logstash对接kafka,推送ES库,根据数据时间生成ES索引

最新推荐文章于 2025-08-22 15:28:46 发布
原创 最新推荐文章于 2025-08-22 15:28:46 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #kafka #大数据

本文介绍如何在Kafka接收到乱序数据的情况下,通过Logstash配置更新,使用自定义时间字段生成按日期划分的Elasticsearch索引,确保数据有序存储。

情况:
这边对接了kafka,但是,kafka里面数据是乱序的,比如,5月20号,可能里面包含了,17号,18号,19号的数据,而且,队列里数据,是只能向前消费,无法回到之前的offset进行消费。

于是,以前按照系统当前时间,创建索引的方式,不能使用了。

index => "ods_harmful_%{+YYYY-MM-dd}"

修改:
注意字段对应关系:

	mutate{
		split => ["message","^"]
		add_field =>   {
            "my_time" => "%{[message][8]}"
            "my_timest" => "%{[message][8]}"
        }
	}
	date {
		match => ["my_time","yyyyMMddHHmmss"]
		target => "my_time"
	}
	date {
		match => ["my_timest","yyyyMMddHHmmss"]
		target => "my_timest"
	}
	ruby {
		code => "event.set('my_time', (event.get('my_time').time.localtime).strftime('%Y-%m-%d %H:%M:%S'))"
    }
	
	ruby {
        code => "event.set('my_timest', (event.get('my_timest').time.localtime).strftime('%Y-%m-%d'))"
    }
    
	elasticsearch {
		hosts => "127.0.0.1:9200"
		index => "whitelist_message_%{my_timest}"
		retry_on_conflict => 5
		document_id => "%{acc_num}"
		codec => plain { charset => "UTF-8" }
	}

完整配置如下:

input{
  
  file{
        path => "C:/Users/Administrator/Desktop/logstash_7.12.0_kafka_test/alldata/*"
		type => "default"
		add_field => {"flag"=>"topic1"}
		start_position => "beginning"
		type => "default"
		codec => plain { charset => "UTF-8" }
  
  }
}

filter {

	mutate{
		split => ["message","^"]
		add_field =>   {
            "my_time" => "%{[message][8]}"
            "my_timest" => "%{[message][8]}"
        }
	}
	date {
		match => ["my_time","yyyyMMddHHmmss"]
		target => "my_time"
	}
	date {
		match => ["my_timest","yyyyMMddHHmmss"]
		target => "my_timest"
	}
	ruby {
		code => "event.set('my_time', (event.get('my_time').time.localtime).strftime('%Y-%m-%d %H:%M:%S'))"
    }
	
	ruby {
        code => "event.set('my_timest', (event.get('my_timest').time.localtime).strftime('%Y-%m-%d'))"
    }

	if [message][0] {
        mutate {                
            add_field =>   {
              "acc_num" => "%{[message][0]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "acc_num" => ""
            }
        }
    }
	
	if [message][1] {
        mutate {                
            add_field =>   {
              "province" => "%{[message][1]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "province" => ""
            }
        }
    }
	
	if [message][2] {
        mutate {                
            add_field =>   {
              "city_name" => "%{[message][2]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "city_name" => ""
            }
        }
    } 

	if [message][3] {
        mutate {                
            add_field =>   {
              "area_code" => "%{[message][3]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "area_code" => ""
            }
        }
    } 

	if [message][4] {
        mutate {                
            add_field =>   {
              "application" => "%{[message][4]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "application" => ""
            }
        }
    } 
	
	if [message][5] {
        mutate {                
            add_field =>   {
              "channel_name" => "%{[message][5]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "channel_name" => ""
            }
        }
    }

	if [message][6] {
        mutate {                
            add_field =>   {
              "channel_type" => "%{[message][6]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "channel_type" => ""
            }
        }
    }
	
	if [message][7] {
        mutate {                
            add_field =>   {
              "violation_type" => "%{[message][7]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "violation_type" => ""
            }
        }
    } 
	if [message][8] {
        mutate {       	
            add_field =>   {
              "violation_time" => "%{my_time}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "violation_time" => ""
            }
        }
    }  	
	
