true      
          },  
          "id" : {  
            "type" : "string",  
            "index" : "not_analyzed"  
          },  
          "name" : {  
            "type" : "string",  
            "index" : "not_analyzed"  
          }
        }  
      }  
    }  
  }  
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33

【声明:转载请注明出处 
独立:http://wangnan.tech 
简书:http://www.jianshu.com/u/244399b1d776 
CSDN:http://blog.csdn.net/wangnan9279

zhousenshan
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearchLogstash:实现实时日志分析
禅与计算机程序设计艺术
02-22 33
1. 背景介绍 1.1 日志分析的重要性 在现代企业中,日志分析已经成为了一项至关重要的任务。通过对日志数据的分析,企业可以更好地了解其业务运行状况、监控系统性能、发现潜在问题、进行故障排查以及优化系统。然而,随着数据量的不断增长,传统的日志分析方法已经无法满足实时性、高效性和可扩展性的需求。因此,
资料包-最全ELK+项目【Elasticsearch Logstash Kibana】
07-14
全网唯一,B站视频资料包(不包含视频)https://www.bilibili.com/video/BV1gk4y1k7gd 包括课堂笔记、软件安装包、项目源码、SQL文件等视频中出现的资源。
ELK详细搭建及使用笔记word文档
11-15
ELK详细搭建及使用笔记word文档,包含所需文件下载地址。通过ELK(ElasticSearch + LogStash + Kibana = ELKStack),轻松几步搭建ELK环境,对数据进行实时监控和分析。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Elasticsearch是一个高度可扩展的开源全文搜索和分析引擎。它允许您快速,近实时地存储,搜索和分析大量数据。它通常用作支持具有复杂搜索功能和需求的应用程序的底层引擎/技术。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。 Kibana:Web前端,可以将ElasticSearch检索后的日志转化为各种图表,为用户提供数据可视化支持。
springboot-blog-es:Springboot + ElasticSearch构建博客检索系统
03-11
简易博客检索系统使用前阶段分离,前端使用Vue,可以使用SpringBoot数据库MySQL检索使用ElasticSearch同步数据使用logstash 笔记地址: : 视频地址: : 参考代码: : 运行效果图
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
02-03
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
最新发布
栗筝i的博客
10-17 2149
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
[ELasticSearch]-Logstash的使用
liangsena的博客
02-21 1040
Logstash是一款强大的ETL(Extract、Transform、Load)工具。本文介绍了将es、mysql的数据利用Logstash进行迁移的过程
Elasticsearch学习之Logstash
Micky_Yang的博客
12-14 586
一、Logstash介绍   ELK stack任务栈中还有另外两个很关键的组件Logstash和Kibana;Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态的将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。Logstash支持多种数据的获取机制,通过TCP/UDP协议、文件、syslog、windows EventLogs及STDID等;获取...
ElasticSearch从入门到精通:Logstash妙用
jakpopc的博客
06-30 1253
我是Jackpop,我们交个朋友吧!在本系列文章的第3部分关于实时流处理的文章中,我们学习了如何使用ElasticSearch的批量API以及利用REST API将.json航班数据文件导入ElasticSearch。在这篇文章中,我们将介绍另一种方式,LogstashLogstash是一个开源的数据收集引擎,具有实时流水线功能。它从多个源头接收数据,进行数据处理,然后将转化后的信息发送到stash,即存储。Logstash允许我们将任何格式的数据导入到任何数据存储中,不仅仅是ElasticSearch
Logstash——Logstash将数据推送至Elasticsearch
热门推荐
大风的博客
05-25 1万+
elasticsearch介绍 在使用云日志管理的时候,logstash的数据最终需要elasticsearch来进行存储和分析。所以logstash提供大量参数来支持和满足相关业务场景。 可配置参数 字段 参数类型 说明 action string 要执行的Elasticsearch动作 api_key password 使用Elasticsearch API密钥进行身份验证,需要启动SSL bulk_path string 执行_bulk请求的HTTP路径 cacert a
logstash 写入elasticsearch索引设置
zhaoyu_nb的博客
04-11 3189
文章目录logstash的配置logback的输入设置与springCloud的整合ps logstash的配置 启动命令 logstash.bat -f **.conf 配置文件 数据输入 input{ tcp{ host => "127.0.0.1" port => 9100 codec => "json"...
logstash同步elasticsearch笔记
03-20
logstash同步elasticsearch笔记 2018,包括配置文件,和demo
logstash日志分析的配置和使用
weixin_33840661的博客
02-01 635
logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的...
Logstash:如何使用 ElasticsearchLogstash 和 Kibana 管理 Apache 日志
Elastic 中国社区官方博客
03-22 3096
全面的日志管理和分析策略对任务至关重要,这使组织能够了解运营,安全性和变更管理事件之间的关系,并保持对其基础架构的全面理解。 来自Web服务器,应用程序和操作系统的日志文件也提供了有价值的数据,尽管格式不同,并且以随机和分布式方式提供。 为什么Apache Web Server如此受欢迎? 它是免费和开放源代码,为全球约40%的网站提供支持。并且开放源代码正比专有软件更加流行。 由Apache ...
logstash 输出elasticsearch 自动建立index
weixin_30709061的博客
12-09 1369
由于es 单index 所能承受的数据量有限,之前情况是到400w数据300G左右的时候,整个数据的插入会变得特别慢(索引重建)甚至会导致集群之间的通信断开,于是我们采用每天一个index的方法来缓解压力,logstash 默认是支持每天产生索引的默认名为 logstash-yyyy.MM.dd 那么我们怎么才能重命名它呢,或者当我们有多个logstash实例的时候怎么才能让他们分别开...
