logstash 介绍

logstash

它一个有jruby语言编写的运行在java虚拟机上的具有收集
分析转发数据流功能的工具

  • 能集中处理各种类型的数据
  • 能标准化不通模式和格式的数据
  • 能快速的扩展自定义日志的格式
  • 能非常方便的添加插件来自定义数据

安装logstash

  • 安装jdk
  • rpm包安装

logstash运行参数

  • -f 制定配置文件,目录或者通配符加载配置信息
  • -e 用于指定字符串输入
  • -w 指定filterworkers的数量,指定logstash工作线程数量
  • -l 指定logstash默认日志写入文件中,默认是控制台输出
  • --quiet 静默模式 仅仅只有error级别log输出
  • --verbose info级别的log输出
  • --debug debug级别日志的log输出
  • --V 查看logstash版本
  • -p 可以写自己的插件,然后指定好路径使用她们
  • -t 测试logstash读取到的配置文件语法能否正常解析

配置语法

  • input
  • filter
  • output

语法格式

  • 区域
    • 用{}定义区域
    • 一个区域可以定义多个插件
  • 数据类型
    • boolen: 布尔 a => true
    • Bytes: 字节 a => "10MiB"
    • Strings:字符串 a => "hello world"
    • Number: 数值 a => 1024
    • Array: 数组 match => ["datatime","UNIX","ISO8601"]
    • Hash: 哈希 options => { key1 => "value1",key2 => "value2" }
    • 编码解码: codec: codec => "json"
    • 密码型: my_passwd => "password"
    • 路径: my_path => "/tmp/logstash"
    • 注释: #
  • 条件判断
    • ==,!= ,< ,> ,<= ,>=
    • =~
    • in,not in
    • and ,or , nand, xor
    • (), !()
    • if expression {
      } else if expression {
      ...
      } else {
      ...
      }
  • 字段引用
    • %{[response][status]}

logstash插件

  • inputs 输入
  • codecs 解码
  • filters 过滤
  • outputs 输出

logstash-plugins

logstash inputs 配置

  • stdin
  • file
  • tcp/udp
  • rsyslog
  • redis
  • kafka
  • beats
input {
    stdin {
    } 
}
outpu {
    stdout {
    } 
}

stdin

stdin {
    add_field => { "a" => "b" }
    codec => "json"
    tags => "["a","b"]"
    type => "my_type"

}

file

  • close_older number No
  • delimiter string No
  • discover_interval number No
  • exclude array No
  • ignore_older number No
  • max_open_files number No
  • path array Yes
  • sincedb_path string No
  • sincedb_write_interval number No
  • start_position string, one of ["beginning", "end"] No
  • stat_interval number No
input {
    file {
        path => ["/var/log/nginx/access.log"] 
        type => "nginx-log"  
        start_position => 'beginning'
    } 
} 
output {
    stdout {} 
}

tcp/udp

input {
    tcp {
        port => 9090 
        mode => "server"
        ssl_enable => false 
        
    }
}
output {
    stdout {} 
    
} 
nc 127.0.0.1:9090 < data

input {
    udp {
        host => "127.0.0.1" 
        port => 5050        
    }   
} 
output {
    stdout {} 
    
} 


#python udp客户端
import socket 
port = 5050
host = "127.0.0.1"
file_input = raw_input("\033[32;1mPlease input: \033[0m")
s = socket.socket(socket.AF_INET,socket_SOCK_DGRAM) 
s.sendto(file_input,(host,port))

rsyslog

input {
    syslog {
        host => "127.0.0.1" 
        type => "syslog" 
        port => 518 
        
    } 

} 
output {
    stdout { } 

} 
###
vim /etc/rsyslog.conf 
*.* @@127.0.0.1:518
### 
logger 命令模拟发送日志

编码

# plain
input {
    stdin {
        codec => 'plain'
    } 
} 
output {
    stdout { }  
} 

# json
input {
    stdin {} 

} 
output {
    stdout {
        codec => "json" 
    }

} 

#json_lines
input {
    tcp {
        port => 12345
        host => '127.0.0.1'
        codec => json_lines 
    
    }
}
output {
    stdout { } 
}

#rubydebug 
input {
    stdin {
        codec => json 
    }
} 
output {
    stdout {
        codec => rubydebug 
    }
}

multiline

input {
    stdin {
        codec => multiline {
            charset => ""     #字符编码
            max_bytes =>        #最大字节数
            max_lines =>      #最大行数,默认500
            multiline_tag =>  #设置一个事件标签,默认multiline
            pattern =>          #string匹配规则
            patterns_dir =>    #array多个匹配规则
            negate => false   #设置正向匹配还是反向匹配
            what   => next    #匹配的内容后,后面多行的日志是向前靠拢还是向后靠拢,previous,next
        }
    
    
    }
}

input {
    stdin {
        codec = multiline {
            pattern => "^\["
            negate => true
            what => previous
        
        }
    
    }
} 
output {
    stdout {
        codec => rubydebug 
    
    } 
}

logstash filter 配置

  • json file
  • grok file
  • kv file

grok filter

kv filter

logstash output 配置

  • file输出
  • tcp/udp方式输出
  • elasticsearch
  • redis
  • kafka
  • hdfs
  • email

output file

output {
    file {
        path => "/root/access_result"
        #message_format => "%{ip}" 
        #path => "/root/access_%{+YYYY.MM.DD}_%{host}.txt"  
        #gzip => true 
    
    }
    stdout {
        codec => rebydebug 
        
    }
}

output {
    tcp {
        codec => json_lines 
        host => "127.0.0.1"
        port => "4050"
        mode => "server"
    }

}


output {
        udp {
            host => "127.0.0.1"
            port => 4050
        }
} 

output {
    elasticsearch {
        host => "127.0.0.1" 
        protocol => "http" 
        index => "test_output-%{type}-%{+YYYY.MM.dd}"
        document_type => "nginx" 
        workers => 5

    }
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,417评论 6 492
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,921评论 3 387
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,850评论 0 349
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,945评论 1 285
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,069评论 6 385
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,188评论 1 291
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,239评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,994评论 0 268
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,409评论 1 304
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,735评论 2 327
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,898评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,578评论 4 336
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,205评论 3 317
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,916评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,156评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,722评论 2 363
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,781评论 2 351

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,644评论 18 139
  • es-日志存储-Logstash 介绍
    本文是elasticsearch官方文档logstash的翻译,你也可 查看原文 注:Logstash意思是日志存...
    阳春是你阅读 6,831评论 0 3
  • ELKB5.2.2集群环境部署配置优化终极文档
    本人陆陆续续接触了ELK的1.4,2.0,2.4,5.0,5.2版本,可以说前面使用当中一直没有太多感触,最近使用...
    三杯水Plus阅读 4,094评论 0 12
  • Logstash 使用总结
    Logstash使用配置 运行:bin/logstash -f /home/logstash.conf logst...
    会飞的鱼Coo阅读 40,727评论 2 10
  • 年度计划
    在我年度计划里,有一项最重要的事就是,2017年结婚。 二月一直忙着做交易计划,把结婚的事给忘记了。面包比爱情重要...
    Joy君阅读 118评论 0 0