	if [message][9] {
        mutate {                
            add_field =>   {
              "exceed_orient_note_number" => "%{[message][9]}"
            }
        }
    } else {
    	mutate {                
            add_field =>   {
                "exceed_orient_note_number" => ""
            }
        }
    } 
	
	mutate{
	   add_field =>   {
            "scene_name" => "WHITELIST_MESSAGE"
			"violation_type_code" => "21"
			"kafka_topic" => "topic1"
       }
	   remove_field=>["message"] 
	   remove_field=>["@version"] 
	   remove_field=>["my_time"] 
	}	              
}


output {
	elasticsearch {
		hosts => "127.0.0.1:9200"
		index => "whitelist_message_%{my_timest}"
		retry_on_conflict => 5
		document_id => "%{acc_num}"
		codec => plain { charset => "UTF-8" }
	}
	stdout { codec => rubydebug }
}

这样配置后,就一次性生成多个索引

centos7环境下通过logstashkafka数据es简单配置
HHNL_DDZQ的博客
08-30 1254
1.进入logstash安装目录下的目录:cd config 2.创建es.config文件(文件名称自定义) 3.es.config内容如下: input{       kafka{         bootstrap_servers => [""ip:port","ip:port","ip:port""](zookeeper或者kafka地址)         client_id ...
Filebeat+Kafka+数据处理服务+Elasticsearch+Kibana+Skywalking日志收集系统
skyqiyunhun的博客
06-20 3311
该文档不会为读者提供中间件的安装部署教学,仅作为我在这大半年从零开始建立日志收集系统的整个过程。 读者能从本文看到一条从零开始的日志收集系统的建立通路,能看到我选择处理的过程碎碎念...
logstash-output-amazon_es:Logstash输出插件,用于将logstash事件签名并导出到Amazon Elasticsearch Service
05-02
Logstash插件 这是的插件。 执照 该已获得Apache License 2.0的许可。 兼容性 下表显示了logstashlogstash-output-amazon_es内置的版本。 logstash-output-amazon_es Logstash 6.0.0 <6> 6.0.0 此外,还测试了6.4.0及更高版本的logstash-output-amazon_es插件与Elasticsearch 6.5及更高版本兼容。 logstash-output-amazon_es 弹性搜索 6.4.0+ 6.5+ Amazon Elasticsearch Service输出插件的配置 要运行Logstash输出Amazon Elasticsearch Service插件,只需按照以下文档添加配置。 配置示例: output {
Logstash output 按天创建 es 索引不整点的问题
panbuhei
08-05 2206
按天创建索引时,通过"@timestamp"时间创建的好处有三点: 第一点:可以使索引创建时间为零点。 第二点:在kibana通过"@timestamp"时间排序展示时,提高准确率。 第三点:在一次消费多天的日志时,可以日志的时间创建索引;而不是将多天的日志写入到当天创建的一个索引中。
日志文件mysql同步到kafka_logstash_output_kafka:Mysql同步Kafka深入详解
weixin_35851515的博客
01-26 376
0、题记实际业务场景中,会遇到基础数据存在Mysql中,实时写入数据量比较大的情景。迁移至kafka是一种比较好的业务选型方案。而mysql写入kafka的选型方案有:方案一:logstash_output_kafka 插件。方案二:kafka_connector。方案三:debezium 插件。方案四:flume。方案五:其他类似方案。其中:debeziumflume是基于mysql binl...
logstash日志写到es,按照时间来进行切割,生成索引配置
ajawsszc062112的博客
03-21 2729
配置如下: es创建索引使用: logstash-chat-proxy-nginx-access-* logstash-chat-proxy-nginx-error-* 转载于:https://www.cnblogs.com/zhaojonjon/p/8616756.html
Logstash输入Kafka输出Es配置
