logstash采集规范与elasticsearch的template 、mapping 详细介绍

最新推荐文章于 2023-03-01 11:13:16 发布
最新推荐文章于 2023-03-01 11:13:16 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: 框架源码研究

本文主要介绍es 的 template和mapping 配置,通过logstash的采集流程规范,更加容易深入理解到底什么是template和mapping配置
背景知识
什么是mapping?
mapping定义了index中的每个type的每个字段的属性,主要是字段类型(integer,long,text,keyword,date,float,ip,geo)

什么是template?
如果用户每次新建一个索引的时候都需要手动创建mapping非常麻烦,es内部维护了template,template定义好了mapping,只要index的名称被template匹配到,那么该index的mapping就按照template中定义的mapping自动创建。而且template中定义了index的shard分片数量、replica副本数量等等属性。

 

logstash写入es建立mapping的3种方式:
logstash 写入 es,在es新建index的时候,新的index的mapping建立有3种方式:

1.  logstash内部自带默认template,通过该template去创建mapping。

2. es集群内部写入template,logstash写入的时候不需要指定template,index根据es集群内部存在的template自动匹配创建mapping。

3.  logstash写入的时候通过template 属性指定本地磁盘template文件路径,logstash读取该文件来建立index的mapping。

 

根据实际经验,采取第二种方式,最稳定且最容易维护。

 

template结构


什么是动态模板?
首先有2个问题,如果一个index下有新的type写入,之前没有定义怎么办?如果一个type下有新的字段写入,之前没有定义怎么办?

如果一个index下有新的type写入,之前没有定义,则根据_default_定义的属性来匹配生成。如果一个type下有新的字段写入,之前没有定义,则根据该type下的dynamic_templates来匹配生成。

template定义了要匹配的索引名,例如httpinfo-2017-01-01该索引名就会被匹配到。
settings定义了索引的属性,包括分片数量、副本数量、写入flush时间间隔。


mappings定义了该index下每个type的属性,如果该index的某个type没有定义,则根据_default_定义的属性来匹配。
某个type定义了各个字段的类型属性,在properties,如果有字段没有在properties中定义属性,则根据dynamic_templates中定义的动态模板指定识别新字段的属性

采集操作流程
在测试es环境中做以下操作:
1.  编写template,写入es
复制附件中的template示例,修改其中标红的部分。

进入测试环境kibana界面http://131.23.41.128/app/kibana#/dev_tools/console?_g=()

在dev tools界面下使用put _template/[template名]{……}命令写入es

 

通过命令 get_template/[template名]查看是否写入template成功。如果template编写错误重新执行put命令覆盖即可

2.  编写采集脚本,使用测试group名,采集kafka数据 ,使用rubydebug output输出,在控制台检查输出数据格式是否正确
input {
 
    kafka{
 
       group_id=> "bmkp_test_logstash_httpinfo_test001"
 
       topics=> "httpInfo"
 
       bootstrap_servers=> "10.0.23.17:9092"
 
       key_deserializer_class=> "org.apache.kafka.common.serialization.IntegerDeserializer"
 
       value_deserializer_class=> "org.apache.kafka.common.serialization.StringDeserializer"
 
       auto_offset_reset=> "earliest"
 
       client_id=> "httpinfo2testes"
 
       type=> "httpinfo"
 
    }
 
}
 
fiter {……}
 
output {
 
    if[type] == "httpinfo" {
 
       stdout {
 
           codec => rubydebug
 
       }
 
    }
 
}

3.  在采集脚本中添加elasticsearch output,仍然使用测试group名,运行logstash,检查测试环境elasticsearch中的数据是否正常
注意:elasticsearch output只需要指定hosts和index,不需要指定template相关的属性。

input {
 
    kafka{
 
       group_id=> "bmkp_test_logstash_httpinfo_test001"
 
       topics=> "httpInfo"
 
       bootstrap_servers=> "10.0.23.17:9092"
 
       key_deserializer_class=> "org.apache.kafka.common.serialization.IntegerDeserializer"
 
       value_deserializer_class=> "org.apache.kafka.common.serialization.StringDeserializer"
 
       auto_offset_reset=> "earliest"
 
       client_id=> "httpinfo2testes"
 
       type=> "httpinfo"
 
    }
 
}
 
filter {……}
 
output {
 
    if[type] == "httpinfo" {
 
       elasticsearch {
 
           hosts => ["10.0.23.9:9200"]
 
           index => "httpinfo-%{+yyyy-MM-dd}"
 