Elasticsearch学习(七)LogStash学习,手把手教你安装LogStash
一天不写代码难受的博客
02-16 780
目录1 什么是LogStash2 为什么使用Logstash3Logstash工作原理3.1Data Source3.2Logstash Pipeline安装Logstash1安装Logstash2启动容器3修改配置4修改输入输出配置5重启容器6查看日志 1 什么是LogStash ELK(Elasticsearch+Logstash+Kibana)中我们使用过Elasticsearch和Kibana,就剩下最后一个LogStash了。 官方文字说明:Logstash 是开源的服务器端数据处理管道,能够同时
logstashelasticsearch output plugin:不同action的区别(index/create/update)
点火三周的专栏
09-25 4044
文章目录elasticsearch plugin的actioncreateindexupdatedoc_as_upsertupsert异常总结 elasticsearch plugin的action logstash提供了多达40多种的output plugin用于将处理后的数据输出到下游系统。其中最为常见的输出端自然是elasticsearch plugin。而elasticsearch plu...
Logstash详解
qq_40673345的博客
12-26 5957
logstash可以接收不同类型的元数据(input) 1.文件类型(file) input{ file{ #path属性接受的参数是一个数组,其含义是标明需要读取的文件位置 path => [‘pathA’,‘pathB’] #表示多就去path路径下查看是够有新的文件产生。默认是15秒检查一次。 discove...
Logstash filter 的使用
qq_25011427的博客
03-24 478
原文地址:http://techlog.cn/article/list/10182917 概述 logstash之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本解析工具--Grok grok是一个十分强大的logstashfilter插件,他可以解...
logstash输出elasticsearch
06-28
### 回答1: Logstash可以将处理过的数据输出Elasticsearch中,实现数据的存储和检索。具体的步骤如下: 1. 在Logstash的配置文件中,添加Elasticsearch输出插件,指定Elasticsearch的地址和索引名称等参数。 2. 启动Logstash,它会读取指定的数据源,对数据进行处理,并将处理后的数据输出Elasticsearch中。 3. 在Elasticsearch中,可以使用Kibana等工具进行数据的可视化和检索。 总的来说,LogstashElasticsearch是一对非常强大的组合,可以帮助我们快速构建数据处理和检索系统。 ### 回答2: Logstash是一个用于数据收集、处理和转换的工具,可以从不同的源获取数据并将其输出到各种目标存储。而Elasticsearch则是一个开源的分布式搜索引擎,它能够在高效、安全、可伸缩的基础上索引与搜索海量实时数据。 Logstash输出Elasticsearch,是一种常见的数据处理和存储的方案,也是Elastic Stack(ELK)的一部分。这种方案可以结合多个数据源和数据格式,并通过logstash进行数据转换和处理,最终将收集的数据存储到Elasticsearch中,同时在Kibana中进行数据展示和分析。 为了实现这种方案,需要在Logstash中配置Elasticsearch插件,通过设置输出插件的类型和参数来指定Elasticsearch作为输出目标。在数据从不同源收集后,Logstash会将其进行过滤和转换处理,然后将处理后的数据输出Elasticsearch中。 当数据存储到Elasticsearch中后,可以使用Kibana进行数据展示和分析。通过Kibana的图表和仪表盘 ,我们可以对数据进行实时监控,进行查询分析和可视化。同时,Elasticsearch还具有高效、可伸缩的实时搜索和分布式存储特性,可以支持海量数据的存储和查询。 总的来说,Logstash输出Elasticsearch是一个实现实时数据收集和分析的强大工具和技术,可以帮助我们更好的理解数据,以便做出更好的决策和优化业务。 ### 回答3: Logstash是一种开源数据收集引擎,可以将不同来源的数据进行过滤、转换和聚合,最终输出到不同目的地。其中,输出Elasticsearch是最常见的用例之一。 首先,我们需要安装和配置LogstashElasticsearchLogstash的配置文件中需要指定输出插件为Elasticsearch,并配置Elasticsearch的IP地址和端口等参数。例如: ``` output { elasticsearch { hosts => ["127.0.0.1:9200"] index => "myindex-%{+YYYY.MM.dd}" } } ``` 上面的配置表示将数据输出到本地的Elasticsearch实例,并将索引的名称设为“myindex-年月日”的格式,可以实现按天切分索引,方便后续的查询和维护。 在Logstash中,我们可以使用不同的插件对数据进行处理和转换,以满足不同的需求。比如,使用grok插件将日志中的格式化信息提取出来,使用date插件解析时间戳等等。这些插件都可以在Logstash的插件库中找到,也可以自己编写插件满足特定的需求。 在输出Elasticsearch时,Logstash会将数据转化为JSON格式,并根据指定的索引名称和类型进行索引Elasticsearch提供了强大的搜索和聚合功能,可以对数据进行复杂的查询和分析。同时,Elasticsearch也支持分布式架构,可以横向扩展以处理海量数据和高并发量。 总之,Logstash输出Elasticsearch是一种非常方便和实用的数据处理和分析方案,实现了数据的集中化和可视化,可以帮助我们更好地理解和利用数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值