技术人集结地
12-12 3867
Logstash是一个开源的数据收集引擎,具有实时管道功能。它可以从各种数据源中动态地统一标准化数据,并将其发送到你选择的目的地。Logstash的早期目标主要是用于收集日志,但现在的功能已经远远超出这个范围。任何事件类型都可以通过Logstash进行分析,通过输入、过滤器输出插件进行转换。Logstash的工作原理是使用管道方式进行日志的搜集处理输出。这个管道包括三个阶段:输入、处理输出。输入插件从数据源那里消费数据,过滤器插件根据你的期望修改数据,输出插件将数据写入目的地。
Logstash——输出(Output)
最新发布
chenglin016的博客
08-22 1131
本章将深入探讨最核心的输出目的地,特别是与Elasticsearch的集成,并分享在生产环境中如何确保输出阶段的可靠性与性能。为了让ESLogstash创建数据生成最优的映射(Mapping),应该在LogstashES中提前配置索引模板。输出会严重拖慢整个Logstash管道的性能,并产生大量不必要的磁盘I/O(如果输出到日志文件)。Elasticsearch输出插件自动使用ES的Bulk API进行批量写入,这是性能的核心。Logstash内置了出色的重试机制来处理ES节点的临时故障。
构建Doris日志系统
weixin_40757126的博客
06-04 1691
基于es的日志系统,存在数据压缩率低,写入吞吐量低,聚合性能差。Doris2.0以上版本支持倒排索引,基于Doris的日志系统,主要是看重了doris压缩率是es的两倍多,聚合性能比es高。以上可以自测,以上不是本文重点,本文重点是如何快速对接Doris,以下是实例。
ELK+filebeat+kafka日志收集
qq_39239712的博客
03-27 1104
我们主要完成在Docker环境下部署 Filebeat 日志收集工具,他是搭建ELK日志非常重要的一部分,我们利用Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,目前我们已经完成了Fliebeat + Es +Kibana部分。
logstash-output-kafka:LogstashKafka 输出
05-30
Logstash插件 这是的插件。 它是完全免费完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 Kafka 输出插件已移动 这个 Kafka 输出插件现在是的一部分。 在可能的情况下,该项目仍对该项目的修复向后移植到 8.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安
logstash output ES, use join ( how to use parent)
weixin_36570189的博客
10-18 610
First setup your mapping to create the join field.: (Not sure how to do this straight from logstash. If someone else does please let me know.) PUT logstash-index-name { &amp;quot;mappings&amp;quot;: { &amp;quot;doc&amp;quot;: {
logstash-2.3.1按日产生索引(%{+YYYY.MM.dd})产生时间比预计晚8小时问题
好好学习,天天向上!
04-26 6675
logstash-2.3.1按日产生索引(%{+YYYY.MM.dd})产生时间比预计晚8小时问题   由于ElasticsearchLogstash内部,对时间类型字段,是统一采用 UTC 时间,outputs/elasticsearch中常用的 %{+YYYY.MM.dd} 这种写法必须读取 @timestamp,为了解决索引产生的时间问题,必须先解决@timestamp时区问题。...
logstash读取kafka所有topics 自动创建es 索引
ice_bird的专栏
12-09 2077
logstash读取kafkatopics,根据内容提取指定字段然后自动创建es索引
Filebeat配置顶级字段Logstash在output输出到Elasticsearch中的使用
非著名运维的博客
05-01 1797
Filebeat配置顶级字段Logstash在output输出到Elasticsearch中的使用
logstash输出到es模式action实践
white_while的博客
10-19 2135
elk-logstash同步数据es
logstash kafka output 输出原始数据格式
热门推荐
xueba207的专栏
11-08 1万+
有个场景需要从kafka topic中读出message,然后转到另一个kakfa集群的topic中,为省事就用了logstash。但logstash处理后不是原始数据,需要修改codec plain的消息格式配置
logstash输出日志到es(2)
ls_call520的专栏
01-11 1337
logstash输出日志到es
Logstash详解之——output模块
xcl119xcl的专栏
04-12 1万+
原始学习资料,请参考官方文档:https://www.elastic.co/guide/en/logstash/current/output-plugins.html Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据ES. 在这里我只介绍如何输出到ES,至于如何输出...
