Logstash配置详解(不断更新)

最新推荐文章于 2025-06-19 11:12:25 发布
原创 最新推荐文章于 2025-06-19 11:12:25 发布 · 1.5w 阅读 · 48 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Logstash

1. Input Plugin

1.1 从文件输入

从文件读取数据,如常见的日志文件。文件读取通常要解决几个问题:

No. 问题 解决办法
1 文件内容如何只被读取一次?即重启Logstash时,从上次读取的位置继续 sincedb
2 如何即时读取到文件的新内容 定时检查文件是否有更新
3 如何发现新文件并进行读取 定时检查是否有新文件生成
4 如何文件发生了归档(rotation)操作,是否影响当前的内容读取 不影响,被归档的文件内容可以继续被读取

1.1.1 logstash-input-file配置

配置:

配置项 说明
path 数组类型,用于知名读取的文件路径,基于glob匹配语法。
exclude 数组类型,排除不想监听的文件规则,基于glob匹配语法
sincedb_path 字符串类型,记录sinceddb文件路径,默认路径是当前用户的home文件夹
start_position 字符串类型,可以配置为beginning/end,是否从头读取文件
stat_interval 数值类型,单位为秒,定时检查文件是否有更新,默认是1秒
discover_interval 数值类型,单位为秒,定时检查是否有新文件待读取,默认是15秒
ignore_older 数值类型,单位为秒,扫描文件列表时,如果该文件上次更改时间超过设定的时长,则不做处理,但依然会监控是否有新内容,默认关闭
close_older 数值类型,单位为秒,如果监听的文件在超过该设定时间内没有新内容,会被关闭文件句柄,释放资源,但依然会监控是否有新内容,默认3600秒,即1小时

1.1.2 path

例如:

  • /var/log/*.log:匹配/var/log目录下以.log结尾的所有文件
  • /var/log/**/*.log:匹配/var/log所有子目录下以.log结尾的文件
  • /var/log/{app1,app2,app3}/*.log:匹配/var/log目录下app1app2app3子目录中以.log结尾的文件

1.1.3 sincedb

通过logstash-input-file插件导入了一些本地日志文件时,logstash会通过一个名为sincedb的独立文件中来跟踪记录每个文件中的当前位置。这使得停止和重新启动Logstash成为可能,并让它在不丢失在停止Logstashwas时添加到文件中的行数的情况下继续运行。sincedb默认保存在当前用户的Home目录下。

在调试的时候,我们可能希望取消sincedb的记录功能,使文件每次都能从头开始读取。此时,我们可以这样来做:

input {
   
   
    file {
   
   
        path => ["文件路径"]
        start_position => "beginning"
        sincedb_path => "/dev/null"
    }
}

1.2 从HTTP输入

input {
   
   
  http {
   
   
    port => 端口号
  }
}

1.3 从TCP输入

input {
   
   
  tcp {
   
   
    mode => "server"
    host => "0.0.0.0"
    port => 端口号
    codec =<
最低0.47元/天 解锁文章