       }
 
       stdout {
 
           codec => rubydebug
 
       }
 
    }
 
}

 

l  使用get _cat/indices/[index_name] 命令检查es中是否已经建立了index

 

 

使用get /[index_name]/_search命令检查该index下是否已经写入了数据

 

l  使用get /httpinfo-2018-01-10/_mapping/命令检查该index的mapping是否正确

 

l  如果index中的数据格式不对或者mapping不对,执行delete [index_name]命令删除该index即可,然后修改问题重新采集

4.  删除调试测试产生的index数据
执行delete [index_name] 命令即可。

5.  到此为止测试环境测试通过,提交logstash采集的配置文件和template.json文件给大数据组,由大数据组部署测试环境并且修改文件部署到生产环境。
生产环境中做以下操作:
1.  生产环境kibana写入template,并检查结果。

2.  利用测试group名采集kafka,写入到生产es,并在生产es中检查建立的index的数据是否正确,mapping是否正确。

3.  删除生产es中测试建立的index。

4.  修改logstash采集文件的group名为正式采集group名,执行部署,完成。

请尊重知识产权,博客原文地址 http://blog.csdn.net/qq1032355091/article/details/79558649

附件:
es中的字段属性
字符串:字符串有keyword 和 text两种类型,keyword是建立精确索引的字符串,text是建立分词索引的字符串。

ip类型:ip

数字类型:short,integer,long,

命名规范
template名称:template_[kafka topic],如template_httpinfo(只允许小写字母)

index名称:[kafka topic]-YYYY-MM-dd,如httpinfo-2017-12-12(只允许小写字母)

type名称:[kafka topic]

 

logstash配置文件中的测试采集group名:bmkp_[环境名]_logstash_[topic 名]_testxxx,

如bmkp_test_logstash_httpinfo_test001、bmkp_stress_logstash_httpinfo_test001、bmkp_prod_logstash_httpinfo_test001

logstash配置文件中的正式采集group名:bmkp_[环境名]_logstash_[topic 名],

如bmkp_test_logstash_httpinfo、bmkp_stress_logstash_httpinfo、bmkp_prod_logstash_httpinfo
--------------------- 
作者:狗剩和翠花 
来源:CSDN 
原文:https://blog.csdn.net/qq1032355091/article/details/79558649 
版权声明:本文为博主原创文章,转载请附上博文链接!