logstash.conf 文件
05-17
### Logstash.conf 文件格式及配置示例 Logstash 是一个开源的数据收集引擎,支持动态地从不同数据源采集数据并将其传输到指定的目标存储中。其核心功能依赖于配置文件 `logstash.conf` 来定义输入、过滤器输出。 #### 配置文件结构 Logstash 的配置文件由三个主要部分组成:`input`, `filter`, `output`。每一部分的功能如下: 1. **Input**: 定义数据的来源。可以是从文件读取、网络监听或其他方式获取数据。 2. **Filter**: 对接收到的数据进行处理转换。常见的操作包括解析日志字段、删除无用字段等。 3. **Output**: 将处理后的数据发送到目标位置,比如 Elasticsearch 或其他数据。 以下是各部分的具体说明以及一个完整的配置示例[^2]。 --- #### 输入 (Input) 输入插件用于接收来自各种来源的日志或事件流。常用的输入插件有 `file`, `beats`, `syslog`, `tcp`, `udp` 等。 ```plaintext input { file { path => "/data/nginx/logs/access.log" start_position => "beginning" } } ``` 在此示例中,`file` 插件被用来监控 `/data/nginx/logs/access.log` 路径中的新内容,并从头开始读取文件的内容。 --- #### 过滤器 (Filter) 过滤器插件负责对原始数据进行加工清洗。例如,可以通过正则表达式提取特定字段或将时间戳标准化。 ```plaintext filter { mutate { add_field => { "[fields][path]" => "%{[path]}" } add_field => { "[message]" => "%{[message]}" } } grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } date { match => [ "timestamp", "yyyy-MM-dd HH:mm:ss" ] target => "@timestamp" } } ``` 在这个例子中: - 使用 `mutate` 添加自定义字段; - 利用 `grok` 解析 Apache 日志格式; - 设置日期解析规则以确保时间戳一致性[^2]。 --- #### 输出 (Output) 最后一步是指定如何导出经过处理的数据Elasticsearch 是最常见的目的地之一,但也支持 Kafka, Redis, MySQL 等多种选项。 ```plaintext output { elasticsearch { hosts => ["http://192.168.153.7:9200"] index => "test-logstash-%{+YYYY.MM.dd}" } stdout { codec => rubydebug } } ``` 此片段展示了向远程 Elasticsearch 实例写入索引的同时,在控制台打印调试信息。 --- ### 完整配置示例 下面是一个综合性的 `logstash.conf` 示例,涵盖了输入、过滤输出三大部分: ```plaintext input { beats { port => 5044 } } filter { if [type] == "nginx-access" { grok { match => { "message" => '%{IPORHOST:http_host} %{USER:remote_user} \[%{HTTPDATE:time_local}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:http_version})?|-)" %{NUMBER:response:int} (?:%{NUMBER:bytes:int}|-) "(?:"(?:%{URI:referrer})?"|%{"(?<agent>[^"]+)")"' } } geoip { source => "client_ip" } } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "nginx_logs_%{+YYYY.MM.dd}" } kafka { bootstrap_servers => "broker1:9092,broker2:9092" topic_id => "processed_logs" } } ``` 该脚本实现了以下功能: - 接收 Filebeat 发送过来的数据; - 提取 Nginx 访问日志的关键字段; - 增加地理位置信息; - 同步至本地 Elasticsearch推送副本给 Kafka 主题[^2]。 --- ### 注意事项 当管理多个配置文件时(如位于 `/etc/logstash/conf.d/`),需注意每份单独的 `.conf` 应具备独立逻辑且不冲突[^1]。启动服务前可通过命令验证语法正确性: ```bash sudo /opt/logstash/bin/logstash --config.test_and_exit -f /etc/logstash/conf.d/ ``` 如果一切正常,则会显示成功消息;反之提示错误详情以便调整设置[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值