200万优质内容无限畅学
使用Logstash过滤插件Grok实现多模式匹配
江晓龙的博客
07-13 2166
一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。grok多模式语法格式: 1)首先编写正则表达式分别匹配出两个数据的字段 2)配置logstash使用grok多模式匹配 成功的将两种不同类型
Logstash原理与代码实例讲解
AI天才研究院
07-28 280
Logstash原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 1. 背景介绍 1.1 问题的由来 随着互联网的快速发展和企业信息化进程的加速
[logstash-input-file]插件使用详解
weixin_33935505的博客
09-13 356
  前篇介绍过Logstash的使用,本篇继续深入,介绍下最常用的input插件——file。   这个插件可以从指定的目录或者文件读取内容,输入到管道处理,也算是logstash的核心插件了,大多数的使用场景都会用到这个插件,因此这里详细讲述下各个参数的含义与使用。 最小化的配置文件   在Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下: ...
logstash 配置
最新发布
技术博客共享
06-19 241
本文提供了两个Logstash配置示例。第一个配置实现TCP服务器功能,监听4567端口接收JSON格式日志数据,并输出到Elasticsearch的"sys_log"索引和标准输出。第二个配置实现MySQL数据库同步功能,每分钟从mv_system数据库的sys_log_operation表同步数据到Elasticsearch的"operate_info"索引,使用ID作为文档标识,同时支持分页查询和数据增量同步。两个配置都包含UTF-8编码处理和输出调试功能。
logstash设置端口密码
leveretz的博客
11-25 2281
logstash设置端口密码
logstash判断是否匹配_logstash.conf匹配案例
weixin_39793189的博客
12-20 504
logstash 配置参考# ###################################################################### DESC: Logstash configuration file. Typically forwarding logs to# Elasticsearch instance.# ##################...
轻松掌握Logstash的grok匹配
全菜工程师小辉的博客
03-16 7731
Logstash的filter插件在7.5.1版本中,有多达46种。介绍filter插件的官网地址,感兴趣的话可以自行研究,点此跳转 本文主要讲解filter插件中的grok。通过在filter中使用grok,可以把日志中的关键字快速匹配出来。 grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。 Grok Debugger在线匹配正则 推荐一款在线匹配正则的网站——Grok Debu...
基于logstash实现日志文件同步elasticsearch
09-16
#### Logstash配置文件详解 下面是一段Logstash配置文件,用于设置输入源、过滤器(此处未启用)以及输出目标等关键参数: ```bash [root@5b9dbaaa148alogstash_jdbc_test]# cat log_test.conf input{ file{ ...
ElasticSearch Logstash原理与代码实例讲解
AI天才研究院
07-03 432
Logstash算法的核心在于高效地处理和转换输入数据。事件驱动:Logstash通过事件驱动模型运行,这意味着它不断地读取输入事件并进行处理,直到收到停止信号或达到预期的行为。流水线模式:数据处理采用流水线模式,即事件经过一系列的过滤和转换后,最终输出。Logstash作为Elastic Stack的核心组件,实现了高效、灵活的日志数据处理能力,为数据驱动的决策提供了基础。
Logstash收集Tomcat集群日志的解决方案.txt
09-10
- `/root/logstash_work_dir/config`:存储Logstash配置文件。 - `/root/logstash_work_dir/logs`:存储Logstash日志文件。 - `/root/logstash_work_dir/pid`:存储Logstash进程ID文件。 #### 2. 编写Logstash...
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 2831
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
logstash配置简单说明
xuegaoxuegao的博客
02-26 892
Logstash:收集、解析和转换日志 | Elastic 接上文filebeat配置简单说明_xuegaoxuegao的博客-优快云博客 日志采集推给logstash后,需要针对自己的需求做对应处理. input { beats { port => 9901 } } filter { #根据logstash接受的数据中 fileds字段下的logType来判断,采取不同策略 if [fields][logtype] == "newApp" {...
[logstash-input-file]插件使用详解(转)
weixin_34365417的博客
10-09 299
最小化的配置文件Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下:       1 2 3 4 5 6 7 8 9 10 11 input {     file {         path =&amp;gt; "E:/software/logstash-1.5.4/logstash-1.5.4/data/*"     } } fi...
Logstash配置详解
热门推荐
yygr的博客
04-08 2万+
https://blog.youkuaiyun.com/hushukang/article/details/84423184 Logstash配置文件位于Logstash安装目录下bin/logstash.conf 启动命令: logstash -f logstash.conf 1. Input Plugin 1.1 从文件输入 从文件读取数据,如常见的日志文件文件读取通常要解决几个问题: No. 问题 解决办法 1 文件内容如何只被读取一次?即重启Logstash时,从
Logstash之sincedb问题记录
davinciyxw的专栏
10-17 4152
作为ELK中重要的一个组成部分,logstash既可以作为indexer解析日志,又可以作为shipper采集日志。但是由于logstash是java应用,占用资源较大,启动慢,所以有了filebeat来代替logstash作为日志采集代理。但是filebeat使用golang编写,跨平台支持还不够,比如在AIX环境下不能允许。因此研究了logstash在AIX上的运行,使用jdk1.7的情况下,
logstash配置sincedb目录位置
Brave_heart4pzj的博客
02-12 755
https://blog.youkuaiyun.com/qq_39669058/article/details/86480578 删除就能重新读取日志文件了,也可以指定指定sincedb文件目录使用,重要该路径必须指定到文件不能指定到文件目录 sincedb_path => “/home/logs/index.txt” ...
Logstash重要配置参数
Sebastien23的博客
11-27 1万+
Logstash有两种类型的配置文件:pipeline配置文件,用于定义Logstash处理管道;以及Logstash本身的配置文件,用于指定控制Logstash启动和运行的参数。Logstash本身的配置文件位于安装路径的。
logstash-5.6.3 sincedb 位置
feibabm的博客
10-24 998
按照官网上的说明: https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html#_description_8 y default, the sincedb file is placed in the home directory of the user running Logstash with a f
Logstash常用配置和日志解析_logstash 日志输出位置
2401_84715926的博客
05-16 2473
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
ELK架构详解:Filebeat数据采集与Logstash-Elasticsearch协作
它支持灵活的数据管道,允许用户定义动态的输入、过滤和输出策略,以便适应不断变化的数据源需求。 3. **Kibana**:作为数据分析和可视化平台,Kibana与Elasticsearch紧密集成,提供直观的界面来探索和分析存储在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值