zhousenshan
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash采集数据到ES
qq_42282792的博客
07-25 1904
一、使用Logstatsh采集数据库数据到ES 1.环境搭建和工具准备 (1)es环境搭建 参考:https://editor.csdn.net/md/?articleId=107477555 (2)MySQL数据库环境准备 (3)准备Logstatsh工具 本次使用版本为:logstash-6.4.3.tar.gz,包括es版本也是使用的6.4.3 (4)Linux环境准备 (5)准备MySQL驱动包 本次使用版本为:mysql-connector-java-5.1.41.jar,最好跟数据库版本对应 (
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
Elasticsearch-Mapping以及Template
qq_44447372的博客
04-02 1731
logstash的output配置中指定elasticsearchtemplate
B.I.T
12-29 1万+
之前采用的是通过filebeat收集nginx的日志,直接到elasticsearch。filebeat带有nginx的module模块,通过这个nginx模块实现filebeat对nginx日志中字段的处理。最近由于一些实际的使用场景和需求,对nginx日志的手机和处理方式做了一下调整: filebeat收集nginx原始日志信息到kafka,然后logstash再从kafka读取日志,并进行
logstash写入es的数据自定义mapping
夜太黑
05-04 1万+
ES搜索引出的logstash优化问题 之前搭建了elk,但在搜索es的时候一旦卡了条件就查不到结果,上网查了下发现是 logstash在往es里写的时候没设置mapping,,mapping会指定存入es里的字段的类型, 在es5.x中,logstash默认写入es中的字段格式如下: { "test-logs": { "mappings": { "logs":...
Logstash写入ElasticSearchMapping Template
qq_39261894的博客
08-23 999
我们使用ElasticSearch时一般需要自己创建ElasticSearch的索引的Mapping,当索引非常多的时候,可能需要配置一个索引模板Template来对类似的索引做统一配置,让索引模板Template中配置匹配索引的规则,来确定该Template会被应用到哪些索引上。 Template配置方式 当Logstash在整合ElasticSearch的时候,会有下面三种方式的Template配置: 1. 使用ElasticSearch默认自带的索引模板 ElasticSearch默认自带了一个名.
Logstash导入数据到Elasticsearch时自定义mapping
热门推荐
Coding Farmer的博客
02-18 1万+
template概念 使用logstash导入数据到ES中由于索引按天拆分,手动创建mapping非常麻烦,ES内部维护了templatetemplate定义好了mapping,如果索引的名称被template匹配到,那么该索引的mapping就按照template中定义的mapping自动创建。而且template中定义了索引的主分片和副分片的数量,分词等属性。 每个模板都有一个名字用于描...
Logstash使用template模板同步数据库(Oracle)数据到Elasticsearch
u010637366的博客
01-08 869
1、LogStash 1.1下载Logstash Wget https://artifacts.elastic.co/downloads/logstash/logstash-6.5.4.tar.gz1.2项目结构 解压缩后项目结构为: 项目结构 其中我们需要手动添加oracle的jar包作为logstash的驱动。1.3新增配置文件 logstash-test.conf 作用是:每秒增量更...
Logstash的安装和Elasticsearch的整合
Arno的博客
03-02 1987
logstash 是常见的ELK组合的成员之一. E:elasticsearch L:logstash K:kibana(比head强大在数据分析) logstash是负责收集数据在给elasticsearch做索引使用,logstash可以收集 数据库、文件等多种数据源的数据。 1 上传解压(jdk运行环境) 2 运行测试(bin目录下) #logstash -e ‘input{stdin{...
ElasticSearch之动态mapping模板
珊瑚海的博客
05-18 4477
如果我们每天都要新建索引,而mapping需要提前设置,这个时候就需要用到动态模板;每日凌晨新建索引时,匹配template的索引即可自动创建mapping。 下面有个模板的例子,供大家参考: (只要匹配news_wordcloud*的索引即可自动创建type为cms的mapping) #模板 curl -XPUT localhost:9200/_template/template_news
如何为logstash+elasticsearch配置索引模板?
三劫散仙
04-12 2723
[size=medium] 在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群中,但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了: 举个例子,假如有10台需要的监控的机器,他们的机器名...
es模板mapping
bankq的博客
05-24 827
自己用的es mapping文件 PUT /poc6 { "settings": { "index": { "refresh_interval": "1s", "number_of_shards": 5 , "number_of_replicas": 1, "translog": { "flush_thr...
Logstash设置默认template
等风来也chen
10-31 4199
指定一个默认的映射文件,将其命名未test.json。位于/opt/logstash/config/templates/下。内容大致如下 { "template" : "logstash", "settings" : { "index.number_of_shards" : 2, "number_of_replicas" : 1, "index.refresh_in...
Beats:为 Beats => Logstash => Elasticsearch 架构创建 template 及 Dashboard
Elastic 中国社区官方博客
03-31 4507
前一段时间有一个开发者私信我说自己的 Beats 连接到 Logstash,然后连接到 Elasticsearch。等数据在 Elasticsearch 中收集完后,发现 Kibana 中的 Dashboard 不能被使用。数据类型不匹配。这个到底是什么原因呢? Beats 为我们的数据导入带来了极大的方便。目前在 Elastic Stack 的架构中: 我们可以通过如下的三种路径吧数据导入到 Elasticsearch 中: Beats ==> Elasticsearch Beats
logstashelasticsearch写入数据,如何指定多个数据template
WHATIFSO
08-17 1万+
logstashelasticsearch写入数据,如何指定多个数据template?
logstash通过模板向指定索引传输数据
最新发布
Automato的博客
03-01 860
logstash 通过模板创建索引,传输采集的数据
logstash使用自定义模板问题记录
tttmdds的专栏
11-22 2417
起因: 使用ogstash把日志存储到es,由于修改字段类型节省空间的需要,考虑使用自定义模板 经过: 根据网上配置了logstash.conf output { elasticsearch { hosts => ["127.0.0.1:9200"] index => "logstash-test-%{+YYYY.MM.dd}" timeout => 30 template => "/data/conf/...
logstashelasticsearch写入数据,如何指定多个数据template
weixin_33831196的博客
03-19 289
   之前在配置从logstash写数据到elasticsearch时,指定单个数据模板没有问题,但是在配置多个数据模板时候,总是不成功,后来找了很多资料,终于找到解决办法,就是要多加一个配置项: template_name ,切该名字必须全部为小写。   参考配置信息: output { if [type] == "log_01" { elast...
ELK Stack深度解析:ElasticsearchLogstash与Kibana实战
ElasticsearchLogstash和Kibana(简称ELK)是数据处理和分析领域的关键工具,尤其在日志管理和实时数据分析方面。ELK Stack是一个集成的解决方案,涵盖了数据收集、存储、分析以及可视化等各个方面。 **Elastic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值